推送事件JSON RPC消息
事件通过调用"addEvents"函数提交。该函数接收一个参数:"events",即下文记录的事件对象数组。
HTTP请求可通过Event-Push-Service-Md5标头验证。该标头由API密钥和消息体按如下方式哈希生成:header_value = md5(api_key, md5(message_body))
$gzapikey = "a247bf167a48d899b7a64aced0d6cebdbd5d474578c26cd023505b2c26******";
$message = file_get_contents('php://input');
$servermd5 = $_SERVER['HTTP_EVENT_PUSH_SERVICE_MD5'];
$resultmd5 = md5($apikey.md5($message));
云AD集成
此事件在以下情况生成 控制中心 与Active Directory域同步时
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
公司ID |
字符串 |
是 |
公司标识符 |
|
同步器ID |
字符串 |
是 |
AD集成器标识符 |
|
问题类型 |
整数 |
是 |
AD同步问题类型 |
|
是否受保护实体ID |
整数 |
否 |
是否为受保护实体ID(仅限卸载场景) |
|
最后AD报告日期 |
时间戳 |
否 |
最后一次AD同步日期 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"syncerId": "59b7d9bfa849af3a1465b7e3",
"issueType": 0,
"lastAdReportDate": "2017-09-14T08:03:49.671Z",
"module": "adcloud"
}
]
},
"id": 1505376232077
}
反钓鱼
当端点代理检测到访问网页时的已知钓鱼尝试时,此通知将每次向您发出警报。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
aph_type |
字符串 |
是 |
取值:phishing(钓鱼)、fraud(欺诈)、untrust(不可信) |
|
url |
字符串 |
是 |
恶意软件网址 |
|
status |
字符串 |
是 |
取值:aph_blocked(已拦截)、reportOnly(仅报告) |
|
last_blocked |
时间戳 |
是 |
该恶意软件最后一次被拦截的时间戳 |
|
count |
整数 |
是 |
该恶意软件被检测到的次数 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-EXCHANGE-01",
"computer_fqdn": "fc-exchange-01.fc.dom",
"computer_ip": "192.168.0.1",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"product_installed": "BEST",
"aph_type": "phishing",
"url": "http://example.com/account/support/",
"status": "aph_blocked",
"last_blocked": "2017-09-14T08:49:43.000Z",
"count": 1,
"module": "aph"
}
]
},
"id": 1505378984190
}
反恶意软件
每当Bitdefender在您网络中的终端上检测到恶意软件时,就会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。值:
|
|
已安装产品 |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
计算机名称 |
字符串 |
是 |
计算机名称 |
|
计算机FQDN |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
string |
yes |
IP地址 |
|
computer_id |
string |
yes |
GravityZone数据库中 的唯一端点标识符 |
|
malware_type |
string |
yes |
检测到的恶意软件类型:文件、http、cookie、pop3、smtp、进程、引导区、注册表、流 |
|
malware_name |
string |
yes |
恶意软件名称 |
|
hash |
string |
no |
恶意软件文件sha256哈希值 |
|
final_status |
string |
yes |
对文件采取操作的最终状态:忽略、仍存在、已删除、已阻止、已隔离、已清除、已恢复 |
|
container_id |
string |
no |
容器实体的标识符 |
|
容器主机 |
字符串 |
否 |
管理容器实体的主机名称 |
|
文件路径 |
字符串 |
是 |
恶意软件文件路径 |
|
时间戳 |
时间戳 |
是 |
检测到恶意软件时的时间戳 |
|
签名数量 |
字符串 |
否 |
签名数量 |
|
任务扫描类型 |
整数 |
否 |
任务扫描类型 |
|
扫描引擎类型 |
整数 |
否 |
扫描引擎类型 |
|
已清理 |
整数 |
否 |
若文件在一分钟内生成多个同类型事件,则记录其被清理的次数 |
|
已阻止 |
整数 |
否 |
若应用程序或文件在一分钟内生成多个相同类型事件,则记录其被阻止的次数。 |
|
已删除 |
整数 |
否 |
若文件在一分钟内生成多个相同类型事件,则记录其被删除的次数。 |
|
已隔离 |
整数 |
否 |
若文件在一分钟内生成多个相同类型事件,则记录其被隔离的次数。 |
|
已忽略 |
整数 |
否 |
若文件或应用程序中的威胁在一分钟内生成多个相同类型事件,则记录其被检测并忽略的次数。 |
|
存在 |
整数 |
否 |
若文件或应用程序中的威胁在一分钟内生成多个相同类型事件,则记录其被检测到的次数。 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "av",
"product_installed": "BEST",
"user": {
"id": "S-1-5-21-1493276475-1689882908-858204327-1001",
"name": "testadmin"
},
"companyId": "63920a01070088b57f0be1d2",
"computer_name": "IRU-WIN10X64-A",
"computer_fqdn": "iru-win10x64-a",
"computer_ip": "10.17.40.189",
"computer_id": "65030d040a2422770e0022b5",
"malware_type": "file",
"malware_name": "EICAR测试文件(非病毒)",
"hash": "8b3f191819931d1f2cef7289239b5f77c00b079847b9c2636e56854d1e5eff71",
"final_status": "quarantined",
"file_path": "C:\\Users\\testadmin\\AppData\\Local\\VirtualStore\\eicar0000001.txt",
"timestamp": "2023-09-14T14:16:30.000Z",
"signaturesNumber": "7.95265",
"scanEngineType": 3,
"cleaned": 0,
"blocked": 0,
"deleted": 0,
"quarantined": 2,
"ignored": 0,
"present": 0
}
]
},
"id": 1694701009244
}
高级威胁控制(ATC)
当终端上检测并阻止潜在危险应用程序时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 的唯一终端标识符 |
|
漏洞利用类型 |
字符串 |
是 |
取值:IDS应用、AVC应用、AVC漏洞利用 |
|
漏洞利用路径 |
字符串 |
是 |
漏洞利用文件路径 |
|
进程命令行 |
字符串 |
否 |
检测到的进程命令行参数 |
|
父进程ID |
整数 |
否 |
检测到的进程的父进程PID |
|
父进程路径 |
字符串 |
否 |
检测对象的父进程路径 |
|
状态 |
字符串 |
是 |
取值:avc已拦截、avc已放行、avc已清除 |
|
最后拦截时间 |
时间戳 |
是 |
该应用/漏洞利用最后一次被拦截的时间戳 |
|
计数 |
整数 |
是 |
该应用/漏洞被检测到的次数 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"exploit_type": "AVC拦截的漏洞利用",
"exploit_path": "C:\\Users\\admin\\Desktop\\Tools\\avcsim\\win32\\avcsim32.exe",
"status": "avc_blocked",
"last_blocked": "2017-09-14T07:56:33.000Z",
