Syslog数据字典
用户活动数据字典
本节详述用户活动字段。表格展示了Syslog和Kinesis输出的用户活动数据元素,条目按字母顺序排列。
注意
针对Amazon Kinesis和通用SIEM系统目标类型,可请求获取威胁及用户活动数据。
|
字段名称 |
类型 |
描述 |
|---|---|---|
|
操作 |
字符串 |
对系统中发生动作的描述 移动安全 控制台中的操作描述,例如 用户登录失败 或 策略发布 。操作列表如下所示。 |
|
日期 |
字符串 |
操作发生的日期和时间,格式如“2021年4月15日 15:00:03 UTC”。 |
|
用户 |
字符串 |
执行操作的用户邮箱或发起变更的程序名称。 |
操作列表可能包含以下事件:
-
审计事件样本分析事件
-
开发者签名添加事件
-
开发者签名已存在事件
-
开发者签名移除事件
-
导出配置创建事件
-
导出配置更新事件
-
标记为已批准
-
标记为已修复
-
隐私政策发布
-
隐私政策发布
-
样本黑名单事件
-
样本创建事件
-
样本不合规事件
-
样本从黑名单移除事件
-
样本从不合规状态移除事件
-
样本从白名单移除事件
-
样本重命名事件
-
样本重新扫描事件
-
样本加入白名单事件
-
用户已删除
-
用户登录失败
-
用户注销
-
用户已更新
-
用户受邀
-
用户登录
Syslog威胁数据字典
关于字段可用性
各模式下的Syslog输出字段将在以下章节详述。字段表的行表示该字段是否对所有或部分威胁类型"可用"。 字段可用性说明如下。
-
所有威胁:此字段可应用于所有威胁类型。
-
多重威胁:此字段适用于多个威胁类型。
-
特定威胁:此字段仅适用于单一威胁类型。
简洁模式字段
本表展示简洁模式请求下Syslog输出的数据元素。表格条目按字母顺序排列。
注意
并非所有字段都可用,即使它们可能适用于所有威胁。例如,字段值可能为空,或由于 移动安全 控制台策略设置未捕获和上报该字段。
|
字段名称 |
描述 |
可用性 |
|---|---|---|
|
device_info |
包含以下字段的设备信息 |
所有威胁 |
|
device_info.app |
上报威胁事件的应用程序名称 |
所有威胁 |
|
device_info.app_version |
上报威胁事件的应用程序版本 |
所有威胁 |
|
device_info_developer_options_on (a) |
适用于安卓设备,表示开发者选项已开启 |
所有威胁 |
|
device_info.device_id |
设备标识符 |
所有威胁 |
|
device_info.device_time |
事件发生时设备上的时间戳及时区 |
所有威胁 |
|
device_info,disk_not_encrypted (a) |
设备未启用磁盘加密 |
所有威胁 |
|
device_info.imei |
唯一设备标识符 |
所有威胁 |
|
device_info.jailbroken |
越狱状态(布尔值) |
所有威胁 |
|
device_info.lock_screen_unprotected (a) |
设备未设置锁屏密码 |
所有威胁 |
|
device_info.model |
设备型号字符串,例如“Nexus 5” |
所有威胁 |
|
device_info.mdm_id |
若设备属于MDM部署,则显示MDM标识符 |
所有威胁 |
|
device_info.mam_id (c) |
若设备属于MAM部署,则显示MAM标识符 |
所有威胁 |
|
device_info.operator |
移动网络运营商 |
所有威胁 |
|
device_info.os |
操作系统,例如“Android” |
所有威胁 |
|
device_info.os_version |
操作系统版本,例如7.1.1 |
所有威胁 |
|
device_info.stagefright_vulnerable (a) |
设备存在Stagefright漏洞 |
所有威胁 |
|
device_info.tag1 |
来自IAP SDK setTrackingIds()方法的唯一标签 |
所有威胁 |
|
device_info.tag2 |
来自IAP SDK setTrackingIds()方法的唯一标签 |
所有威胁 |
|
device_info.type |
设备名称或型号 |
所有威胁 |
|
device_info.usb_debugging_enabled (a) |
Android设备的USB调试模式已开启 |
所有威胁 |
|
device_info.app_instance_id |
应用实例标识符(包标识符) |
所有威胁 |
|
device_info.zdid |
内部数据库标识符,例如“5b9938d4f92a260e08a1812a” |
所有威胁 |
|
event_id |
威胁事件标识符 |
所有威胁 |
|
eventtimestamp |
事件发生时间戳及时区 |
所有威胁 |
|
location |
用户设备位置(包含以下字段): 注意:所有位置相关条目必须满足以下条件: 在隐私政策中启用取证数据。设备需接收隐私政策。终端用户需为 GravityZone MTD 及通过MDM解决方案使用的应用授予位置权限。 |
所有威胁 |
|
location.accuracy |
精度信息 |
所有威胁 |
|
location.country_name |
国家名称(可选) |
所有威胁 |
|
location.exact |
布尔值,表示设备位置是否精确 |
所有威胁 |
|
location.p |
当前用户设备GPS位置 |
所有威胁 |
|
location.p.[n] |
当前用户设备GPS位置序列 |
所有威胁 |
|
location.previous_sample |
用户设备上一次的GPS定位位置 |
所有威胁 |
|
