Syslog数据字典
用户活动数据字典
本节详述用户活动字段。表格展示了用户活动的Syslog和Kinesis输出数据元素,条目按字母顺序排列。
注意
针对Amazon Kinesis和通用SIEM系统目标类型,可请求威胁和用户活动数据。
|
字段名称 |
类型 |
描述 |
|---|---|---|
|
操作 |
字符串 |
对移动安全控制台中发生操作的描述,例如 移动安全 控制台,如 用户登录失败 或 策略已发布 。操作列表如下所示。 |
|
日期 |
字符串 |
操作发生的日期和时间,格式如“2021年4月15日 15:00:03 UTC”。 |
|
用户 |
字符串 |
执行操作的用户邮箱或发起变更的程序名称。 |
操作列表可能包含以下事件:
-
审计事件样本分析事件
-
开发者签名添加事件
-
开发者签名已存在事件
-
开发者签名移除事件
-
导出配置已创建
-
导出配置已更新
-
标记为已批准
-
标记为已修复
-
隐私策略已发布
-
隐私策略已发布
-
样本被加入黑名单事件
-
样本创建事件
-
样本不合规事件
-
样本从黑名单移除事件
-
样本从不合规状态移除事件
-
样本从白名单移除事件
-
样本重命名事件
-
样本重新扫描事件
-
样本加入白名单事件
-
用户已删除
-
用户登录失败
-
用户登出
-
用户已更新
-
用户邀请
-
用户登录
Syslog威胁数据字典
关于字段可用性
以下章节详述了每种模式下的Syslog输出字段。字段表的行表示该字段是否对所有或部分威胁类型"可用"。 字段可用性说明如下:
-
所有威胁:此字段可应用于所有威胁类型。
-
多重威胁:此字段适用于多个威胁类型。
-
特定威胁:此字段仅适用于单一威胁类型。
简洁模式字段
本表展示了简洁模式请求下Syslog输出的数据元素。表格条目按字母顺序排列。
注意
并非所有字段都可用,即使它们可能适用于所有威胁。例如,字段值可能为空,或由于 移动安全 控制台策略设置,该字段可能未被捕获和报告。
|
字段名称 |
描述 |
可用性 |
|---|---|---|
|
device_info |
包含以下字段的设备信息 |
所有威胁 |
|
device_info.app |
上报威胁事件的应用程序名称 |
所有威胁 |
|
device_info.app_version |
上报威胁事件的应用程序版本 |
所有威胁 |
|
device_info_developer_options_on (a) |
适用于安卓设备,表示开发者选项已开启 |
所有威胁 |
|
device_info.device_id |
设备标识符 |
所有威胁 |
|
device_info.device_time |
事件发生时设备上的时间戳及时区 |
所有威胁 |
|
device_info,disk_not_encrypted (a) |
设备未启用磁盘加密 |
所有威胁 |
|
device_info.imei |
唯一设备标识符 |
所有威胁 |
|
device_info.jailbroken |
越狱状态(布尔值) |
所有威胁 |
|
device_info.lock_screen_unprotected (a) |
设备未设置锁屏密码 |
所有威胁 |
|
device_info.model |
设备型号字符串(例如“Nexus 5”) |
所有威胁 |
|
device_info.mdm_id |
若设备属于MDM部署,则显示MDM标识符。 |
所有威胁 |
|
device_info.mam_id (c) |
若设备属于MAM部署,则显示MAM标识符。 |
所有威胁 |
|
device_info.operator |
移动网络运营商 |
所有威胁 |
|
device_info.os |
操作系统名称,例如“Android” |
所有威胁 |
|
device_info.os_version |
操作系统版本号,例如7.1.1 |
所有威胁 |
|
device_info.stagefright_vulnerable (a) |
该设备存在Stagefright漏洞。 |
所有威胁 |
|
device_info.tag1 |
来自IAP SDK setTrackingIds()方法的唯一标签。 |
所有威胁 |
|
device_info.tag2 |
来自IAP SDK setTrackingIds()方法的唯一标签。 |
所有威胁 |
|
device_info.type |
设备名称或型号 |
所有威胁 |
|
device_info.usb_debugging_enabled (a) |
Android设备的USB调试模式已开启 |
所有威胁 |
|
device_info.app_instance_id |
应用实例标识符(Bundle Identifier) |
所有威胁 |
|
device_info.zdid |
内部数据库标识符,例如“5b9938d4f92a260e08a1812a” |
所有威胁 |
|
event_id |
威胁事件标识符 |
所有威胁 |
|
eventtimestamp |
事件发生时间戳及时区 |
所有威胁 |
|
location |
用户设备位置(包含以下字段): 注意:所有位置相关条目必须满足以下条件: 在隐私政策中启用取证数据。设备已接收隐私政策。终端用户已为 GravityZone MTD 及使用MDM解决方案的应用授予位置权限。 |
所有威胁 |
|
location.accuracy |
精度信息 |
所有威胁 |
|
location.country_name |
国家名称(可选) |
所有威胁 |
|
location.exact |
布尔值,表示设备位置是否精确 |
所有威胁 |
|
location.p |
当前用户设备GPS位置 |
所有威胁 |
|
location.p.[n] |
当前用户设备GPS定位序列 |