"count": 1,
"module": "avc"
}
]
},
"id": 1505375801845
}
数据保护
根据数据保护规则,每当终端上的数据流量被拦截时就会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
target_type |
字符串 |
是 |
恶意软件类型:邮件、http |
|
blocking_rule_name |
字符串 |
是 |
数据保护规则名称 |
|
url |
字符串 |
是 |
网址 |
|
status |
字符串 |
是 |
始终为"data_protection_blocked" |
|
last_blocked |
时间戳 |
是 |
该邮件/网址最后一次被拦截的时间戳 |
|
count |
整数 |
是 |
该恶意软件被检测到的次数 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"target_type": "http",
"blocking_rule_name": "dv",
"url": "http://example.com/",
"status": "data_protection_blocked",
"last_blocked": "2017-09-11T10:23:43.000Z",
"count": 1,
"module": "dp"
}
]
},
"id": 1505125464691
}
Exchange恶意软件检测
当Bitdefender检测到您网络中的Exchange服务器上存在恶意软件时,会创建此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
公司标识符 |
|
计算机名称 |
字符串 |
是 |
计算机名 |
|
计算机全限定域名 |
字符串 |
是 |
全限定域名 |
|
计算机IP |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
端点ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
服务器名称 |
字符串 |
是 |
服务器名 |
|
发送者 |
字符串 |
是 |
邮件发件人 |
|
收件人 |
数组 |
是 |
邮件收件人列表(字符串数组) |
|
主题 |
字符串 |
是 |
邮件主题 |
|
检测时间 |
时间戳 |
是 |
检测时间 |
|
恶意软件 |
数组 |
是 |
检测到的恶意软件列表(数组格式:{"malwareName": 字符串, "malwareType": 字符串, "actionTaken": 字符串, "infectedObject": 字符串}) |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC- EXCHANGE - 01",
"computer_fqdn": "fc- exchange - 01.fc.dom",
"computer_ip": "192.168.0.1",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"product_installed": "BEST",
"endpointId": "59b7d9bfa849af3a1465b7e3",
"serverName": "FC- EXCHANGE - 01",
"sender": "fc_test01@fc.dom",
"recipients": [
"fc_test02@fc.dom"
],
"subject": "邮件发送中.. WL - cbe100c9f42a20ef9a4b1c20ed1a59f9 - 0",
"detectionTime": "2017- 09 - 13T14: 20:37.000Z",
"malware": [
{
"malwareName": "木马.Generic.KD.874127",
"malwareType": "病毒",
"actionTaken": "隔离",
"infectedObject": "WL- cbe100c9f42a20ef9a4b1c20ed1a59f9 - 0"
}
],
"module": "exchange-malware"
}
]
},
"id": 1505312459584
}
Exchange许可证使用已达上限
当Exchange许可证达到限制时生成此事件
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
companyId |
字符串 |
是 |
公司标识符 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"endpointId": "59b7d9bfa849af3a1465b7e3",
"module": "exchange-organization-info",
"mailboxes":8,
"license_limit":5,
"license_key":"5IMI111"
}
]
},
"id": 1505387661508
}
Exchange用户凭证
当因用户凭证无效导致目标Exchange服务器上无法启动按需扫描任务时,会生成此事件。需更改Exchange凭证以完成任务。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
companyId |
字符串 |
是 |
公司标识符 |
|
endpointId |
字符串 |
是 |
目标托管端点在 GravityZone 数据库 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"endpointId": "59b7d9bfa849af3a1465b7e3",
"module": "exchange-user-credentials"
}
]
},
"id": 1505387661508
}
防火墙
当终端代理根据应用策略阻止端口扫描或应用程序访问网络时,会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
计算机全限定域名 |
字符串 |
是 |
全限定域名 |
|
计算机IP地址 |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
状态 |
字符串 |
是 |
状态 |
|
本地端口 |
字符串 |
否 |
本地端口 |
|
协议ID |
字符串 |
否 |
由协议编号定义的恶意软件攻击协议标识符 协议编号 |
|
应用程序路径 |
字符串 |
否 |
应用程序路径 |
|
source_ip |
字符串 |
否 |
源IP地址 |
|
last_blocked |
时间戳 |
是 |
该连接最后一次被阻止的时间戳 |
|
count |
整数 |
是 |
该连接被检测到的次数 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"status": "portscan_blocked",
"protocol_id": "6",
"source_ip": "192.168.0.2",
"last_blocked": "2017-09-08T12:52:03.000Z",
"count": 1,
"module": "fw"
}
]
},
"id": 1504875129648
}
Hyper Detect事件
当Hyper Detect模块检测到恶意软件时生成的事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
string |
yes |
公司标识符 |
|
computer_name |
string |
yes |
计算机名称 |
|
computer_fqdn |
string |
yes |
完全限定域名 |
|
computer_ip |
string |
yes |
IP地址 |
|
computer_id |
string |
yes |
GravityZone数据库中 GravityZone 数据库 |
|
malware_type |
字符串 |
是 |
检测到的恶意软件类型:文件、http、cookie、pop3、smtp、进程、引导区、注册表、数据流 |
|
恶意软件名称 |
字符串 |
是 |
恶意软件名称 |
|
哈希值 |
字符串 |
否 |
恶意软件文件sha256哈希值 |
|
最终状态 |
字符串 |
是 |
对文件采取操作的最终状态:已忽略、仍存在、已删除、已阻止、已隔离、已清除、已恢复 |
|
容器ID |
字符串 |
否 |
容器实体的标识符 |
|
容器主机 |
字符串 |
否 |
管理容器实体的主机名称 |
|
文件路径 |
字符串 |
是 |
恶意软件文件路径 |
|
攻击类型 |
字符串 |
否 |
取值:定向攻击、灰色软件、漏洞利用、勒索软件、可疑文件及网络流量 |
|
检测级别 |
字符串 |
否 |
取值:宽松模式、标准模式、激进模式 |
|
是否为无文件攻击 |
字符串 |
否 |
若为无文件攻击则标记为真 |
|
命令行参数 |
字符串 |
否 |
命令行参数 |
|
进程信息路径 |
字符串 |
否 |
进程路径 |
|
进程信息命令行 |
字符串 |
否 |
进程命令行参数 |
|
父进程ID |
整数 |
否 |
父进程ID |
|
父进程路径 |
字符串 |
