系统日志事件消息
反钓鱼
当终端代理检测到访问网页时存在已知钓鱼企图,本通知将实时提醒您。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
前次事件的数据 |
|
|
对象 |
是 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机的名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
是 |
指示事件是钓鱼检测还是欺诈检测。可能取值:
|
|
|
字符串 |
是 |
恶意软件URL |
|
|
字符串 |
是 |
可能取值:
|
|
|
时间戳 |
是 |
该恶意软件最后一次被拦截的时间戳 |
|
|
整数 |
是 |
该恶意软件被检测到的次数 |
{
"模块": "aph",
"已安装产品": "BEST",
"用户": {
"ID": "S-1-5-21-2018264366-2484004464-1617746128-1001",
"名称": "bdvm"
},
"虚拟机名称": "Pi-machine",
"虚拟机ID": "Pi-3141",
"实例UUID": "50164ed1-28af-41af-cdaf-8e550506c37b",
"BIOS UUID": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"计算机名": "Pi-machine",
"计算机全限定域名": "Pi14159-automation-win64",
"计算机IP": "31.14.159.265",
"计算机ID": "6257cf1130015b2201bf4a00",
"aph类型": "欺诈",
"URL": "bdtest.tibeica.com\/ot\/fraud_red.html",
"状态": "仅报告",
"最后拦截时间": "2022-05-12T09:35:08.000Z",
"计数": 1
}
应用程序控制
当应用程序被应用程序控制模块拦截时生成的事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
前次事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
整数 |
是 |
事件发生的模式。取值:
|
|
|
字符串 |
是 |
取值:
|
|
|
字符串 |
是 |
恶意软件文件路径 |
|
|
字符串 |
否 |
文件的版本号 |
|
|
字符串 |
否 |
产品名称 |
|
|
String |
no |
产品版本 |
|
|
String |
no |
产品发布者名称 |
|
|
String |
no |
应用程序的进程指纹 |
|
|
Array |
no |
指纹(字符串数组) |
|
|
String |
no |
应用程序控制规则名称 |
|
|
Timestamp |
yes |
应用程序被检测到的日期 |
|
|
integer |
yes |
该应用程序被检测到的次数 |
{
"module": "application-control",
"product_installed": "BEST",
"user": {
"id": "S-11-22-33",
"name": "user@domain.com"
},
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "31.41.59.265",
"computer_id": "625c19913a58151e63702862",
"mode": 1,
"scanMode": "production",
"filePath": "C:\\Program Files\\Microsoft\\Skype\\Skype.exe",
"fileVersion": "10.0.0.9999",
"productName": "Skype VoIP Service",
"productVersion": "10.2",
"publisher": "Microsoft",
"fingerprint": "b6bf7bc8d96f3ea9d132c83b3da8e7760e420138485657372db4d6a981d3fd9e",
"thumbprints": ["03d66dd08835c1ca3f128cceacd1f31ac94163096b20f445ae84285bc0832d72"],
"ruleName": "",
"date": "2022-04-17T13:44:29.485Z",
"count": 1
}
应用程序清单
本通知用于告知您何时发现新应用并将其添加至应用清单。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的FQDN |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中终端设备的唯一标识符 |
|
|
时间戳 |
是 |
应用程序发现日期 |
{
"applications": [{
"name": "Firefox",
"version": "0"
}],
"module": "application-inventory",
"product_installed": "BEST",
"VM_NAME": "Pi-machine",
"VM_ID": "Pi-3141",
"UUID_INSTANCE": "50164ed1-28af-41af-cdaf-8e550506c37b",
"UUID_BIOS": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"computer_name": "Pi-machine",
"computer_fqdn": "Pi14159-automation-win64",
"computer_ip": "31.14.159.265",
"computer_id": "6257cf1130015b2201bf4a00",
"discoveredOn": "2022-04-17T11:35:33.000Z"
}
反恶意软件
每当Bitdefender在您网络中的终端设备上检测到恶意软件时,就会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装的GravityZone组件标识符 |
|
|
字符串 |
是 |
前次事件的数据 |
|
|
字符串 |
是 |
事件源关联的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机的唯一标识符 |
|
|
字符串 |
否 |
VMware虚拟机的BIOS唯一标识符 |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的终端唯一标识符 |
|
|
字符串 |
是 |
描述Bitdefender定义的恶意软件类型。可能取值:
|
|
|
字符串 |
是 |
Bitdefender定义的恶意软件名称 |