location.previous_sample.p |
用户设备上一次的GPS定位位置 |
所有威胁 |
|
location.previous_sample.p.[n] |
用户设备上一次GPS定位位置的序列 |
所有威胁 |
|
location.previous_sample.time |
上一次定位采样的时间戳 |
所有威胁 |
|
location.previous_sample.time.$date |
上一次定位采样的时间戳 |
所有威胁 |
|
location.sampled_time |
定位采样的时间戳 |
所有威胁 |
|
location.sampled_time.$date |
定位采样的时间戳 |
所有威胁 |
|
location.source |
GPS或地理IP地址 |
所有威胁 |
|
location.state_name |
州/省 |
所有威胁 |
|
mitigated |
布尔值,表示终端用户是否采取了行动 |
所有威胁 |
|
severity |
威胁严重程度,其中:0:正常 1:低 2:升高 3:严重 |
所有威胁 |
|
系统令牌 |
客户的唯一标识符 |
所有威胁 |
|
威胁 |
威胁信息 |
所有威胁 |
|
威胁类别(b) |
指示威胁是单一威胁还是复合威胁。取值为: 单一 复合 |
所有威胁 |
|
威胁.子威胁UUID(b) |
这是复合威胁的子威胁或单一威胁集合。这些映射到复合威胁中的“threat_uuid”字段。 |
多重威胁 |
|
威胁.通用信息 |
通用威胁信息,包含以下字段 |
所有威胁 |
|
威胁.通用信息.触发的操作 |
在用户设备上触发的操作(字符串形式),例如“提醒用户” |
所有威胁 |
|
威胁.通用信息.攻击者BSSID |
无线接入点的攻击者MAC地址 |
多重威胁 |
|
威胁.通用信息.攻击者IP |
攻击者设备的IP地址 |
多重威胁 |
|
threat.general.attacker_mac |
攻击设备MAC地址 |
多重威胁 |
|
threat.general.attacker_ssid |
无线接入点的攻击网络名称 |
多重威胁 |
|
threat.general.basestation |
蜂窝基站信息 |
所有威胁 |
|
threat.general.basestation.mnc |
移动网络代码 |
所有威胁 |
|
threat.general.basestation.psc |
主扰码 |
所有威胁 |
|
threat.general.basestation.type |
基站类型 |
所有威胁 |
|
threat.general.basestation.cid |
基站小区标识符 |
所有威胁 |
|
threat.general.basestation.mcc |
移动国家代码 |
所有威胁 |
|
threat.general.basestation.lac |
位置区码 |
所有威胁 |
|
threat.general.certificate |
收集的SSL证书 |
多重威胁 |
|
threat.general.change_type |
变更类型 |
多重威胁 |
|
threat.general.device_ip |
用户设备IP |
所有威胁 |
|
threat.general.device_mac |
用户设备MAC地址 |
所有威胁 |
|
threat.general.device_time |
用户设备时间戳 |
所有威胁 |
|
threat.general.dns_after_change |
变更后DNS IP |
特定威胁 |
|
threat.general.dns_before_change |
变更前DNS IP |
特定威胁 |
|
threat.general.event |
检测原因 |
特定威胁 |
|
threat.general.external_ip |
用户设备外部IP地址 |
所有威胁 |
|
threat.general.file_hash |
下载或安装应用的文件哈希 |
特定威胁 |
|
threat.general.file_name |
下载或安装应用的文件名 |
特定威胁 |
|
threat.general.file_path |
文件系统变更的文件路径 |
Threat Specific |
|
threat.general.gateway_after_change |
变更后的网关IP |
Threat Specific |
|
threat.general.gateway_before_change |
变更前的网关IP |
Threat Specific |
|
threat.general.gateway_ip |
用户设备网关IP |
All Threats |
|
threat.general.gateway_mac |
用户设备网关MAC地址 |
All Threats |
|
threat.general.imei |
唯一设备标识符 |
All Threats |
|
threat.general.jailbreak_reasons |
越狱检测原因 |
Multiple Threats |
|
threat.general.malware_list |
恶意软件威胁家族名称及评分 |
All Threats |
|
threat.general.network |
事件发生时用户设备所连接的网络名称 |
All Threats |
|
threat.general.network_bssid |
事件发生时用户设备所连接的网络BSSID |
All Threats |
|
threat.general.network_interface |
网络接口信息 |
Multiple Threats |
|
threat.general.process |
进程名称 |
Multiple Threats |
|