否 |
父进程路径 |
|
硬件标识符 |
字符串 |
是 |
硬件标识符 |
|
日期 |
时间戳 |
是 |
检测到恶意软件时的时间戳 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "hd",
"product_installed": "EPS",
"user": {
"name": "admin",
"sid": "BF410F3B-5F3A-41E1-BF8F-28DE6948A355
"
},
"computer_name": "DHMSI",
"computer_fqdn": "dhmsi",
"computer_ip": "10.10.18.226",
"computer_id": "5c4999491ddfad7177316f80",
"malware_type": "file",
"malware_name": "",
"hash": "hash_3",
"final_status": "quarantined",
"file_path": "44e695d9ed259aea10e5b57145d0d0dc.bender",
"attack_type": "suspicious files and network traffic",
"detection_level": "normal",
"is_fileless_attack": 1,
"command_line_parameters": "a b c",
"process_info_path": "C:\\a.exe",
"process_info_command_line": "c:\\a.exe -testParam",
"parent_process_id": 1716,
"parent_process_path": "C:\\Windows\\System32\\cmd.exe",
"hwid": "00000000-0000-0000-0000-406186b5****",
"companyId": "5c497704f9bf8d0b1b4df***",
"date": "2019-01-24T11:13:04.000Z"
}
]
},
"id": 1547719287349
}
产品模块状态
当已安装代理的安全模块被启用或禁用时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computerId |
字符串 |
是 |
端点设备在 GravityZone 数据库中的唯一标识符 |
|
container_id |
字符串 |
否 |
容器实体的标识符 |
|
container_host |
字符串 |
否 |
管理容器实体的主机名称 |
|
is_container_host |
布尔值 |
否 |
该机器是否为容器主机 |
|
恶意软件状态 |
布尔值 |
否 |
反恶意软件模块 |
|
反钓鱼状态 |
布尔值 |
否 |
反钓鱼模块 |
|
防火墙状态 |
布尔值 |
否 |
防火墙模块 |
|
主动威胁控制状态 |
布尔值 |
否 |
主动威胁控制模块 |
|
入侵检测系统状态 |
布尔值 |
否 |
入侵检测系统模块 |
|
网页过滤控制状态 |
布尔值 |
否 |
内容控制网页访问控制模块 |
|
网页分类过滤状态 |
布尔值 |
否 |
内容控制网页分类过滤模块 |
|
uc_application_status |
布尔型 |
否 |
内容控制应用程序黑名单模块 |
|
dp_status |
布尔型 |
否 |
内容控制数据保护模块 |
|
pu_status |
布尔型 |
否 |
高级用户模块 |
|
dlp_status |
布尔型 |
否 |
设备控制模块 |
|
exchange_av_status |
布尔型 |
否 |
Exchange保护反恶意软件模块 |
|
exchange_as_status |
布尔型 |
否 |
Exchange保护反垃圾邮件模块 |
|
exchange_at_status |
布尔型 |
否 |
Exchange保护附件过滤模块 |
|
exchange_cf_status |
布尔值 |
否 |
Exchange保护内容过滤模块 |
|
exchange_od_status |
布尔值 |
否 |
Exchange保护按需扫描模块 |
|
volume_encryption |
布尔值 |
否 |
加密模块 |
|
patch_management |
布尔值 |
否 |
补丁管理模块 |
|
container_protection_status |
布尔值 |
否 |
容器保护模块 |
|
network_monitor_status |
布尔值 |
否 |
网络攻击防御 模块 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC- WIN7 - X64 - 01",
"computer_fqdn": "fc- win7 - x64 - 01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"malware_status": 1,
"aph_status": 1,
"firewall_status": 1,
"avc_status": 1,
"uc_web_filtering": 0,
"uc_categ_filtering": 0,
"uc_application_status": 0,
"dp_status": 0,
"pu_status": 1,
"dlp_status": 0,
"module": "modules"
}
]
},
"id": 1504871857671
}
沙箱分析器检测
当沙箱分析器在提交的文件中检测到新威胁时,每次都会生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
companyId |
字符串 |
是 |
公司标识符 |
|
endpointId |
字符串 |
是 |
受控终端在 GravityZone 数据库中的标识符 |
|
deviceExternalId |
字符串 |
否 |
终端在 GravityZone 数据库中的唯一标识符 |
|
submissionId |
字符串 |
否 |
GravityZone 网络沙箱提交ID |
|
computerName |
字符串 |
是 |
计算机名称 |
|
computerIp |
字符串 |
是 |
计算机IP地址 |
|
detectionTime |
整数 |
是 |
检测时间 |
|
threatType |
字符串 |
是 |
威胁类型 |
|
filePaths |
数组 |
是 |
文件路径(字符串数组) |
|
fileSizes |
数组 |
是 |
文件大小(字符串数组) |
|
remediationActions |
数组 |
是 |
修复措施(字符串数组)。可能取值:
|
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"endpointId": "59a1604e60369e06733f8aba",
"computerName": "FC-WIN7-X64-01",
"computerIp": "192.168.0.1",
"detectionTime": 1505386969,
"threatType": "RANSOMWARE",
"filePaths": [
"C:\\Users\\Administrator\\Documents\\installer.xml",
"D:\\opt\\bitdefender\\installer2.xml",
"D:\\sources\\console\\CommonConsole\\app\\modules\\policies\\view\\endpoints\\networkSandboxing\\installer3.xml"
],
"fileSizes": [
"2614",
"2615",
"2616"
],
"remediationActions": [
"1",
"",
"1"
],
"module": "network-sandboxing"
}
]
},
"id": 1505386971126
}
产品注册
当网络中安装的代理注册状态发生变化时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装的 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中终端的唯一标识符 GravityZone 数据库 |
|
container_id |
字符串 |
否 |
容器实体的标识符 |
|
container_host |
字符串 |
否 |
管理容器实体的主机名称 |
|
is_container_host |
布尔值 |
否 |
该机器是否为容器主机 |
|
产品注册状态 |
字符串 |
是 |
取值:已注册、未注册 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-EXCHANGE-01",
"computer_fqdn": "fc-exchange-01.fc.dom",
"computer_ip": "192.168.0.1",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"product_installed": "BEST",