|
|
字符串 |
否 |
受感染对象的SHA256哈希值 |
|
|
字符串 |
是 |
对文件采取操作的最终状态:
|
|
|
字符串 |
否 |
容器实体的唯一标识符 |
|
|
字符串 |
否 |
管理容器实体的主机名称 |
|
|
字符串 |
是 |
产品报告的受感染对象路径。该路径指向报告事件的机器上的本地文件。 |
|
|
时间戳 |
是 |
检测到恶意软件的时间戳 |
|
|
字符串 |
否 |
签名数量 |
|
|
整型 |
否 |
任务扫描类型 |
|
|
整数型 |
否 |
扫描引擎类型 |
{
"模块": "反病毒",
"已安装产品": "BEST",
"用户": {
"ID": "S-1-5-21-2018264366-2484004464-1617746128-1001",
"名称": "bdvm"
},
"虚拟机名称": "Pi-machine",
"虚拟机ID": "Pi-3141",
"实例UUID": "50164ed1-28af-41af-cdaf-8e550506c37b",
"BIOS UUID": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"计算机名": "Pi-machine",
"计算机全限定域名": "Pi14159-automation-win64",
"计算机IP": "31.14.159.265",
"计算机ID": "6257cf1130015b2201bf4a00",
"恶意软件类型": "文件",
"恶意软件名称": "Gen:Trojan.Heur.LShot.1",
"哈希值": "ca52142291d765efa6b69543c25ca13cb2179ae62a0cb5d2f4a19877244cc3cd",
"最终状态": "仍存在",
"容器ID": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"文件路径": "C:\\Users\\bdvm\\Desktop\\script.ps1",
"时间戳": "2022-05-12T09:34:46.000Z",
"签名数量": "7.89727",
"扫描引擎类型": 1
}
高级威胁控制(ATC)
当终端检测并拦截潜在危险应用程序时生成此事件
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
否 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
事件源关联用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机的唯一标识符 |
|
|
字符串 |
否 |
VMware虚拟机的BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
是 |
显示上报类型为应用程序(APP)和漏洞利用(Exploit)。可能取值:
|
|
|
字符串 |
是 |
产品报告的对象路径。该路径指向报告事件的终端上的本地文件。 |
|
|
字符串 |
否 |
检测到的进程的命令行参数 |
|
|
字符串 |
否 |
检测到的进程的父进程PID |
|
|
字符串 |
否 |
正在检索数据。请等待几秒后重试剪切或复制操作。 |
|
|
字符串 |
是 |
正在检索数据。请等待几秒后重试剪切或复制操作。 |
|
|
时间戳 |
是 |
该应用程序/漏洞利用最后一次被拦截的时间戳 |
|
|
整数 |
是 |
该应用/漏洞被检测到的次数 |
{
"模块": "avc",
"已安装产品": "BEST",
"用户": {
"ID": "S-1-5-21-2018264366-2484004464-1617746128-1001",
"名称": "bdvm"
},
"虚拟机名称": "btoma-windows-10-onPrem",
"虚拟机ID": "vm-4193",
"实例UUID": "50164ed1-28af-41af-cdaf-8e550506c37b",
"BIOS UUID": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"计算机名": "btoma-windows-10-onPrem",
"计算机全称": "cmocanu-automation-win64",
"计算机IP": "10.18.155.211",
"计算机ID": "6257cf1130015b2201bf4a00",
"漏洞类型": "AVC应用",
"漏洞路径": "C:\\Users\\bdvm\\Desktop\\_samples_on_execute\\_samples_on_execute\\paranoia.0.2.exe",
"进程命令行": "C:\\Users\\bdvm\\Desktop\\_samples_on_execute\\_samples_on_execute\\paranoia.0.2.exe -test parameter \\ for 0",
"父进程ID": 1160,
"父进程路径": "C:\\Windows\\System32\\cmd.exe",
"状态": "avc已清除",
"最后拦截时间": "2022-04-17T10:18:25.000Z",
"计数": 1
}
数据保护
根据数据保护规则,每当终端上的数据流量被拦截时就会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
字符串 |
否 |
前次事件的数据 |
|
|
对象 |
否 |
前次事件的数据 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端完全限定域名(FQDN) |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中终端的唯一标识符 |
|
|
字符串 |
是 |
根据数据保护规则指定被阻止的流量类型:
|
|
|
字符串 |
是 |
数据保护规则名称 |
|
|
字符串 |
是 |
被阻止的流量。可能值为:
|
|
|
字符串 |
是 |
始终为
|
|
|
时间戳 |
是 |
该邮件/URL最后一次被阻止的时间戳 |
|
|
整数 |
是 |
该电子邮件/网址最后一次被拦截的时间戳 |
{
"模块": "数据保护",
"已安装产品": "BEST",
"用户": {
"ID": "S-1-5-21-3569875631-4240938805-1797204764-1001",
"姓名": "管理员1"
},
"计算机名": "测试终端",
"计算机全限定域名": "test-endpoint.dsd.ro",
"计算机IP": "31.41.59.265",
"计算机ID": "625c19913a58151e63702862",
"目标类型": "http",
"拦截规则名称": "asdf",
"网址": "http:\/\/www.zf.ro\/search",
"状态": "数据保护已拦截",
"最后拦截时间": "2018-05-25T08:56:42.000Z",