所有威胁 |
|
location.previous_sample |
先前用户设备GPS定位 |
所有威胁 |
|
location.previous_sample.p |
先前用户设备GPS定位 |
所有威胁 |
|
location.previous_sample.p.[n] |
先前用户设备GPS定位序列 |
所有威胁 |
|
location.previous_sample.time |
先前定位采样时间戳 |
所有威胁 |
|
location.previous_sample.time.$date |
先前定位采样时间戳 |
所有威胁 |
|
location.sampled_time |
定位采样时间戳 |
所有威胁 |
|
location.sampled_time.$date |
定位采样时间戳 |
所有威胁 |
|
location.source |
GPS或地理IP地址 |
所有威胁 |
|
location.state_name |
州 |
所有威胁 |
|
已缓解 |
布尔值,表示终端用户是否采取了行动 |
所有威胁 |
|
严重程度 |
威胁严重程度,其中:0:正常 1:低 2:升高 3:严重 |
所有威胁 |
|
系统令牌 |
客户的唯一标识符 |
所有威胁 |
|
威胁 |
威胁信息 |
所有威胁 |
|
威胁类别(b) |
指示威胁是单一威胁还是复合威胁。取值为: 单一 复合 |
所有威胁 |
|
威胁.子威胁UUID(b) |
这是复合威胁的子威胁或单一威胁集合。这些映射到复合威胁中的“threat_uuid”字段。 |
多重威胁 |
|
威胁.通用 |
通用威胁信息,包含以下字段 |
所有威胁 |
|
威胁.通用.触发的操作 |
在用户设备上触发的操作,以字符串表示,例如“提醒用户” |
所有威胁 |
|
威胁.通用.攻击者BSSID |
无线接入点的攻击者MAC地址 |
多重威胁 |
|
threat.general.attacker_ip |
攻击者设备IP地址 |
多重威胁 |
|
threat.general.attacker_mac |
攻击者设备MAC地址 |
多重威胁 |
|
threat.general.attacker_ssid |
无线接入点的攻击者网络名称 |
多重威胁 |
|
threat.general.basestation |
蜂窝基站信息 |
所有威胁 |
|
threat.general.basestation.mnc |
移动网络代码 |
所有威胁 |
|
threat.general.basestation.psc |
主扰码 |
所有威胁 |
|
threat.general.basestation.type |
基站类型 |
所有威胁 |
|
threat.general.basestation.cid |
基站小区标识符 |
所有威胁 |
|
threat.general.basestation.mcc |
移动国家代码 |
所有威胁 |
|
threat.general.basestation.lac |
位置区码 |
所有威胁 |
|
threat.general.certificate |
收集的SSL证书 |
多重威胁 |
|
threat.general.change_type |
变更类型 |
多重威胁 |
|
threat.general.device_ip |
用户设备IP |
所有威胁 |
|
threat.general.device_mac |
用户设备MAC地址 |
所有威胁 |
|
threat.general.device_time |
用户设备时间戳 |
所有威胁 |
|
threat.general.dns_after_change |
变更后DNS IP |
特定威胁 |
|
threat.general.dns_before_change |
变更前DNS IP |
特定威胁 |
|
threat.general.event |
检测原因 |
特定威胁 |
|
threat.general.external_ip |
用户设备外部IP地址 |
所有威胁 |
|
threat.general.file_hash |
下载或安装应用的文件哈希值 |
威胁特定 |
|
threat.general.file_name |
下载或安装应用的文件名 |
威胁特定 |
|
threat.general.file_path |
文件系统变更的文件路径 |
威胁特定 |
|
threat.general.gateway_after_change |
变更后的网关IP |
威胁特定 |
|
threat.general.gateway_before_chang e |
变更前的网关IP |
威胁特定 |
|
threat.general.gateway_ip |
用户设备网关IP |
所有威胁 |
|
threat.general.gateway_mac |
用户设备网关MAC地址 |
所有威胁 |
|
threat.general.imei |
唯一设备标识符 |
所有威胁 |
|
threat.general.jailbreak_reasons |
越狱检测原因 |
多重威胁 |
|
threat.general.malware_list |
恶意软件威胁家族名称及评分 |
所有威胁 |
|
threat.general.network |
事件发生时用户设备所连接的网络名称 |
所有威胁 |
|
threat.general.network_bssid |
事件发生时用户设备所连接网络的BSSID |
所有威胁 |
|
threat.general.network_interface |
网络接口信息 |
多重威胁 |
|
threat.general.process |
进程名称 |
多重威胁 |
|
threat.general.proxy_after_change |