"product_registration": "已注册",
"module": "registration"
}
]
},
"id": 1505221060168
}
过期的更新服务器
当更新服务器的恶意软件特征库过期时生成此事件
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
来自SUPA |
布尔值 |
是 |
标识来自中继服务器的事件(始终为真) |
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
status |
布尔值 |
是 |
更新状态 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"status": 0,
"fromSupa": 1,
"module": "supa-update-status"
}
]
},
"id": 1505379714808
}
过载的安全服务器
当网络中安全服务器的扫描负载超过设定阈值时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
计算机全限定域名 |
字符串 |
是 |
全限定域名 |
|
计算机IP地址 |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中 的唯一端点标识符 |
|
平均负载 |
整数 |
是 |
平均负载 |
|
CPU使用率 |
整数 |
是 |
CPU使用率 |
|
内存使用率 |
整数 |
是 |
内存使用率 |
|
网络使用率 |
整数 |
是 |
网络使用量 |
|
overallUsage |
整数 |
是 |
总体使用量 |
|
svaLoad |
字符串 |
否 |
SVA负载 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "bitdefender-sva",
"computer_fqdn": "bitdefender-sva",
"computer_ip": "192.168.0.1",
"computer_id": "59b8f3aba849af3a1465b81e",
"product_installed": "SVA",
"loadAverage": 1,
"cpuUsage": 48,
"memoryUsage": 32,
"networkUsage": 0,
"overallUsage": 48,
"svaLoad": "正常",
"module": "sva-load"
}
]
},
"id": 1505293227782
}
安全服务器状态
当特定安全服务器状态发生变化时生成此事件。状态涉及电源(开机/关机)、产品更新、特征库更新及需重启情况。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
powered_off |
布尔值 |
是 |
已关机 |
|
product_update_available |
布尔值 |
否 |
产品更新可用 |
|
签名更新 |
时间戳 |
否 |
最后一次签名更新时间戳 |
|
产品需重启 |
布尔值 |
否 |
若需重启则为真 |
|
最后更新 |
字符串 |
否 |
最后更新时间 |
|
最后更新错误 |
字符串 |
否 |
最后更新错误信息 |
|
更新签名引擎版本 |
字符串 |
否 |
安全服务器引擎版本 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "bitdefender-sva",
"computer_fqdn": "bitdefender-sva",
"computer_ip": "192.168.0.1",
"computer_id": "59b8f3aba849af3a1465b81e",
"product_installed": "SVA",
"powered_off": 0,
"product_update_available": 1,
"product_reboot_required": 0,
"lastupdate": "0",
"updatesigam": "7.72479",
"module": "sva"
}
]
},
"id": 1505293227782
}
反漏洞利用事件
当高级反漏洞利用功能触发检测时生成此事件。
参数:
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
产品安装 |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
计算机名 |
字符串 |
是 |
计算机名称 |
|
计算机FQDN |
字符串 |
是 |
完全限定域名 |
|
计算机IP |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 GravityZone 数据库 |
|
container_id |
字符串 |
否 |
容器实体的标识符 |
|
container_host |
字符串 |
否 |
管理容器实体的主机名称 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中管理的终端标识符 GravityZone 数据库 |
|
detection_action |
字符串 |
是 |
检测到威胁后采取的措施 |
|
detection_threatName |
字符串 |
否 |
威胁类型 |
|
detection_pid |
字符串 |
是 |
检测到的进程ID |
|
detection_exploitTechnique |
字符串 |
是 |
检测中采用的技术 |
|
detection_parentPid |
字符串 |
否 |
被检测进程的父进程pid |
|
detection_path |
字符串 |
是 |
检测路径 |
|
detection_parentPath |
字符串 |
否 |
检测中父进程的路径 |
|
detection_cve |
字符串 |
否 |
检测到的CVE |
|
detection_payload |
字符串 |
否 |
检测到的载荷 |
|
detection_username |
字符串 |
否 |
检测发生时登录的用户 |
|
detection_time |
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "antiexploit",
"product_installed": "BEST",
"companyId": "5cf10c8af23f73097377c924",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "5cf51ba5e8ee8c5b1852a9d7",
"endpointId": "5cf51ba5e8ee8c5b1852a9d6",
"detection_action": "kill",
"detection_threatName": "EICAR-Test-File (not a virus)",
"detection_pid": "2000",
"detection_exploitTechnique": "Flash/Generic",
"detection_parentPid": "4000",
"detection_path": "C:\\file15c8ba8b90ea1de127962f464.exe",
"detection_parentPath": "C:\\file25c8ba8b90ea1de127962f464.exe",
"detection_username": "user@domain.com",
"detection_time": "2019-06-03T13:58:30.000Z"
}
]
},
"id": 1547719287349
}
网络攻击防御事件
当网络攻击防御模块触发检测时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 |
|
endpointId |
字符串 |
是 |
终端标识符 |
|
label |
字符串 |
否 |
管理员在网络网格中设置的标签 |
|
actionTaken |
字符串 |
是 |
检测到威胁后采取的措施 |
|
detection_name |
字符串 |
是 |
从BEST接收到的检测名称 BEST |
|
检测_攻击技术 |
字符串 |
是 |
网络攻击防御策略中设置的攻击技术名称 |
|
源IP |
字符串 |
是 |
攻击源IP地址 |
|
受害者IP |
字符串 |
是 |
受害者终端的IP地址 |
|
本地端口 |
字符串 |
是 |
攻击发生的端口号 |
|
时间戳 |
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "网络监控",
"product_installed": "BEST",
"user": {
"userName": "user1@domain.com",
"userSid": "S-1-2-3-4"
},
"computer_name": "测试终端",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "5d639e8f48ac2f04f6e00b1c",
"actionTaken": "仅报告",
"detection_name": "隐私威胁.密码窃取