"计数": 1
}
Exchange恶意软件检测
当Bitdefender在您网络中的Exchange服务器上检测到恶意软件时,会创建此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
字符串 |
否 |
先前事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
是 |
GravityZone数据库中的托管终端标识符 |
|
|
字符串 |
是 |
检测到恶意软件的服务器名称 |
|
|
字符串 |
是 |
邮件发件人 |
|
|
数组 |
是 |
邮件收件人列表(字符串数组) |
|
|
字符串 |
是 |
邮件主题 |
|
|
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
|
|
数组 |
是 |
检测到的恶意软件列表(由{
|
{
"名称": "检测到Exchange恶意软件",
"创建时间": "2022-04-18T10:52:14+03:00",
"公司名称": "root",
"用户名": "root",
"终端ID": "625d18aa9f69720ddfaee9c7",
"服务器名称": "测试终端-邮件",
"安装的代理": "BEST",
"发件人": "test@test.com",
"收件人": ["test@test.com", "test@test.com"],
"主题": "测试",
"检测时间": "2014-10-29T16:14:51.000Z",
"检测到的恶意软件": [{
"恶意软件名称": "EICAR测试文件(非病毒)",
"恶意软件类型": "病毒",
"感染对象": "someFile.txt",
"采取的措施": "忽略"
}, {
"恶意软件名称": "EICAR测试文件(非病毒)",
"恶意软件类型": "病毒",
"感染对象": "someFile.txt",
"采取的措施": "清除"
}]
}
已达到Exchange许可证使用限制
当达到Exchange许可证限制时生成此事件
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
使用许可证的用户许可证密钥 |
|
|
布尔值 |
是 |
公司许可证限制已达上限 |
|
|
布尔值 |
是 |
合作伙伴公司是否已达到许可证限制 |
{ "name": "Exchange许可证使用限制已达上限",
"created": "2019-01-18T13:01:15+00:00",
"company_name": "nebula_CO",
"user_name": "root",
"mailboxes": 8,
"license_limit": 5,
"license_key": "5IMICR5",
"recv_for_his_company": true,
"recv_for_partner_company": false
}
Exchange用户凭证
当按需扫描任务因目标Exchange服务器上的用户凭证无效而无法启动时,会生成此事件。要完成任务,您需要更改Exchange凭证。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。值:
|
|
|
时间戳 |
是 |
事件触发的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
字符串 |
是 |
GravityZone数据库中的受管终端标识符 |
|
|
字符串 |
是 |
受管终端名称 |
|
|
字符串 |
是 |
终端上应用的策略名称 |
{
"名称": "无效的Exchange用户凭证",
"创建时间": "2022-04-14T09:58:26+00:00",
"公司名称": "root",
"用户名": "sacumen\\administrator",
"终端ID": "6256a3b130015b2201bf496b",
"目标名称": "WIN-LFK7I9VSLR2",
"策略名称": "no_update"
}
防火墙
当终端代理根据应用策略阻止端口扫描或应用程序访问网络时,会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装的GravityZone组件标识符 |
|
|
字符串 |
否 |
先前事件的数据 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机的名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
是 |
检测后采取的操作 |
|
|
字符串 |
否 |
恶意软件攻击的端口 |
|
|
字符串 |
否 |
恶意软件攻击协议的标识符,定义依据 协议编号 |
|
|
字符串 |
否 |
被阻止在报告端口和协议上进行任何通信的进程对应的镜像文件路径。 |
|
|
时间戳 |
是 |
该连接最后一次被阻止的时间戳 |
|
|
整数 |
是 |
该连接被检测到的次数 |
{
"模块": "防火墙",
"已安装产品": "BEST",
"用户": {
"ID": "S-1-5-18",
"姓名": "系统"
},
"虚拟机名称": "Pi-machine",
"虚拟机ID": "Pi-3141",
"实例UUID": "50164ed1-28af-41af-cdaf-8e550506c37b",
"BIOS UUID": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"计算机名": "Pi-machine",
"计算机全限定域名": "Pi14159-automation-win64",
"计算机IP": "31.14.159.265",
"计算机ID": "6257cf1130015b2201bf4a00",
"状态": "通信已阻止",
"本地端口": "445",
"协议ID": "6",
"应用程序路径": "系统",
"最后阻止时间": "2022-04-17T11:34:59.000Z",
"计数": 1
}
高级检测事件
当高级检测模块检测到恶意软件时生成的事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
字符串 |
否 |
前一个事件的数据 |
|
|
对象 |
否 |
前一个事件的数据 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机的唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机的名称 |
|
|
字符串 |
是 |
端点的FQDN |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一端点标识符 |
|
|
字符串 |
是 |
Bitdefender定义的恶意软件名称 |
|
|
字符串 |
否 |
恶意文件:
|
|
|
字符串 |
是 |
对文件采取操作的最终状态:
|
|
|
字符串 |
否 |
容器实体的标识符 |
|
|
字符串 |
否 |
管理容器实体的主机名称 |
|
|
字符串 |
是 |
恶意软件文件路径 |
|
|
字符串 |
否 |
取值:
|
|
|
字符串 |
否 |
取值:
|
|
|
布尔值 |
否 |
|
|
|
字符串 |
否 |
命令行的参数 |
|
|
字符串 |
否 |
进程的路径 |
|
|
字符串 |
否 |
父进程的命令行 |
|
|
整数 |
否 |
父进程的标识符 |
|
|
字符串 |
否 |
父进程的路径 |
|
|
字符串 |
是 |
硬件标识符 |
|
|
时间戳 |
是 |
检测到恶意软件时的时间戳 |
{
"module": "hd",
"product_installed": "BEST",
"user": {
"name": "bdvm",
"sid": "S-1-5-21-2018264366-2484004464-1617746128-1001"
},
"VM_NAME": "Pi-machine",
"VM_ID": "Pi-3141",
"UUID_INSTANCE": "50164ed1-28af-41af-cdaf-8e550506c37b",
"UUID_BIOS": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"computer_name": "Pi-machine",
"computer_fqdn": "Pi14159-automation-win64",
"computer_ip": "31.14.159.265",
"computer_id": "6257cf1130015b2201bf4a00",
"malware_type": "file",
"malware_name": "Gen:Illusion.Jazz.1.2010103",
"hash": "",
"final_status": "still present",
"container_id": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"file_path": "C:\\Users\\bdvm\\Desktop\\_samples_on_execute\\_samples_on_execute\\paranoia.3.2.exe",
"attack_type": "Ransomware",
"detection_level": "Normal",
"is_fileless_attack": "false",
"process_info_path": "C:\\Users\\bdvm\\Desktop\\_samples_on_execute\\_samples_on_execute\\paranoia.3.2.exe",
"process_info_command_line": "-test parameter \\ for 3",
"parent_process_id": 12432,
"parent_process_path": "C:\\Windows\\System32\\cmd.exe",
"hwid": "01d51642-c536-ed22-de02-0e4da0badb7a-00505696d1c3",
"date": "2022-04-15T08:06:27.000Z"
}
产品模块状态
当已安装代理的安全模块启用或禁用时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
Object |
no |
上一个事件的数据 |
|
|
Object |
no |
与事件源相关的用户 |
|
|
String |
no |
虚拟机名称 |
|
|
String |
no |
虚拟机的标识符 |
|
|
String |
no |
虚拟机唯一标识符 |
|
|
String |
no |
仅限VMware:BIOS UUID |
|
|
String |
yes |
计算机名称 |
|
|
String |
是 |
终端设备的FQDN(完全限定域名) |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
否 |
容器实体的标识符 |
|
|
字符串 |
否 |
管理容器实体的主机名称 |
|
|
布尔值 |
否 |
该机器是否为容器主机 |
{
"模块": "modules",
"已安装产品": "BEST",
"虚拟机名称": "btoma-exchange-onPrem-1",
"虚拟机ID": "vm-4306",
"实例UUID": "5016fdf7-03ea-023f-35d0-0ec397f011ba",
"BIOS UUID": "4216e16b-0341-2783-16c4-b353301c2a73",
"计算机名": "btoma-exchange-onPrem-1",
"计算机FQDN": "win-lfk7i9vslr2.sacumen.local",
"计算机IP": "10.18.154.115",
"计算机ID": "625c06b42dc02c725f5f1942",
"容器ID": "4216e16b-0341-2783-16c4-b353301c2a73",
"恶意软件状态": 1,
"avc状态": 1,
"pu状态": 0,
"dlp状态": 1,
"exchange_av状态": 1,
"exchange_as状态": 1,
"exchange_at状态": 0,
"exchange_cf状态": 0,
"exchange_od状态": 1,
"补丁管理": 1,
"应用控制状态": 1
}
沙箱分析器检测
当沙箱分析器在提交的文件中发现新威胁时,每次都会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
GravityZone数据库中的公司标识符 |
|
|
字符串 |
是 |
GravityZone数据库中受管终端的标识符 |
|
|
字符串 |
是 |
计算机的名称 |
|
|
字符串 |
是 |
提交文件进行分析的计算机IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
整数 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
|
|
字符串 |
是 |
描述Bitdefender定义的恶意软件类型。可能取值包括:
|
|
|
字符串 |
否 |
GravityZone网络沙箱提交ID |
|
|
数组 |
是 |
文件路径(字符串数组) |
|
|
数组 |
是 |
文件大小(字符串数组) |
|
|
数组 |
是 |
修复操作(字符串数组)。 |
{
"名称": "沙箱分析器检测",
"创建时间": "2022-05-03T12:34:00+03:00",
"公司名称": "root",
"用户名": "test",
"计算机名": "TEST_ENDPOINT-sbx",
"计算机IP": "31.41.59.265",