变更后的代理IP |
特定威胁 |
|
threat.general.sideloaded_app_devel oper |
侧载应用的开发者 |
多重威胁 |
|
threat.general.sideloaded_app_name |
侧载应用的名称 |
特定威胁 |
|
threat.general.sideloaded_app_packa ge |
侧载应用的包名 |
特定威胁 |
|
threat.general.stagefright_vulnerabilit y_report |
Stagefright漏洞CVE列表 |
特定威胁 |
|
threat.general.suspected_url |
可疑URL |
多重威胁 |
|
threat.general.suspicious_profile_info |
可疑的个人资料信息 |
多重威胁 |
|
threat.general.suspicious_profile_na me |
可疑的个人资料名称 |
多重威胁 |
|
threat.general.suspicious_profile_typ e |
可疑的个人资料类型 |
多重威胁 |
|
threat.general.threat_type |
威胁名称,例如:MITM - 伪造SSL证书 |
所有威胁 |
|
threat.general.time_interval |
自连接网络以来经过的时间(秒) |
所有威胁 |
|
threat.mitre_tactics (b) |
该威胁对应的MITRE战术列表。适用于大多数威胁。 |
多重威胁 |
|
threat.name |
威胁名称,例如:MITM - 伪造SSL证书 |
所有威胁 |
|
threat.story |
威胁摘要,例如"检测到网络拦截攻击。攻击发生在..." |
所有威胁 |
|
threat.threat_uuid (b) |
这是威胁的内部标识符,与'child_threat_uuids'一起用于识别复合威胁的组成部分或子项。 |
所有威胁 |
|
user_info |
包含以下字段的用户信息 |
所有威胁 |
|
user_info.employee_name |
终端用户在 移动安全 控制台上的名称,例如“Becky Smith” |
所有威胁 |
|
user_info.user_email |
终端用户在 移动安全 控制台上的邮箱,例如“admin@example.com” |
所有威胁 |
|
user_info.user_id (a) |
此为用户的可用标识符(若存在)。 |
所有威胁 |
|
user_info.user_group |
终端用户在 移动安全 控制台上的所属组,例如“Default Group” |
所有威胁 |
|
user_info.user_role |
终端用户在 移动安全 控制台上的角色,例如“End User” |
所有威胁 |
详细/取证模式字段
该表在详细模式下显示额外条目。详细模式包含取证威胁数据。简明模式条目现已包含这些新增字段。
注意
部分特定威胁类型会提供所列数据字段之外的额外字段。
|
字段名称 |
描述 |
可用性 |
|---|---|---|
|
forensics |
取证信息 |
所有威胁 |
|
forensics.BSSID |
无线接入点的MAC地址(BSSID) |
所有威胁 |
|
forensics.SSID |
网络名称 |
所有威胁 |
|
forensics.android_compatibility_check_response |
针对以下威胁收集的Android兼容性检查响应: Android设备兼容性未经谷歌测试 Android设备可能被篡改 |
多重威胁 |
|
forensics.app_tampering_reasons |
检测应用篡改事件的原因 |
特定威胁 |
|
forensics.attack_time |
事件发生时的Unix时间戳 |
所有威胁 |
|
forensics.attack_time.$date |
事件发生时的Unix时间戳 |
所有威胁 |
|
forensics.baseline_traceroute |
Bitdefender内部字段 |
特定威胁 |
|
forensics.captive_portal_after |
攻击后为Bitdefender URL收集的HTML响应 |
多重威胁 |
|
forensics.captive_portal_before |
攻击前为Bitdefender URL收集的HTML响应 |
多重威胁 |
|
forensics.close_networks |
Android显示附近网络,iOS显示当前连接的网络 |
全部威胁 |
|
forensics.close_networks.[n] |
Android显示附近网络而iOS显示当前连接网络的序列 |
全部威胁 |
|
forensics.close_networks.[n].BSSID |
Android显示附近网络的BSSID,iOS显示当前连接网络的BSSID |
全部威胁 |
|
forensics.close_networks.[n].SSID |
Android显示附近网络的名称(SSID),iOS显示当前连接网络的名称(SSID) |
全部威胁 |
|
forensics.close_networks.[n].capabilities |
附近网络支持的无线安全协议,例如WEP、WPA和WPA2 |
全部威胁 |
|
forensics.close_networks.[n].frequency |
附近网络的频率,例如2.4 GHz和5 GHz |
全部威胁 |
|
forensics.close_networks.[n].level |
信号强度(-35至-95) |
全部威胁 |
|