threat.general.proxy_after_change |
变更后的代理IP |
Threat Specific |
|
threat.general.sideloaded_app_devel oper |
侧载应用开发者 |
Multiple Threats |
|
threat.general.sideloaded_app_name |
侧载应用名称 |
Threat Specific |
|
threat.general.sideloaded_app_packa ge |
侧载应用包名 |
Threat Specific |
|
threat.general.stagefright_vulnerabilit y_report |
Stagefright漏洞CVE列表 |
Threat Specific |
|
threat.general.suspected_url |
可疑URL |
Multiple Threats |
|
threat.general.suspicious_profile_info |
可疑配置文件信息 |
Multiple Threats |
|
threat.general.suspicious_profile_na me |
可疑配置文件名称 |
Multiple Threats |
|
threat.general.suspicious_profile_typ e |
可疑配置文件类型 |
多重威胁 |
|
threat.general.threat_type |
威胁名称,例如:MITM - 伪造SSL证书 |
所有威胁 |
|
threat.general.time_interval |
自连接网络以来经过的时间(秒) |
所有威胁 |
|
threat.mitre_tactics (b) |
威胁对应的MITRE攻击战术列表。适用于大多数威胁。 |
多重威胁 |
|
threat.name |
威胁名称,例如:MITM - 伪造SSL证书 |
所有威胁 |
|
threat.story |
威胁摘要,例如“检测到网络拦截攻击。攻击发生在...” |
所有威胁 |
|
threat.threat_uuid (b) |
威胁的内部标识符,与‘child_threat_uuids’配合使用以识别复合威胁的组件或子项。 |
所有威胁 |
|
user_info |
包含以下字段的用户信息 |
所有威胁 |
|
user_info.employee_name |
终端用户在 移动安全 控制台上的名称,例如“Becky Smith” |
所有威胁 |
|
user_info.user_email |
终端用户在 移动安全 控制台上的电子邮件,例如“admin@example.com” |
所有威胁 |
|
user_info.user_id (a) |
这是用户的标识符(如果可用)。 |
所有威胁 |
|
user_info.user_group |
终端用户在 移动安全 控制台上的所属组,例如“默认组” |
所有威胁 |
|
user_info.user_role |
终端用户在 移动安全 控制台上的角色,例如“终端用户” |
所有威胁 |
详细/取证模式字段
该表在详细模式下显示额外项目。详细模式包含取证威胁数据。简洁模式项目现在也包含这些新增字段。
注意
某些特定威胁类型会提供超出所列数据字段的额外字段。
|
字段名称 |
描述 |
可用性 |
|---|---|---|
|
forensics |
取证信息 |
所有威胁 |
|
forensics.BSSID |
无线接入点的MAC地址(BSSID) |
所有威胁 |
|
forensics.SSID |
网络名称 |
所有威胁 |
|
forensics.android_compatibility_check_response |
针对以下威胁收集的Android兼容性检查响应: Android设备兼容性未经谷歌测试 Android设备可能被篡改 |
多重威胁 |
|
forensics.app_tampering_reasons |
检测应用篡改事件的原因 |
特定威胁 |
|
forensics.attack_time |
事件发生时的Unix时间戳 |
所有威胁 |
|
forensics.attack_time.$date |
事件发生时的Unix时间戳 |
所有威胁 |
|
forensics.baseline_traceroute |
Bitdefender内部字段 |
特定威胁 |
|
forensics.captive_portal_after |
攻击后为Bitdefender URL收集的HTML响应 |
多重威胁 |
|
forensics.captive_portal_before |
攻击前为Bitdefender URL收集的HTML响应 |
多重威胁 |
|
forensics.close_networks |
Android显示附近网络,iOS显示当前连接的网络 |
所有威胁 |
|
forensics.close_networks.[n] |
Android显示附近网络而iOS显示当前连接网络的序列 |
所有威胁 |
|
forensics.close_networks.[n].BSSID |
Android显示附近网络的BSSID而iOS显示当前连接网络的BSSID |
所有威胁 |
|
forensics.close_networks.[n].SSID |
Android显示附近网络的名称(SSID)而iOS显示当前连接网络的名称(SSID) |
所有威胁 |
|
forensics.close_networks.[n].capabilities |
附近网络支持的无线安全协议,例如WEP、WPA和WPA2 |
所有威胁 |
|
forensics.close_networks.[n].frequency |
附近网络的频率,例如2.4 GHz和5 GHz |
所有威胁 |
|