.HTTP",
"detection_attackTechnique": "发现",
"source_ip": "10.17.134.4",
"victim_ip": "213.211.198.58",
"local_port": "80",
"timestamp": "2019-01-24T11:13:04.000Z"
}
]
},
"id": 1547719287349
}
任务状态
每当任务状态发生变化时都会生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装的 GravityZone 组件 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
计算机名称 |
字符串 |
是 |
计算机名 |
|
计算机FQDN |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中唯一的端点标识符 GravityZone 数据库 |
|
userId |
字符串 |
是 |
用户标识符 |
|
taskId |
字符串 |
是 |
任务标识符 |
|
taskName |
字符串 |
是 |
任务名称 |
|
taskType |
整数 |
是 |
任务类型 |
|
targetName |
字符串 |
是 |
任务名称 |
|
isSuccessful |
boolean |
是 |
若任务执行成功则为真 |
|
status |
integer |
是 |
任务状态 |
|
errorMessage |
string |
是 |
错误信息 |
|
errorCode |
integer |
是 |
错误代码 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"userId": "59a14b2b1da197c6108b4568",
"taskId": "59b28dc81da19711058b4568",
"taskName": "快速扫描 2017-09-08(子任务)",
"taskType": 272,
"targetName": "FC-WIN7-X64-01",
"isSuccessful": 1,
"status": 3,
"errorMessage": "",
"errorCode": 0,
"module": "task-status"
}
]
},
"id": 1504874269032
}
用户控制/内容控制
当终端用户活动(如网页浏览或软件应用)根据应用策略被阻止时生成此事件。
重要提示
根据您指定的服务器,此事件类型可能默认未激活。请登录控制台检查URL:若您正在使用
https://cloud.gravityzone.bitdefender.com
,需联系技术支持申请激活该事件类型。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装的 GravityZone 组件标识符 |
|
companyId |
string |
yes |
公司标识符 |
|
computer_name |
string |
yes |
计算机名称 |
|
computer_fqdn |
string |
yes |
FQDN |
|
computer_ip |
string |
yes |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中唯一的终端标识符 GravityZone 数据库 |
|
uc_type |
字符串 |
否 |
取值:application, http |
|
url |
字符串 |
否 |
网址 |
|
block_type |
字符串 |
否 |
取值:application, http_timelimiter, http_blacklist, http_categories, http_bogus, http_antimalware |
|
categories |
字符串 |
否 |
取值:网络代理、游戏、小报、仇恨、赌博、毒品、非法、购物、在线支付、视频、社交网络、在线约会、即时通讯、搜索引擎、地区顶级域名、新闻、色情、成人内容、博客、文件共享、麻醉品、在线视频、宗教、自杀、健康、暴力卡通、武器、黑客、诈骗、休闲游戏、网络游戏、电脑游戏、在线照片、广告、建议、银行、商业、计算机与软件、教育、娱乐、政府、爱好、主机托管、求职、门户网站、广播音乐、体育、消磨时间、旅游、网页邮件 |
|
application_path |
字符串 |
否 |
应用程序路径 |
|
status |
字符串 |
否 |
取值:uc_application_blocked, uc_site_blocked |
|
last_blocked |
timestamp |
no |
该恶意软件最后一次被拦截的时间戳 |
|
count |
integer |
no |
该恶意软件被检测到的次数 |
Example :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"companyId": "59a14b271da197c6108b4567",
"computer_name": "FC-WIN7-X64-01",
"computer_fqdn": "fc-win7-x64-01",
"computer_ip": "192.168.0.1",
"computer_id": "59a1604e60369e06733f8abb",
"product_installed": "BEST",
"uc_type": "http",
"url": "http://192.168.0.1:2869/upnphost/udhisapi.dll",
"block_type": "http_timelimiter",
"categories": "",
"status": "uc_site_blocked",
"last_blocked": "2017-09-08T12:46:30.000Z",
"count": 1,
"module": "uc"
}
]
},
"id": 1504874799367
}
Install Agent
当代理程序安装在终端时生成此事件
Parameters :
|
Name |
Type |
Mandatory |
Description |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。取值:
|
|
product_installed |
string |
yes |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 GravityZone 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中的受管终端标识符 GravityZone 数据库 |
|
硬件ID |
字符串 |
是 |
硬件标识符 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "5cf51ba5e8ee8c5b1852a9d7",
"module": "install",
"endpointId": "5e2085febf255a545e52276b",
"hwid": "00000000-0000-0000-0000-406186b5bdbd50"
}
]
},
"id": 1547719287350
}
卸载代理
当从终端卸载代理时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
reason |
整数 |
是 |
卸载方法。可用选项:
|
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"endpointId": "5e2085febf255a545e52276b",
"reason": 1,
"module": "uninstall"
}
]
},
"id": 1505221060168
}
硬件ID变更
当网络中终端的硬件ID发生变更时生成此事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 数据库 |
|
old_hwid |
字符串 |
是 |
机器的旧硬件ID |
|
new_hwid |
字符串 |
是 |
机器的新硬件ID |
|
endpointId |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "hwid-change",
"product_installed": "BEST",
"companyId": "5e207bc354060806ed24a132",
"computer_name": "A",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.526",
"computer_id": "5e284ff5b7e43d387ba54a96",
"old_hwid": "00000000-0000-0000-0000-406186b5bde7",
"new_hwid": "00000000-0000-0000-0000-406186b5bde6",
"endpointId": "5e284ff5b7e43d387ba54a95"
}
]
},
"id": 1547719287349
}
终端设备迁入