forensics.dangerzone_nearby_wifi |
可疑的附近网络 |
多重威胁 |
|
forensics.directory_entries |
iOS设备/usr/lib/文件夹中列出的文件 |
全部威胁 |
|
forensics.directory_entries.[n] |
所列文件的序列 iOS设备的/usr/lib/文件夹 |
所有威胁 |
|
forensics.directory_entries.[n].file_name |
iOS设备/usr/lib/文件夹中文件的文件名 |
所有威胁 |
|
forensics.directory_entries.[n].file_size |
iOS设备/usr/lib/文件夹中文件的文件大小 |
所有威胁 |
|
forensics.directory_entries.[n].hash |
iOS设备/usr/lib/文件夹中文件的文件哈希值 |
所有威胁 |
|
forensics.directory_entries.[n].is_symlink |
列出文件是否为符号链接 iOS设备的/usr/lib/文件夹 |
所有威胁 |
|
forensics.directory_entries.[n].nlink |
iOS设备/usr/lib/文件夹中列出文件的硬链接数 |
所有威胁 |
|
forensics.directory_entries.[n].permission |
列出文件的权限 iOS设备的/usr/lib/文件夹 |
所有威胁 |
|
forensics.dynamic_internal_name |
用于检测相关调试的内部字段 |
多重威胁 |
|
forensics.dynamic_trigger |
用于触发信息的内部令牌或标识符 |
多重威胁 |
|
forensics.file_system_change |
文件系统变更事件 |
威胁特定 |
|
forensics.file_system_change.change _type |
文件系统变更类型 |
威胁特定 |
|
forensics.file_system_change.event |
文件系统变更原因 |
威胁特定 |
|
forensics.file_system_change.full_path |
文件系统变更路径 |
威胁特定 |
|
forensics.forensics_app_version |
若应用内包含MDM解决方案,此字段报告应用版本 |
多重威胁 |
|
forensics.forensics_os_version |
若应用内包含MDM解决方案,此字段报告操作系统版本 |
多重威胁 |
|
forensics.forensics_ziap_version |
若应用内包含MDM解决方案,此字段报告MDM版本 |
多重威胁 |
|
forensics.general |
事件通用信息 |
所有威胁 |
|
forensics.general.[n] |
事件通用信息序列 |
所有威胁 |
|
forensics.general.[n].name |
多字段 |
所有威胁 |
|
forensics.general.[n].type |
多字段 |
所有威胁 |
|
forensics.general.[n].val |
多字段 |
所有威胁 |
|
forensics.host_attack |
设备攻击事件信息 |
所有威胁 |
|
forensics.host_attack.application |
可疑安卓应用的名称 |
特定威胁 |
|
forensics.host_attack.daemon_minflt |
Bitdefender内部字段 |
特定威胁 |
|
forensics.host_attack.daemon_minflt .[n] |
Bitdefender内部字段集 |
特定威胁 |
|
forensics.host_attack.daemon_rss |
Bitdefender内部字段 |
特定威胁 |
|
forensics.host_attack.daemon_rss.[n] |
Bitdefender内部字段集 |
特定威胁 |
|
forensics.host_attack.detected_locally |
检测来源:数据库或Cogito |
特定威胁 |
|
forensics.host_attack.file_hash |
下载或安装文件的哈希值 |
特定威胁 |
|
forensics.host_attack.filename |
下载或安装的文件名称 |
威胁特定 |
|
forensics.host_attack.info_after |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.info_after.selinux_context |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.info_after.user _id |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.info_before |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.info_before.selinux_context |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.info_before.user_id |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.is_blacklisted |
iOS应用是否被管理员列入黑名单 |
威胁特定 |
|
forensics.host_attack.is_malicious |