forensics.close_networks.[n].level |
信号强度(-35至-95) |
所有威胁 |
|
forensics.dangerzone_nearby_wifi |
可疑的附近网络 |
多重威胁 |
|
forensics.directory_entries |
iOS设备/usr/lib/文件夹中列出的文件 |
所有威胁 |
|
forensics.directory_entries.[n] |
iOS设备/usr/lib/文件夹中列出的文件序列 iOS设备的/usr/lib/文件夹 |
所有威胁 |
|
forensics.directory_entries.[n].file_name |
iOS设备/usr/lib/文件夹中文件的名称 |
所有威胁 |
|
forensics.directory_entries.[n].file_size |
iOS设备/usr/lib/文件夹中文件的文件大小 |
所有威胁 |
|
forensics.directory_entries.[n].hash |
iOS设备/usr/lib/文件夹中文件的文件哈希值 |
所有威胁 |
|
forensics.directory_entries.[n].is_sym link |
列出文件是否为符号链接 iOS设备的/usr/lib/文件夹中 |
所有威胁 |
|
forensics.directory_entries.[n].nlink |
iOS设备/usr/lib/文件夹中列出文件的硬链接数 |
所有威胁 |
|
forensics.directory_entries.[n].permis sion |
列出文件的权限 iOS设备的/usr/lib/文件夹中 |
所有威胁 |
|
forensics.dynamic_internal_name |
用于检测相关调试的内部字段 |
多重威胁 |
|
forensics.dynamic_trigger |
用于触发信息的内部令牌或标识符 |
多重威胁 |
|
forensics.file_system_change |
文件系统变更事件 |
特定威胁 |
|
forensics.file_system_change.change _type |
文件系统变更类型 |
特定威胁 |
|
forensics.file_system_change.event |
文件系统变更原因 |
威胁特定 |
|
forensics.file_system_change.full_path |
文件系统变更路径 |
威胁特定 |
|
forensics.forensics_app_version |
若应用内含MDM解决方案,此字段报告应用版本 |
多威胁 |
|
forensics.forensics_os_version |
若应用内含MDM解决方案,此字段报告操作系统版本 |
多威胁 |
|
forensics.forensics_ziap_version |
若应用内含MDM解决方案,此字段报告MDM版本 |
多威胁 |
|
forensics.general |
事件通用信息 |
全威胁 |
|
forensics.general.[n] |
事件通用信息序列 |
全威胁 |
|
forensics.general.[n].name |
多字段 |
全威胁 |
|
forensics.general.[n].type |
多字段 |
全威胁 |
|
forensics.general.[n].val |
多字段 |
全威胁 |
|
forensics.host_attack |
设备攻击 - 事件信息 |
所有威胁 |
|
forensics.host_attack.application |
可疑安卓应用的名称 |
特定威胁 |
|
forensics.host_attack.daemon_minflt |
Bitdefender内部字段 |
特定威胁 |
|
forensics.host_attack.daemon_minflt .[n] |
Bitdefender内部字段集 |
特定威胁 |
|
forensics.host_attack.daemon_rss |
Bitdefender内部字段 |
特定威胁 |
|
forensics.host_attack.daemon_rss.[n] |
Bitdefender内部字段集 |
特定威胁 |
|
forensics.host_attack.detected_locally |
检测来源:数据库或Cogito |
特定威胁 |
|
forensics.host_attack.file_hash |
下载或安装文件的哈希值 |
特定威胁 |
|
forensics.host_attack.filename |
下载或安装文件的名称 |
特定威胁 |
|
forensics.host_attack.info_after |
Bitdefender内部字段 |
多重威胁 |
|
取证.主机攻击.事后信息.selinux上下文 |
Bitdefender内部字段 |
多重威胁 |
|
取证.主机攻击.事后信息.用户 _id |
Bitdefender内部字段 |
多重威胁 |
|
取证.主机攻击.事前信息 |
Bitdefender内部字段 |
多重威胁 |
|
取证.主机攻击.事前信息.selinux上下文 |
Bitdefender内部字段 |
多重威胁 |
|
取证.主机攻击.事前信息.用户ID |
Bitdefender内部字段 |
多重威胁 |
|
取证.主机攻击.是否被列入黑名单 |
iOS应用是否被管理员列入黑名单 |
特定威胁 |
|
取证.主机攻击.是否为恶意软件 |
iOS应用是否已在数据库中被标记为恶意软件 |
特定威胁 |
|
取证.主机攻击.恶意软件检测来源 |
检测来源说明:
|
多重威胁 |
|
取证.主机攻击.恶意软件匹配项 |
恶意软件信息 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n] |