当终端设备在网络资产清单中从一个公司迁移至另一个公司时生成此事件。目标公司将接收该事件。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装产品的标识符 GravityZone 组件 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 的唯一终端标识符 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中 的受管终端标识符 数据库 |
|
hwid |
字符串 |
是 |
硬件标识符 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4568",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "59b7d9bfa849af3a1465b7e3",
"endpointId": "5e2085febf255a545e52276a",
"module": "endpoint-moved-in",
"hwid": "5e284ff-5b7e43d387ba-54a95"
}
]
},
"id": 1505221060169
}
终端移出
当终端在网络资产清单中从一个公司迁移至另一公司时生成此事件。该事件由源公司接收。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
已安装产品 |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中唯一终端标识符 GravityZone 数据库 |
|
endpointId |
字符串 |
是 |
GravityZone数据库中的受管终端标识符 GravityZone 数据库 |
|
hwid |
字符串 |
是 |
硬件标识符 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.18.226",
"computer_id": "59b7d9bfa849af3a1465b7e4",
"endpointId": "5e2085febf255a545e52276b",
"module": "endpoint-moved-out",
"hwid": "5e284ff-5b7e43d387ba-54a95"
}
]
},
"id": 1505221060170
}
故障排查活动
当故障排查任务结束时生成该事件,并通知其状态。若成功,将提供相关日志。
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
taskId |
字符串 |
是 |
当前故障排除任务的ID |
|
taskType |
字符串 |
是 |
任务类型 |
|
errorCode |
整数 |
是 |
若任务失败时表示错误代码的整数值 |
|
username |
字符串 |
否 |
启动故障排除任务的用户账户名称 |
|
localPath |
字符串 |
否 |
目标机器上存放故障排除归档文件的路径 |
|
networkSharePath |
字符串 |
否 |
网络共享中存放故障排除归档文件的路径 |
|
saveToBitdefenderCloud |
布尔值 |
否 |
是否将故障排除归档文件同时上传至Bitdefender云端的选项 |
|
status |
整数 |
是 |
任务完成时的状态代码 |
|
stopReason |
整数 |
否 |
故障排除活动被终止的原因代码 |
|
failedStorageType |
整数 |
否 |
当部分交付方式成功而部分失败时,标识具体失败的存储类型 |
|
startDate |
时间戳 |
否 |
事件开始的时间戳 |
|
endDate |
时间戳 |
否 |
产品报告的事件时间,已格式化为字符串表示形式 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"product_installed": "BEST",
"companyId": "59a14b271da197c6108b4567",
"computer_name": "TEST_ENDPOINT_WINDOWS_10",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.0.101",
"computer_id": "5ee30e2b29a4e218489442b6",
"module": "troubleshooting-activity",
"taskId": "5eea0105f23f731302405833",
"taskType": "Debug Session",
"errorCode": 3,
"username": "test@test.com",
"localPath": "/test/dir",
"networkSharePath": "//1.2.3.4/dir",
"saveToBitdefenderCloud": 0,
"status": 3,
"stopReason": 2,
"failedStorageType": 1,
"startDate": "2020-06-24T06:06:48.000Z",
"endDate": "2020-06-24T06:09:28.000Z"
}
]
},
"id": 1505221060169
}
勒索软件活动检测
当终端代理阻止勒索软件攻击时触发此事件
参数 :
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装的 GravityZone 组件标识符 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
company_name |
字符串 |
是 |
检测到攻击事件所属公司 |
|
endpoint_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
attack_type |
字符串 |
是 |
勒索软件攻击类型 |
|
受影响项数量 |
字符串 |
是 |
攻击期间被加密的文件数量 |
|
检测时间 |
整数 |
是 |
攻击被检测到的日期和时间 |
|
攻击源 |
字符串 |
是 |
远程攻击时的远程IP地址或本地攻击时的进程路径 |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "ransomware-mitigation",
"companyId": "5dad6f685f627d42cb3cd434",
"product_installed": "SVA",
"user": {
"name": "用户",
"sid": "S-11-22-33"
},
"company_name": "Bitdefender",
"computer_name": "DC-Nebula",
"computer_fqdn": "dc-nebula.nebula.local",
"computer_ip": "10.17.16.10",
"computer_id": "5ed4d2fef23f7325715dbb22",
"attack_type": "远程",
"item_count": "23",
"detected_on": 1591007594,
"attack_source": "10.10.20.120"
}
]
},
"id": 1505221060169
}
新事件
每当在 控制中心 的“事件”部分显示新的根本原因分析(RCA)时,都会生成此事件。该事件包含从RCA JSON中提取的相关项目列表,可用于通过EDR特定数据丰富SIEM驱动的关联分析。
参数 :
|
名称 |
类型 |
是否必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
计算机IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中 GravityZone 数据库 |
|
incident_id |
字符串 |
是 |
事件标识符 |
|
severity_score |
整数 |
是 |
严重性评分 |
|
攻击入口 |
整数 |
是 |
攻击入口 |
|
主要动作 |
字符串 |
是 |
主要动作 |
|
检测名称 |
字符串 |
否 |
检测名称 |
|
文件名 |
字符串 |
否 |
文件名 |
|
文件路径 |
字符串 |
否 |
文件路径 |
|
文件MD5哈希值 |
字符串 |
否 |
MD5文件哈希 |
|
文件SHA256哈希值 |
字符串 |
否 |
SHA-256文件哈希 |
|
URL |
字符串 |
否 |
域名URL |
|
端口 |
整数 |
否 |
域名端口 |
|
协议 |
字符串 |
否 |
应用层协议 |
|
源IP |
字符串 |
否 |
源IP地址 |
|
进程PID |
整数 |
否 |
进程PID |
|
进程路径 |
字符串 |
否 |
进程路径 |
|
父进程PID |
整数 |
否 |
父进程PID |
|
父进程路径 |
字符串 |
否 |
父进程路径 |
|
攻击类型 |
数组 |
否 |
攻击类型 |
|
攻击ID |
数组 |
否 |
MITRE ATT&CK框架中的攻击ID |
|
进程命令行 |
字符串 |
否 |
命令行中的进程参数 |
|
严重程度 |
字符串 |
是 |