如果iOS应用已被数据库标记为恶意 |
威胁特定 |
|
forensics.host_attack.malware_detection_source |
检测来源,其中:
|
多重威胁 |
|
forensics.host_attack.malware_matches |
恶意软件信息 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n] |
恶意软件信息序列 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].name |
恶意软件威胁家族名称 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].score |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures |
Bitdefender内部字段 |
特定威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n] |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n].hash |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n].size |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n].type |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_scan_category |
分类说明:
|
多重威胁 |
|
forensics.host_attack.malware_threat_name |
恶意软件威胁家族名称 |
特定威胁 |
|
forensics.host_attack.process |
进程名称 |
多重威胁 |
|
forensics.host_attack.process_pid |
进程标识符 |
多重威胁 |
|
forensics.host_attack.suspected_url |
可疑URL |
多重威胁 |
|
forensics.installer_source |
应用程序安装来源信息 |
多重威胁 |
|
forensics.json_jailbreak_reasons |
越狱检测原因 |
多重威胁 |
|
forensics.mitm_traceroute |
Bitdefender内部字段 |
特定威胁 |
|
forensics.network_encryption |
报告网络能力。安卓设备显示网络支持的加密方式(如WEP/WPA/WP2),iOS设备显示"安全"或"不安全" |
多重威胁 |
|
forensics.network_subnet |
适用的网络子网地址 |
多重威胁 |
|
取证.网络威胁 |
网络取证 |
全部威胁 |
|
取证.网络威胁.ARP表 |
ARP表 |
全部威胁 |
|
取证.网络威胁.ARP表.之后 |
检测到攻击后数秒内收集的ARP表 |
全部威胁 |
|
取证.网络威胁.ARP表.之后.表 |
检测到攻击后数秒内收集的ARP表 |
全部威胁 |
|
取证.网络威胁.ARP表.之后.表.[n] |
检测到攻击后数秒内收集的ARP表序列 |
全部威胁 |
|
取证.网络威胁.ARP表.之后.表.[n].IP |
检测到攻击后数秒内收集的ARP表中的IP地址 |
全部威胁 |
|
取证.网络威胁.ARP表.之后.表.[n].MAC |
检测到攻击后数秒内收集的ARP表中的MAC地址 |
全部威胁 |
|
取证.网络威胁.ARP表.之前 |
检测到攻击前数秒内收集的ARP表 |
全部威胁 |
|
取证.网络威胁.ARP表.之前.表 |
检测到攻击前数秒内收集的ARP表 |
全部威胁 |
|
取证.网络威胁.ARP表.之前.表.[n] |
检测到攻击前几秒收集的ARP表序列 |
所有威胁 |
|
forensics.network_threat.arp_tables. before.table.[n].ip |
检测到攻击前几秒收集的ARP表中的IP地址 |
所有威胁 |
|
forensics.network_threat.arp_tables. before.table.[n].mac |
检测到攻击前几秒收集的ARP表中的MAC地址 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial |
设备初次连接网络时收集的ARP表 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table |
设备初次连接网络时收集的ARP表 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table.[n] |
设备初次连接网络时收集的ARP表序列 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table.[n].ip |
设备初次连接网络时收集的ARP表中的IP地址 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table.[n].mac |
设备初次连接网络时收集的ARP表中的MAC地址 |
所有威胁 |
|
forensics.network_threat.attacker_ip |
攻击者设备的IP地址 |
所有威胁 |
|
forensics.network_threat.attacker_mac |
攻击者设备的MAC地址 |
多重威胁 |
|
forensics.network_threat.basestation |
