JSON字段
下方列表显示警报 JSON 选项卡中的可用字段:
|
字段名称 |
描述 |
|---|---|
|
attack_type |
恶意软件类型 可选值:
|
|
ctc版本 |
该 EDR 版本 |
|
检测分类 |
警报类型 可选值:
|
|
附加信息.新增服务文件路径 |
新增服务的文件路径 |
|
附加信息.新增服务名称 |
新增服务的名称 |
|
附加信息.额外信息1 |
特定事件相关的额外信息 |
|
附加信息.额外信息2 |
特定事件相关的额外信息 |
|
附加信息.文件加壳名称 |
文件加壳工具名称 |
|
附加信息.文件版本公司名称 |
可执行文件元数据中列出的公司名称字段 |
|
附加信息.文件版本产品名称 |
可执行文件元数据中列出的产品名称字段 |
|
extra_info.ldap_distinguished_name |
LDAP对象的识别名称 |
|
extra_info.lnk_path |
文件的直接下载链接 |
|
extra_info.new_hardware_device_name |
设备名称 |
|
extra_info.process_injection_target_commandline |
被注入进程的命令行 |
|
extra_info.process_read_memory_target_commandline |
被注入进程的命令行 |
|
extra_info.process_read_memory_target_path |
从内存读取的进程命令行 |
|
extra_info.process_read_memory_target_pid |
从内存读取的进程ID |
|
extra_info.requester_system_name |
源主机名 |
|
extra_info.smb_host_name |
SMB连接的主机名 |
|
extra_info.smb_user |
SMB连接的用户 |
|
extra_info.winrm_connection_user_agent |
Windows远程管理连接中使用的用户代理 |
|
extra_info.wmi_execute_method_class_name |
Windows管理规范(WMI)类名 |
|
extra_info.wmi_execute_method_method_name |
Windows管理规范(WMI)函数名 |
|
extra_info.wmi_interface |
用于与API交互的Windows管理规范(WMI)接口 |
|
malware_family |
恶意软件家族 |
|
malware_type |
恶意软件类型 |
|
severity |
严重程度等级 |