生成事件的严重等级 |
|
公司ID |
字符串 |
是 |
公司标识符 |
|
节点 |
对象数组 |
否 |
提供事件相关实体的详细信息 注意该参数在此事件类型的CEF格式中不可用 |
|
终端ID |
字符串 |
是 |
终端标识符 |
|
用户名 |
字符串 |
否 |
发现事件时登录的用户 |
|
用户_sid |
字符串 |
否 |
与事件源相关的用户SID |
示例 :
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "new-incident",
"created": "2020-07-20T09:36:23.485Z",
"computer_id": "5efb3a520075db7384dfa286",
"computer_fqdn": "desktop-jac14gs",
"computer_name": "DESKTOP-JAC14GS",
"detection_name": "ATC.Malicious",
"attack_types": [
"其他"
],
"computer_ip": "10.17.23.30",
"severityScore": 90,
"incident_id": "5f1557cbe7b2584f3959ee19",
"attack_entry": 1688239188,
"parent_process_path": "c:\\windows\\system32\\cmd.exe",
"parent_process_pid": 9636,
"process_path": "c:\\users\\bdadmin\\desktop\\atcsim\\atcsim32.exe",
"process_pid": 10324,
"username": "DESKTOP-JAC14GS\\bdadmin",
"user_sid": "S-1-5-21-3349207704-443292085-2237656896-1003",
"process_command_line": "detect",
"file_hash_md5": "ccb1b07bdf330627f02b3c832663a489",
"file_hash_sha256": "d5adc6a65a57d30d3ae70d195983d155e7cd24f26eb1ebebde9b92655251ec55",
"att_ck_id": [
"T1036",
"T1059",
"T1002",
"T1012"
],
"severity": "高危",
"main_action": "无操作",
"endpointId": "5efb3a520075db7384dfa285",
"companyId": "5efb2f7154060876cb4a13d2",
"nodes": [
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "runme.exe",
"type": "进程执行",
"details": {
"file": {
"name": null,
"path": "c:\\users\\bdvm\\desktop\\edr win samples\\ctc sample\\runme.exe",
"md5": "b5f9240a49fcc6be5de168c5cbbff59a",
"sha256": "8407fe2c7da0141f111806ec5d3453d92099b75070b0ff829f2efcc38100794d"
},
"process": {
"pid": 6368,
"parent": {
"pid": 7036,
"name": "explorer.exe",
"path": null
},
"command_line": "",
"user_sid": "S-1-5-21-3349207704-443292085-2237656896-1003",
"user_name": "LEV-EDR5\\BDVM",
"exection_date": "2020-11-26T11:07:47+02:00",
"name": null
}
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"name": "desktop",
"type": "文件",
"details": {
"name": null,
"path": "c:\\users\\bdvm\\desktop",
"md5": null,
"sha256": null
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "注册表",
"details": {
"registry": {
"key": "",
"value": "",
"data": ""
},
"process": {
"id": 0,
"name": "",
"path": ""
}
}
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "域名",
"details": {
"domain": {
"requested_url": "",
"remote_port": "",
"source_application": ""
},
"process": {
"id": 0,
"name": "",
"path": ""
},
"file": {
"md5": "",
"sha256": ""
}
}
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "容器或容器主机",
"details": {
"name": "",
"hardware_id": "",
"ip": "",
"container": true,
"container_host": false
}
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1c",
"type": "终端",
"details": {
"name": "",
"hardware_id": "",
"ip": "",
"container": true,
"container_host": false
}
"total_alerts": 0
}
]
}
]
},
"id": 1505221060171
}
新扩展事件
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
创建时间 |
字符串 |
是 |
事件创建时的时间戳。 |
|
最后更新时间 |
字符串 |
是 |
事件最后一次更新的时间戳。 |
|
最后处理时间 |
字符串 |
是 |
事件最后一次处理时的时间戳。 |
|
事件ID |
字符串 |
是 |
事件的唯一标识符。 |
|
事件编号 |
整数 |
是 |
事件编号,即其在 GravityZone . |
|
version |
integer |
yes |
事件的版本号。 |
|
severity |
string |
yes |
基于严重性评分的事件严重性等级。 可能取值:
|
|
severity_score |
integer |
yes |
事件的严重性评分。 |
|
main_action |
string |
yes |
针对事件采取的主要处置措施。 |
|
killchain_phases |
array of strings |
yes |
与该事件关联的MITRE ATT&CK攻击链阶段列表。 |
|
最后攻击链阶段 |
字符串 |
是 |
攻击过程中达到的最后一个MITRE ATT&CK攻击链阶段 |
|
攻击类型 |
字符串数组 |
是 |
触发该事件时使用的攻击类型 |
|
关联事件 |
字符串数组 |
是 |
与该事件关联的其他事件ID列表 |
|
节点 |
对象数组 |
是 |
涉及事件的实体列表(例如终端、服务器、移动设备、路由器、打印机、物联网设备、攻击者和电子邮件)。每个对象包含id、名称、类型、详情和total_alerts字段。 注意该参数以CEF格式的字符串数组形式返回。 |
示例
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "new-extended-incident",
"created": "2020-07-20T09:36:23.485Z",
"last_updated": "2020-07-20T09:36:23.485Z",
"last_processed": "2020-07-20T09:36:23.485Z",
"incident_id": "5f1557cbe7b2584f3959ee19",
"incident_number": 1,
"version": 1,
"severity_score": 100,
"severity": "high",
"main_action": "action_needed",
"killchain_phases": [
"initial_access",
"execution",
"c&c"
],
"last_killchain_phase": "execution",
"attack_types": [
"exploit",
"spearphishing",
"exfiltration"
],
"correlated_incidents": [
"5f1557cbe7b2584f3959ee17",
"5f1557cbe7b2584f3959ee18"