蜂窝基站信息 |
所有威胁 |
|
forensics.network_threat.delta_route _cache |
Bitdefender内部字段 |
多重威胁 |
|
forensics.network_threat.delta_route _cache.table |
Bitdefender内部字段 |
多重威胁 |
|
forensics.network_threat.delta_route _cache.table.[n] |
Bitdefender内部字段集 |
所有威胁 |
|
forensics.network_threat.delta_route _cache.table.[n].gateway |
Bitdefender内部字段 |
所有威胁 |
|
forensics.network_threat.delta_route _cache.table.[n].ip |
Bitdefender内部字段 |
所有威胁 |
|
forensics.network_threat.gw_ip |
用户网关IP地址 |
所有威胁 |
|
forensics.network_threat.gw_mac |
用户网关MAC地址 |
所有威胁 |
|
forensics.network_threat.interface |
用户设备网络接口 |
所有威胁 |
|
forensics.network_threat.my_ip |
用户设备IP地址 |
所有威胁 |
|
forensics.network_threat.my_mac |
用户设备MAC地址 |
所有威胁 |
|
forensics.network_threat.net_stat |
设备网络状态信息 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] |
设备网络状态信息序列 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .ForeignAddress |
连接状态下的外部主机及端口 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .LocalAddress |
连接状态下的本地主机及端口 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .Proto |
协议类型 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .Recv-Q |
表示待读取的套接字队列数据 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .发送队列 |
表示套接字等待发送的数据队列 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .状态 |
套接字状态 |
所有威胁 |
|
forensics.network_threat.routing_table |
路由表信息 |
所有威胁 |
|
forensics.network_threat.routing_table.[n] |
路由表信息序列 |
所有威胁 |
|
forensics.network_threat.routing_table.[n].目标网络 |
目标网络IP |
所有威胁 |
|
forensics.network_threat.routing_table.[n].标志位 |
威胁路由表的标志位 |
所有威胁 |
|
forensics.network_threat.routing_table.[n].网关 |
网络网关IP |
所有威胁 |
|
forensics.network_threat.routing_table.[n].网络接口 |
网络接口示例:lo(本地接口) wlan0(无线接口)rmnet(蜂窝网络) |
所有威胁 |
|
forensics.network_threat.routing_table.[n].引用计数 |
Bitdefender内部字段 |
所有威胁 |
|
forensics.network_threat.routing_table.[n].使用计数 |
Bitdefender内部字段 |
所有威胁 |
|
forensics.os |
操作系统 |
所有威胁 |
|
forensics.os_forensics (d) |
该字段提供设备安全补丁信息及下一个可用安全补丁。这些字段值通常仅适用于以下威胁类型:
注意:此字段需满足以下条件方可显示数据 GravityZone MTD 4.22或更高版本且 GravityZone MTD 4.41或更高版本 |
多重威胁 |
|
forensics.os_forensics.build_information |
该字段记录威胁发生时设备相关的固件附加信息。例如可能包含"RP1A.200720.012"等值。此字段仅适用于Android设备。 |
多重威胁 |
|
forensics.os_forensics.device_manufacturer |
该字段显示设备制造商信息。例如可能包含"samsung"或"Apple"等值。 |
多重威胁 |
|
forensics.os_forensics.device_model |
该字段记录设备型号信息。例如可能包含"SM-M025F"或"iPhone 11"等值。 |
多重威胁 |
|
forensics.os_forensics.expected_os_version |
该字段显示报告威胁时预期的设备操作系统版本。例如可能包含"11"等值。 |
多重威胁 |
|
forensics.os_forensics.expected_security_patch |