恶意软件信息序列 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].name |
恶意软件威胁家族名称 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].score |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures |
Bitdefender内部字段 |
特定威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n] |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n].hash |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n].size |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_matches.[n].signatures.[n].type |
Bitdefender内部字段 |
多重威胁 |
|
forensics.host_attack.malware_scan_category |
分类说明:
|
多重威胁 |
|
取证.主机攻击.恶意软件威胁名称 |
恶意软件威胁家族名称 |
特定威胁 |
|
取证.主机攻击.进程 |
进程名称 |
多重威胁 |
|
取证.主机攻击.进程标识符 |
进程标识符 |
多重威胁 |
|
取证.主机攻击.可疑网址 |
可疑网址 |
多重威胁 |
|
取证.安装程序来源 |
应用程序安装来源信息 |
多重威胁 |
|
取证.json越狱原因 |
越狱检测原因 |
多重威胁 |
|
取证.中间人路由追踪 |
Bitdefender内部字段 |
特定威胁 |
|
取证.网络加密 |
报告网络能力。对于Android,显示网络支持的加密方式如WEP、WPA和WP2。对于iOS,此字段显示"安全"或"不安全" |
多重威胁 |
|
取证.网络子网 |
网络子网地址(如适用) |
多重威胁 |
|
取证.网络威胁 |
网络取证 |
所有威胁 |
|
forensics.network_threat.arp_tables |
ARP表 |
所有威胁 |
|
forensics.network_threat.arp_tables. after |
检测到攻击后收集的ARP表(秒级) |
所有威胁 |
|
forensics.network_threat.arp_tables. after.table |
检测到攻击后收集的ARP表(秒级) |
所有威胁 |
|
forensics.network_threat.arp_tables. after.table.[n] |
检测到攻击后收集的ARP表序列(秒级) |
所有威胁 |
|
forensics.network_threat.arp_tables. after.table.[n].ip |
检测到攻击后收集的ARP表中的IP地址 |
所有威胁 |
|
forensics.network_threat.arp_tables. after.table.[n].mac |
检测到攻击后收集的ARP表中的MAC地址 |
所有威胁 |
|
forensics.network_threat.arp_tables. before |
检测到攻击前收集的ARP表(秒级) |
所有威胁 |
|
forensics.network_threat.arp_tables. before.table |
检测到攻击前收集的ARP表(秒级) |
所有威胁 |
|
forensics.network_threat.arp_tables. before.table.[n] |
检测到攻击前收集的ARP表序列(秒级) |
所有威胁 |
|
forensics.network_threat.arp_tables. before.table.[n].ip |
检测到攻击前收集的ARP表中的IP地址 |
所有威胁 |
|
forensics.network_threat.arp_tables.before.table.[n].mac |
检测到攻击前数秒采集的ARP表中的MAC地址 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial |
设备初次接入网络时采集的ARP表 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table |
设备初次接入网络时采集的ARP表 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table.[n] |
设备初次接入网络时采集的ARP表序列 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table.[n].ip |
设备初次接入网络时采集的ARP表中的IP地址 |
所有威胁 |
|
forensics.network_threat.arp_tables.initial.table.[n].mac |
设备初次接入网络时采集的ARP表中的MAC地址 |
所有威胁 |
|
forensics.network_threat.attacker_ip |
攻击者设备的IP地址 |
所有威胁 |
|
forensics.network_threat.attacker_mac |
攻击者设备的MAC地址 |
多重威胁 |
|
forensics.network_threat.basestation |
蜂窝基站信息 |
所有威胁 |
|
forensics.network_threat.delta_route _cache |
Bitdefender内部字段 |
多重威胁 |
|
