跳至主内容

完整性监控 事件

当受支持实体被修改时,系统会在 报告 > 完整性监控 事件 .

完整性监控 事件 该页面提供以下筛选选项:

  • 事件日期

  • 终端

  • 变更类型 。此筛选选项允许选择一种或多种变更类型:全部、创建、更新、删除和重命名。

  • 严重程度 。此筛选选项允许选择严重程度类型:全部、低、中、高和严重。

  • 分类 。此筛选选项允许选择事件分类:

    • Bitdefender可信 可信 - 此类事件由被Bitdefender判定为安全的进程路径触发。 Bitdefender 。在Windows终端上,还会检查进程路径是否具有有效数字签名。

    • 未批准 - 此类事件根据策略应用的规则触发。

    • 已批准 - 此类事件最初标记为未批准,但后续被用户修改。

    更改事件分类的步骤如下:

    1. 选中需要更改分类的事件。

    2. 更改分类 下拉列表中选择新状态。

      gravityzone_cl_pt_fim_cange_category.png

  • 更多 。此筛选选项允许选择其他选项:全部、原因、实体类型、位置和用户。

注意

完整性监控 每小时最多显示5000个事件。若达到该数量,后续一小时内的新事件将不再发送至 GravityZone

事件详情窗口

事件详情 窗口在选中事件后显示于页面右侧。此处可查看触发该事件的变更内容。

您可通过拖拽四圆点来调整 事件详情 窗口大小。

事件详情 窗口包含以下字段:

  • 常规信息:

    • 原因 :触发事件的规则。

    • 事件日期

    • 严重等级

    • 终端名称

    • 用户 :修改文件的终端用户。

    • 类别

  • 详细信息:

    • 事件类型

    • 位置

    • 变更类型

    • MITRE ATT&CK ID

  • 属性变更:

    • 大小

    • 哈希值

    • 最后修改时间

    • 权限

    • 所有者

    • 属性

    • 子键

    • 发布者

    • 版本

    • 安装日期

    • 安装位置

    • 镜像路径

    • 启动类型

    • 状态

    备注

    所有属性变更均显示各类型的先前值与更新值。

  • 执行操作:

    • 修复

    • 移至隔离区

    • 删除

      重要提示

      若文件因活动规则或其他应用程序锁定而计划删除或移至隔离区,其状态将被设为 待处理 。系统将自动重试该操作。当文件解锁并执行操作时,用户将在 GravityZone 中收到通知。

注意

在Windows系统中,仅当启用 审核账户管理 时才能监控用户特定事件。详情请参阅 审核账户管理 .

本节 :