这是威胁事件发生时设备预期的安全补丁级别。例如,"20220101"是一个可能的值。此字段仅适用于Android。该值可能显示为日期字段,但实际上是补丁标识的字符串值。 |
多重威胁 |
|
forensics.os_forensics.vulnerable_os _version |
这是威胁发生时设备的操作系统版本。例如,"11"是一个可能的值。 |
多重威胁 |
|
forensics.os_forensics.vulnerable_sec urity_patch |
这是威胁事件发生时设备的安全补丁级别。例如,"2021-08-01"是一个可能的值。此字段仅适用于Android。该值可能显示为日期字段,但实际上是补丁标识的字符串值。 |
多重威胁 |
|
forensics.probabilities |
Bitdefender内部字段 |
所有威胁 |
|
forensics.probabilities.[n] |
Bitdefender内部字段 |
所有威胁 |
|
forensics.process_list |
设备进程列表 |
所有威胁 |
|
forensics.process_list.[n] |
事件发生时收集的设备进程列表序列 |
所有威胁 |
|
forensics.process_list.[n].Parent process(PPID) |
父进程标识符 |
所有威胁 |
|
forensics.process_list.[n].Process ID(PID) |
进程标识符 |
所有威胁 |
|
forensics.process_list.[n].Process Name |
进程名称 |
所有威胁 |
|
forensics.process_list.[n].Service |
进程服务 |
所有威胁 |
|
forensics.process_list.[n].User |
进程用户名 |
所有威胁 |
|
forensics.proxy_conf |
代理配置 |
多重威胁 |
|
forensics.proxy_conf.ip_after |
代理配置:变更后的IP地址 |
多重威胁 |
|
forensics.proxy_conf.ip_before |
代理配置:变更前的IP地址 |
多重威胁 |
|
forensics.responses |
触发的设备操作 |
所有威胁 |
|
forensics.responses.[n] |
触发的设备操作序列 |
所有威胁 |
|
forensics.rogue_access_point |
恶意接入点信息 |
多重威胁 |
|
forensics.rogue_access_point.BSSID |
无线接入点的MAC地址 |
多重威胁 |
|
forensics.rogue_access_point.SSID |
恶意接入点的网络名称 |
多重威胁 |
|
forensics.rogue_access_point.frequency |
恶意接入点的频率 |
多重威胁 |
|
forensics.routing_table |
路由表信息 |
所有威胁 |
|
forensics.routing_table.[n] |
路由表信息序号 |
所有威胁 |
|
forensics.routing_table.[n].destination |
目标网络IP |
所有威胁 |
|
forensics.routing_table.[n].flags |
Bitdefender内部字段 |
所有威胁 |
|
forensics.routing_table.[n].gateway |
网络网关IP |
所有威胁 |
|
forensics.routing_table.[n].netif |
网络接口 |
所有威胁 |
|
forensics.routing_table.[n].flags |
Bitdefender内部字段 |
所有威胁 |
|
forensics.routing_table.[n].use |
Bitdefender内部字段 |
所有威胁 |
|
forensics.sample_data |
Bitdefender内部字段 |
所有威胁 |
|
取证.严重程度 |
威胁严重性 |
所有威胁 |
|
取证.侧载应用开发者 |
侧载应用的开发者 |
多重威胁 |
|
取证.侧载应用文件哈希 |
侧载应用的文件哈希 |
多重威胁 |
|
取证.侧载应用名称 |
侧载应用的名称 |
多重威胁 |
|
取证.侧载应用包名 |
侧载应用的包名 |
多重威胁 |
|
取证.SSL降级描述 |
Bitdefender内部字段 |
多重威胁 |
|
取证.SSL中间人证书 |
收集的SSL证书 |
多重威胁 |
|
取证.SSL剥离响应 |
收集的HTML响应 |
多重威胁 |
|
取证.Stagefright漏洞报告 |
Stagefright CVE列表 |
特定威胁 |
|
取证.可疑配置文件 |
可疑配置文件信息 |
多重威胁 |
|
forensics.suspicious_profile.profile_information |
可疑配置文件信息 |
多重威胁 |
|
forensics.suspicious_profile.profile_name |
可疑配置文件名 |
多重威胁 |
|
forensics.suspicious_profile.profile_type |
可疑配置文件类型 |
多重威胁 |
|
forensics.system_tampering_reasons |
系统篡改检测原因 |
特定威胁 |
|
forensics.threat_uuid |
Bitdefender内部字段 |
所有威胁 |
|
forensics.time_interval |
自连接网络以来经过的时间(秒) |
所有威胁 |
|
forensics.type |
内部威胁标识符 |
所有威胁 |