],
"nodes": [
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "endpoint",
"details": {
"hardware_id": "",
"ips": [
"127.0.0.1",
"192.168.1.1"
],
"macs": [
""
],
"computer_id": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "server",
"details": {
"hardware_id": "",
"ips": [
"127.0.0.1",
"192.168.1.1"
],
"macs": [
""
],
"computer_id": "",
"network_services": [
"file_sharing",
"mail",
"dc_controller"
]
},
"total_alerts": 0
},
{
"id": "67",
"name": "",
"type": "mobile_device",
"details": {
"device_id": "",
"ip": "127.0.0.1",
"operating_system": "",
"device_group_name": "",
"phone_number": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "router",
"details": {
"ip": "127.0.0.1",
"mac": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "printer",
"details": {
"ip": "127.0.0.1",
"mac": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "iot",
"details": {
"ip": "127.0.0.1",
"mac": ""
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "attacker",
"details": {
"threat_group": "Lazarus"
},
"total_alerts": 0
},
{
"id": "67dd30dd4a842ebbbb0b6b1b",
"name": "",
"type": "email",
"details": {
"sender": "",
"recipients": [
""
],
"subject": "",
"attachments": [
""
]
},
"total_alerts": 0
}
]
}
]
},
"id": 1505221060171
}
合作伙伴变更
每当客户公司加入或退出您的管理时,都会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。取值:
|
|
companyId |
字符串 |
是 |
新合作伙伴公司的ID。 |
|
moved_company_id |
字符串 |
是 |
已变更合作伙伴的公司ID。 |
|
moved_company_name |
字符串 |
是 |
已变更合作伙伴的公司名称。 |
|
action |
字符串 |
是 |
合作伙伴采取的操作。可能取值:
|
|
license_type |
字符串 |
否 |
公司的许可证类型。 |
|
end_subscription_date |
时间戳 |
否 |
公司的订阅截止日期。 |
|
auto_renew_period |
字符串 |
否 |
订阅有效期将自动延长的月数。 |
|
minimal_commitment_usage_endpoints |
整数 |
否 |
该公司承诺每月使用的最小端点数量。 |
|
enabled_services |
数组 |
否 |
该公司启用的服务列表。 |
示例:
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [{
"module": "partner-changed",
"companyId": "638f118f6b82bec40d0976df",
"moved_company_id": "628f107f6b82bec40d0976af",
"moved_company_name": "Bitdefender",
"action": "joined",
"license_type": "Monthly",
"end_subscription_date": "2022-12-30T23:59:00",
"auto_renew_period": 12,
"minimal_commitment_usage_endpoints": 2,
"enabled_services": [
"邮件安全",
"全盘加密",
"补丁管理",
"HyperDetect",
"沙箱分析器"
]
}]
},
"id": 1505221060171
}
安全容器更新可用
当您网络中安装的安全容器有可用更新时,此通知将提醒您。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符。 |
|
companyId |
字符串 |
是 |
公司标识符 |
|
computer_name |
字符串 |
是 |
计算机名称 |
|
computer_fqdn |
字符串 |
是 |
完全限定域名 |
|
computer_ip |
字符串 |
是 |
IP地址 |
|
computer_id |
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
host_name |
字符串 |
是 |
过时安全容器的主机名 |
{
"jsonRPC示例": {
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "security-container-update-available",
"product_installed": "BEST",
"companyId": "60f00bd6c1aa8571d55a9314",
"computer_name": "security-container-x",
"computer_fqdn": "security-container-x-containers-host.dsd.ro",
"computer_ip": "10.17.15.247",
"computer_id": "60f6ba5e1b3272cce33c3281",
"host_name": "TEST_ENDPOINT_2"
}
]
},
"id": 1626946550489
}
}
集成中心状态变更
当集成中心内配置的集成状态发生变化时,此通知将向您发出提醒。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
模块 |
字符串 |
是 |
事件类型标识符。取值:
|
|
company_id |
字符串 |
是 |
公司标识符 |
|
integration_id |
字符串 |
是 |
集成ID |
|
integration_name |
字符串 |
是 |
集成名称 |
|
integration_type |
字符串 |
是 |
集成类型 |
|
integrator_fqdn |
字符串 |
否 |
集成器FQDN |
|
integrator_ip |
字符串 |
否 |
集成器IP |
|
integrator_hwid |
字符串 |
否 |
集成商硬件ID |
|
integrator_id |
字符串 |
否 |
集成商ID |
|
integrator_name |
字符串 |
否 |
集成商名称 |
|
日期 |
时间戳 |
是 |
状态变更时的时间戳 |
|
error_code |
整数 |
是 |
导致状态变更的错误代码 |
|
status |
字符串 |
是 |
新的集成状态 |
|
_testEvent_ |
布尔值 |
是 |
指示是否为测试事件 |
{
"jsonrpc": "2.0",
"method": "addEvents",
"params": {
"events": [
{
"module": "integrations-hub-status",
"company_id": "67bdd1b355c6085de10060b2",
"integration_id": "67a0c5e7b365a314820f1582",
"integration_name": "zzz3",
"integration_type": "vcenter",
"integrator_fqdn": "fc-win7-x64-01",
"integrator_ip": "10.17.46.207",
"integrator_hwid": "098H52ST479QE053V2",
"integrator_id": "5d529fb7008739443adb4003",
"integrator_name": "FC-WIN7-X64-01",
"date": "2025-02-24T13:01:17.000Z",
"error_code": 0,
"status": "active",
"_testEvent_": true
}
]
},
"id": 1741345761804
}