"检测时间": "2016年7月7日 15:11:54",
"威胁类型": "勒索软件",
"文件信息": [{
"文件路径": "C:\\Users\\Administrator\\Documents\\installer.xml",
"文件大小": "2.55 KB",
"修复操作": "已隔离"
}, {
"文件路径": "D:\\opt\\bitdefender\\installer2.xml",
"文件大小": "2.55 KB",
"修复操作": "已删除"
}, {
"文件路径": "D:\\sources\\console\\CommonConsole\\app\\modules\\policies\\view\\endpoints\\networkSandboxing\\installer3.xml",
"文件大小": "2.55 KB",
"修复操作": "已隔离"
}]
}
产品注册
当网络中安装的代理注册状态发生变化时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
是 |
前一事件的数据 |
|
|
对象 |
是 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机的唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
GravityZone数据库中的公司标识符 |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中终端设备的唯一标识符 |
|
|
字符串 |
否 |
容器实体的标识符 |
|
|
字符串 |
否 |
管理容器实体的主机名称 |
|
|
布尔值 |
否 |
该机器是否为容器主机 |
|
|
字符串 |
是 |
取值:
|
{
"模块": "注册",
"产品安装状态": "BEST",
"计算机名": "TEST_ENDPOINT",
"计算机全限定域名": "test-endpoint.dsd.ro",
"计算机IP": "31.41.59.265",
"计算机ID": "625c19913a58151e63702862",
"产品注册状态": "已注册"
}
过期的更新服务器
当更新服务器的恶意软件特征库过期时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
布尔值 |
是 |
事件类型标识符。取值:
|
|
|
整型 |
是 |
服务器更新状态。可能取值:
|
|
|
整型 |
是 |
更新服务器的ID。 |
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
先前事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
{
"fromSupa": 1,
"module": "supa-update-status",
"product_installed": "BEST",
"computer_name": "TEST_ENDPOINT",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "31.41.59.265",
"computer_id": "625c19913a58151e63702862",
"status": 0
}
过载的安全服务器
当网络中安全服务器的扫描负载超过设定阈值时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
否 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
先前事件的数据 |
|
|
对象 |
是 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
GravityZone数据库中的公司标识符 |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
整数 |
是 |
安全服务器的平均负载 |
|
|
整数 |
是 |
安全服务器的CPU使用率 |
|
|
整数 |
是 |
安全服务器的内存使用率 |
|
|
整数 |
是 |
安全服务器的网络使用率 |
|
|
整数 |
是 |
安全服务器的总体使用情况 |
|
|
字符串 |
否 |
安全服务器的负载 |
{
"module": "sva-load",
"product_installed": "SVA",
"VM_NAME": "btoma-SVA-outdated-onPrem",
"VM_ID": "vm-4191",
"UUID_INSTANCE": "5016cfec-c7fd-7531-fa29-9185931879c4",
"UUID_BIOS": "4216a8ee-3cef-46f9-9925-d588eee65766",
"computer_name": "btoma-SVA-outdated-onPrem",
"computer_fqdn": "bitdefender-sva",
"computer_ip": "10.18.159.8",
"computer_id": "6256984b601b8b21f976ad88",
"loadAverage": 1,
"cpuUsage": 8,
"memoryUsage": 45,
"networkUsage": 0,
"overallUsage": 8,
"svaLoad": "过载"
}
安全服务器状态
当特定安全服务器的状态发生变化时创建此事件。状态涉及电源(开机/关机)、产品更新、签名更新和需要重启。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装的GravityZone组件标识符 |
|
|
对象 |
否 |
前次事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
GravityZone数据库中的公司标识符 |
|
|
字符串 |
是 |
计算机的名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中唯一的终端标识符 |
|
|
布尔值 |
是 |
若安全服务器已关机则为真 |
|
|
布尔值 |
否 |
安全服务器更新可用状态 |
|
|
时间戳 |
否 |
安全服务器上次特征库更新完成的时间戳 |
|
|
布尔值 |
否 |
若需要重启则为真 |
|
|
时间戳 |
否 |
安全服务器上次更新完成的时间戳 |
|
|
字符串 |
否 |
安全服务器最后一次更新的错误信息 |
|
|
字符串 |
否 |
安全服务器的引擎版本 |
{
"模块": "sva",
"已安装产品": "SVA",
"虚拟机名称": "Bitdefender SVE SVA (dell-xen2)",
"虚拟机ID": "OpaqueRef:5bfc190d-2c54-d3da-e104-2b899b59d039",
"实例UUID": "eab611f7-3f7b-8a01-88e0-a78f2e35373b",