forensics.network_threat.delta_route _cache.table |
Bitdefender内部字段 |
多重威胁 |
|
forensics.network_threat.delta_route _cache.table.[n] |
Bitdefender内部字段集 |
全部威胁 |
|
forensics.network_threat.delta_route _cache.table.[n].gateway |
Bitdefender内部字段 |
全部威胁 |
|
forensics.network_threat.delta_route _cache.table.[n].ip |
Bitdefender内部字段 |
全部威胁 |
|
forensics.network_threat.gw_ip |
用户网关IP地址 |
全部威胁 |
|
forensics.network_threat.gw_mac |
用户网关MAC地址 |
全部威胁 |
|
forensics.network_threat.interface |
用户设备网络接口 |
全部威胁 |
|
forensics.network_threat.my_ip |
用户设备IP地址 |
全部威胁 |
|
forensics.network_threat.my_mac |
用户设备MAC地址 |
所有威胁 |
|
forensics.network_threat.net_stat |
设备网络状态信息 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] |
设备网络状态信息序列 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .ForeignAddress |
连接状态下的外部主机与端口 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .LocalAddress |
连接状态下的本地主机与端口 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .Proto |
协议类型 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .Recv-Q |
表示套接字待读取队列中的数据量 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .Send-Q |
表示套接字待发送队列中的数据量 |
所有威胁 |
|
forensics.network_threat.net_stat.[n] .State |
套接字状态 |
所有威胁 |
|
forensics.network_threat.routing_table |
路由表信息 |
所有威胁 |
|
forensics.network_threat.routing_table.[n] |
路由表信息序列 |
所有威胁 |
|
forensics.network_threat.routing_table.[n].Destination |
目标网络IP |
所有威胁 |
|
forensics.network_threat.routing_table.[n].Flags |
威胁路由表标志位 |
所有威胁 |
|
forensics.network_threat.routing_table.[n].Gateway |
网络网关IP |
所有威胁 |
|
forensics.network_threat.routing_table.[n].Netif |
网络接口示例:lo(本地接口) wlan0(无线接口)rmnet(蜂窝网络) |
所有威胁 |
|
forensics.network_threat.routing_table.[n].Refs |
Bitdefender内部字段 |
所有威胁 |
|
forensics.network_threat.routing_table.[n].Use |
Bitdefender内部字段 |
所有威胁 |
|
forensics.os |
操作系统 |
所有威胁 |
|
forensics.os_forensics (d) |
该字段提供设备安全补丁信息及下一可用安全补丁。这些字段值通常仅适用于以下威胁类型:
注意:需满足以下条件方可填充此字段 GravityZone MTD 4.22或更高版本,且 GravityZone MTD 4.41或更高版本。 |
多重威胁 |
|
forensics.os_forensics.build_information |
该字段记录威胁发生时设备相关的固件附加信息。例如可能值为"RP1A.200720.012"。此字段仅适用于安卓设备。 |
多重威胁 |
|
forensics.os_forensics.device_manufacturer |
该字段表示设备制造商。例如可能值为"samsung"或"Apple"。 |
多重威胁 |
|
forensics.os_forensics.device_model |
该字段记录设备型号信息。例如可能值为"SM-M025F"或"iPhone 11"。 |
多重威胁 |
|
forensics.os_forensics.expected_os_version |
该字段表示报告威胁时设备预期的操作系统版本。例如可能值为"11"。 |
多重威胁 |
|
forensics.os_forensics.expected_security_patch |
该字段表示威胁事件发生时设备预期的安全补丁级别。例如可能值为"20220101"。此字段仅适用于安卓设备。该值虽以日期形式呈现,实为补丁标识的字符串值。 |
多重威胁 |
|
forensics.os_forensics.vulnerable_os _version |
该字段记录威胁发生时设备的操作系统版本。例如可能值为"11"。 |
多重威胁 |
|
forensics.os_forensics.vulnerable_security_patch |
这是威胁事件发生时设备的安全补丁级别。例如,“2021-08-01”是一个可能的值。此字段仅适用于Android。该值可能显示为日期字段,但实际上是补丁标识的字符串值。 |
多重威胁 |
|
forensics.probabilities |
Bitdefender内部字段 |
所有威胁 |
|
forensics.probabilities.[n] |
Bitdefender内部字段 |
所有威胁 |
|
forensics.process_list |
设备进程列表 |
所有威胁 |
|
forensics.process_list.[n] |
事件发生时收集的设备进程列表序列 |
所有威胁 |
|
forensics.process_list.[n].Parent process(PPID) |
父进程标识符 |
所有威胁 |
|
forensics.process_list.[n].Process ID(PID) |
进程标识符 |
所有威胁 |
|
forensics.process_list.[n].Process Name |
进程名称 |
所有威胁 |
|
forensics.process_list.[n].Service |
进程服务 |
所有威胁 |
|
forensics.process_list.[n].User |
进程用户名 |
所有威胁 |
|
forensics.proxy_conf |
代理配置 |
多重威胁 |
|
forensics.proxy_conf.ip_after |
代理配置:变更后IP地址 |
多重威胁 |
|
forensics.proxy_conf.ip_before |
代理配置:变更前IP地址 |
多重威胁 |
|
forensics.responses |
触发的设备动作 |
所有威胁 |
|
forensics.responses.[n] |
触发的设备动作序列 |
所有威胁 |
|
forensics.rogue_access_point |
恶意接入点信息 |
多重威胁 |
|
forensics.rogue_access_point.BSSID |
无线接入点MAC地址 |
多重威胁 |
|
forensics.rogue_access_point.SSID |
恶意接入点网络名称 |
多重威胁 |
|
forensics.rogue_access_point.frequency |
恶意接入点频率 |
多重威胁 |
|
forensics.routing_table |
路由表信息 |
所有威胁 |
|
forensics.routing_table.[n] |
路由表信息序列 |
所有威胁 |
|
forensics.routing_table.[n].destination |
目标网络IP |
所有威胁 |
|
forensics.routing_table.[n].flags |
Bitdefender内部字段 |
所有威胁 |
|
forensics.routing_table.[n].gateway |
网络网关IP |
所有威胁 |
|
forensics.routing_table.[n].netif |
网络接口 |
所有威胁 |
|
forensics.routing_table.[n].flags |
Bitdefender内部字段 |
所有威胁 |
|
forensics.routing_table.[n].use |
Bitdefender内部字段 |
所有威胁 |
|
forensics.sample_data |
Bitdefender内部字段 |
所有威胁 |
|
forensics.severity |
威胁严重程度 |
所有威胁 |
|
forensics.sideloaded_app_developer |
侧载应用开发者 |
多重威胁 |
|
forensics.sideloaded_app_filehash |
侧载应用的文件哈希值 |
多重威胁 |
|
forensics.sideloaded_app_name |
侧载应用的名称 |
多重威胁 |
|
forensics.sideloaded_app_package |
侧载应用的包名 |
多重威胁 |
|
forensics.ssl_downgrade_description |
Bitdefender内部字段 |
多重威胁 |
|
forensics.ssl_mitm_certificate |
收集的SSL证书 |
多重威胁 |
|
forensics.ssl_strip_reply |
收集的HTML响应 |
多重威胁 |
|
forensics.stagefright_vulnerability_report |
Stagefright漏洞CVE列表 |
特定威胁 |
|
forensics.suspicious_profile |
可疑配置信息 |
多重威胁 |
|
forensics.suspicious_profile.profile_information |
可疑配置信息 |
多重威胁 |
|
forensics.suspicious_profile.profile_name |
可疑配置名称 |
多重威胁 |
|
forensics.suspicious_profile.profile_type |
可疑配置文件类型 |
多重威胁 |
|
forensics.system_tampering_reasons |
系统篡改检测原因 |
特定威胁 |
|
forensics.threat_uuid |
Bitdefender内部字段 |
所有威胁 |
|
forensics.time_interval |
自连接网络以来经过的时间(秒) |
所有威胁 |
|
forensics.type |
内部威胁标识符 |
所有威胁 |