"计算机名": "Bitdefender SVE SVA (dell-xen2)",
"计算机全限定域名": "sva-xen2",
"计算机IP": "10.17.12.194",
"计算机ID": "6258082f6437b27cd93926e5",
"已关机": 1
}
反漏洞利用事件
当高级反漏洞利用功能触发检测时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
前一个事件的数据 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅限VMware:BIOS通用唯一标识码 |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
否 |
容器实体的标识符 |
|
|
字符串 |
否 |
管理容器实体的主机名称 |
|
|
字符串 |
是 |
GravityZone数据库中受管端点的标识符 |
|
|
字符串 |
是 |
检测后采取的操作 |
|
|
字符串 |
否 |
检测到的威胁名称 |
|
|
字符串 |
是 |
检测项的进程ID |
|
|
字符串 |
是 |
检测中使用的技术手段 |
|
|
字符串 |
否 |
检测项的父进程ID |
|
|
字符串 |
是 |
检测路径 |
|
|
字符串 |
否 |
检测到的父进程路径 |
|
|
字符串 |
否 |
检测到的CVE编号 |
|
|
字符串 |
否 |
检测到的载荷 |
|
|
字符串 |
否 |
检测发生时登录的用户 |
|
|
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
{
"模块": "反漏洞利用",
"已安装产品": "BEST",
"虚拟机名称": "btoma-exchange-onPrem",
"虚拟机ID": "vm-4190",
"实例UUID": "501606d3-c8b0-1127-920a-1edc7d3a76b0",
"BIOS UUID": "42166a12-1437-7e14-db35-8f100b85041b",
"计算机名": "btoma-exchange-onPrem",
"计算机FQDN": "win-lfk7i9vslr2.sacumen.local",
"计算机IP": "10.18.159.13",
"计算机ID": "6256a3b130015b2201bf496d",
"容器ID": "42166a12-1437-7e14-db35-8f100b85041b",
"检测动作": "终止",
"检测进程ID": "46856",
"检测利用技术": "进程创建\/废弃子进程创建",
"检测父进程ID": "48508",
"检测路径": "C:\\Users\\Administrator\\Desktop\\samples\\samples\\bd_anti-exploit-test\\test-gemma-alert\\opera64.exe",
"检测父路径": "C:\\Windows\\System32\\cmd.exe",
"检测用户名": "Administrator@sacumen.local",
"检测时间": "2022-04-17T11:52:30.000Z",
"终端ID": "6256a3b130015b2201bf496b"
}
网络攻击防御事件
当网络攻击防御模块触发检测时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
先前事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的FQDN |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中终端设备的唯一标识符 |
|
|
字符串 |
是 |
容器实体的标识符 |
|
|
字符串 |
是 |
管理容器实体的主机名称 |
|
|
字符串 |
是 |
GravityZone数据库中管理的终端标识符 |
|
|
字符串 |
否 |
管理员在网络网格中设置的标签 |
|
|
字符串 |
是 |
检测到威胁后采取的操作 |
|
|
字符串 |
是 |
从BEST接收到的检测名称 |
|
|
字符串 |
是 |
网络攻击防御策略中设置的攻击技术名称 |
|
|
字符串 |
是 |
攻击来源的IP地址 |
|
|
字符串 |
是 |
受害者终端的IP地址 |
|
|
字符串 |
是 |
发生攻击的端口 |
|
|
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
{
"名称": "网络事件",
"创建时间": "2022-04-26T09:49:18+03:00",
"公司名称": "root",
"用户名": "user1@domain.com",
"计算机ID": "625c19913a58151e63702862",
"计算机名称": "测试终端",
"计算机IP": "31.41.59.265",
"计算机全限定域名": "test-endpoint.dsd.ro",
"采取的措施": "阻止",
"攻击技术": "探测",
"检测名称": "Eicar网络监控发现威胁",
"源IP": "213.211.198.58",
"受害IP": "10.17.134.4",
"本地端口": "80",
"日期": "2015-02-02T13:34:54.000Z"
}
任务状态
每当任务状态变更时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
前一事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅限VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
是 |
创建任务的用户标识符 |
|
|
字符串 |
是 |
任务的标识符 |
|
|
字符串 |
是 |
任务的名称 |
|
|
整数 |
是 |
任务的类型 |
|
|
字符串 |
是 |
任务的目标名称 |
|
|
布尔值 |
是 |
若任务执行成功则为真 |
|
|
整数 |
是 |
任务的状态 |
|
|
字符串 |
是 |
失败任务的错误信息 |
|
|
整数 |
是 |
失败任务的错误代码 |
{
"module": "task-status",
"product_installed": "BEST",
"VM_NAME": "Pi-machine",
"VM_ID": "Pi-3141",
"UUID_INSTANCE": "50164ed1-28af-41af-cdaf-8e550506c37b",
"UUID_BIOS": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"computer_name": "Pi-machine",
"computer_fqdn": "Pi14159-automation-win64",
"computer_ip": "31.14.159.265",
"computer_id": "6257cf1130015b2201bf4a00",
"userId": "6177f2319908e641be7b8eda",
"taskId": "627cd4a6c9f8cd6efe672e74",
"taskName": "恢复隔离项任务 2022-05-12(子任务)",
"taskType": 280,
"targetName": "Pi-machine",
"isSuccessful": true,
"status": 3,
"errorMessage": "",
"errorCode": 0,
"errorMessageParams": []
}
用户控制/内容控制
当终端上用户活动(如网页浏览或软件应用)根据应用策略被阻止时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
前一事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机的名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机的唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机的名称 |
|
|
字符串 |
是 |
端点的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一端点标识符 |
|
|
字符串 |
否 |
取值:
|
|
|
字符串 |
否 |
恶意软件网址 |
|
|
字符串 |
否 |
取值:
|
|
|
字符串 |
否 |
取值:
|
|
|
字符串 |
否 |
恶意软件文件路径 |
|
|
字符串 |
否 |
取值:
|
|
|
时间戳 |
否 |
该恶意软件最后一次被阻止的时间戳 |
|
|
整数 |
否 |
该恶意软件被检测到的次数 |
{
"module": "uc",
"product_installed": "SVA",
"user": {
"id": "S-1-5-21-2807410960-349943591-4067985531-1001",
"name": "admin"
},
"computer_name": "AD-ONPREM-2019A 1",
"computer_fqdn": "ad-onprem-2019a",
"computer_ip": "10.18.156.47",
"computer_id": "627cd5854e604906f22aa6ed",
"uc_type": "http",
"url": "http:\/\/block_type_4.com",
"block_type": "http_categories",
"categories": "非法,购物,在线支付,即时通讯",
"status": "uc_site_blocked",
"last_blocked": "2015-02-25T12:21:54.000Z",
"count": 2
}
存储反恶意软件事件
当SVA在受保护存储(NAS)中发现新威胁时,每次都会生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
GravityZone数据库中受管终端的标识符 |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
存储单元名称 |
|
|
字符串 |
是 |
存储单元的IP地址 |
|
|
字符串 |
是 |
存储单元类型(例如:Nutanix、Citrix等) |
|
|
字符串 |
是 |
产品报告的受感染对象路径。该路径指向报告事件的机器上的本地文件 |
|
|
字符串 |
是 |
受感染对象的SHA256哈希值 |
|
|
字符串 |
是 |
描述Bitdefender定义的恶意软件类型。可能取值为:
|
|
|
字符串 |
是 |
Bitdefender定义的恶意软件名称 |
|
|
字符串 |
是 |
检测对象的最终状态。可能值为:
|
|
|
时间戳 |
是 |
产品报告的事件时间,已格式化为字符串表示形式 |
|
|
布尔值 |
否 |
描述文件是否提交至沙箱分析器的布尔值 |
|
|
字符串 |
否 |
文件提交至的沙箱分析器主机名 |
|
|
字符串 |
否 |
检测到恶意软件的安全服务器版本 |
|
|
字符串 |
否 |
用于检测恶意软件的引擎版本 |
{
"名称": "存储反恶意软件事件",
"创建时间": "2022-04-15T17:02:59+03:00",
"公司名称": "root",
"用户名": "root",
"计算机名": "bitdefender-sva",
"存储名称": "10.17.42.77",
"存储IP": "10.17.42.77",
"存储类型": "未知",
"恶意软件路径": "\/ifs\/data\/btoma_test3",
"恶意软件哈希值": "2f41772245a9d55a0725061337b18e8eba2cee7965d081b52c40afe2c0201dcd",
"恶意软件类型": "恶意软件",
"恶意软件名称": "BAT.Trojan.FormatC.Z",
"恶意软件状态": "已阻止",
"检测时间": "2022-04-15T14:02:02.000Z",
"沙箱检测": 0,
"沙箱主机名": "",
"安全服务器版本": "6.2.7.11403",
"引擎版本": "7.91671"
}
登录事件
新设备登录事件
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
字符串 |
否 |
另一台登录设备使用的操作系统 |
|
|
字符串 |
否 |
另一台登录设备使用的浏览器 |
|
|
字符串 |
否 |
另一台登录设备使用的浏览器版本 |
|
|
字符串 |
否 |
登录时另一设备的IP地址 |
{
"name": "新设备登录",
"created": "2022-05-31T15:48:15+03:00",
"company_name": "root",
"user_name": "root",
"os": "Windows",
"browser_version": "102.0.0.0",
"browser_name": "Chrome",
"request_time": "2022年5月31日 15:48:14 +03:00",
"device_ip": "10.17.90.108"
}
认证审计事件
认证审计
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
否 |
进行认证的平台 |
|
|
字符串 |
否 |
进行认证的浏览器 |
|
|
字符串 |
否 |
执行身份验证的浏览器版本 |
|
|
字符串 |
否 |
执行身份验证的系统设备IP |
{
"名称": "身份验证审计",
"创建时间": "2022-04-17T13:31:34+03:00",
"公司名称": "root",
"用户名": "test",
"平台": "Windows",
"浏览器": "Firefox",
"浏览器版本": "99.0",
"IP地址": "10.22.91.27",
"日期": "2022年4月17日 13:31:34 +03:00"
}
SMTP连接
当SMTP连接状态发生变化时创建此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
整数 |
否 |
连接错误代码 |
|
|
字符串 |
否 |
连接错误信息 |
|
|
字符串 |
否 |
SMTP连接状态 |
{
"name": "SMTP连接",
"created": "2022-05-31T16:03:57+03:00",
"company_name": "root",
"user_name": "test",
"status": false,
"error_code": 503,
"error_message": "预期响应码354,但收到代码\"503\",消息为\"503 5.5.2 Need rcpt command\r\n\""
}
互联网连接
当互联网连接状态发生变化时创建此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。值:
|
|
|
时间戳 |
是 |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
整数 |
否 |
连接错误代码 |
|
|
字符串 |
否 |
连接错误信息 |
|
|
字符串 |
否 |
SMTP连接状态 |
{
"名称": "互联网连接",
"创建时间": "2022-09-12T15:53:34+03:00",
"公司名称": "root",
"用户名": "test",
"状态": false,
"错误代码": 28,
"错误信息": "操作在10000毫秒后超时,接收0字节中的0字节"
}
许可证过期事件
许可证已过期。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件触发的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
字符串 |
是 |
使用该许可证的用户密钥 |
|
|
布尔值 |
是 |
当前公司是否已达到许可证限制 |
|
|
布尔值 |
是 |
合作伙伴公司是否已达到许可证限制 |
|
|
整型 |
是 |
距离许可证到期剩余天数阈值(达到该天数后开始向用户发送通知) |
|
|
整数 |
是 |
用户许可证剩余有效天数 |
|
|
布尔值 |
是 |
始终为假 |
{
"名称": "许可证到期",
"创建时间": "2022-04-23T18:05:47+03:00",
"公司名称": "root",
"用户名": "test",
"许可证密钥": "SUQ2GEC",
"产品ID": 2906,
"许可证公司ID": "6177f22f9908e641be7b8ec4",
"阈值": 1,
"天数": 1,
"是否为合作伙伴": false,
"为其公司接收": true,
"为合作伙伴公司接收": false
}
许可证即将达到限制事件
许可证即将达到限制。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
使用许可证的用户的许可证密钥 |
|
|
布尔值 |
是 |
当前公司是否已达到许可证限制 |
|
|
布尔值 |
是 |
合作伙伴公司是否已达到许可证限制 |
|
|
整数 |
是 |
用户使用许可证的天数 |
|
|
整数 |
是 |
用户可使用许可证的总天数 |
{
"名称": "许可证限制即将达到",
"创建时间": "2022-04-17T16:07:12+03:00",
"公司名称": "root",
"用户名": "root",
"许可证密钥": "30W6TMF",
"recv_for_his_company": true,
"recv_for_partner_company": false,
"已使用天数": 3,
"总天数": 4
}
许可证使用限制已达到事件
许可证使用限制已达到。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
字符串 |
是 |
使用许可证的用户密钥 |
|
|
布尔值 |
是 |
当前公司是否已达到许可证限制 |
|
|
布尔值 |
是 |
合作伙伴公司是否已达到许可证限制 |
|
|
整型 |
是 |
用户已使用许可证的天数 |
|
|
整数 |
是 |
用户可使用许可证的总天数 |
{
"name": "Exchange许可证使用已达上限",
"created": "2022-05-12T12:28:48+03:00",
"company_name": "root",
"user_name": "test",
"mailboxes": 7,
"license_limit": 6,
"license_key": "30W6TMF",
"recv_for_his_company": true,
"recv_for_partner_company": false
}
服务器许可证即将达限事件
服务器许可证即将达到限制。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件触发时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
字符串 |
是 |
使用该许可证的用户许可证密钥 |
|
|
布尔值 |
是 |
当前公司是否已达到许可证限制 |
|
|
布尔值 |
是 |
合作伙伴公司是否已达到许可证限制 |
|
|
整数 |
是 |
已授权服务器数量 |
|
|
整数 |
是 |
许可证允许的服务器总数 |
{
"name": "服务器许可证限制即将达到",
"created": "2022-04-17T15:58:10+03:00",
"company_name": "root",
"user_name": "test",
"license_key": "30W6TMF",
"recv_for_his_company": true,
"recv_for_partner_company": false,
"servers_used": 1,
"servers_total": 2
}
服务器许可证使用限制已达事件
服务器许可证使用限制已达
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
yes |
事件发生的时间戳 |
|
|
字符串 |
yes |
触发事件的设备所属公司名称 |
|
|
字符串 |
yes |
触发事件时使用的用户名 |
|
|
字符串 |
yes |
使用许可证的用户许可证密钥 |
|
|
布尔值 |
yes |
当前公司是否已达到许可证限制 |
|
|
布尔值 |
yes |
合作伙伴公司是否已达到许可证限制 |
|
|
整数 |
yes |
已授权的服务器数量 |
|
|
整数 |
是 |
许可证允许的服务器总数 |
{
"name": "已达到服务器许可证使用限制",
"created": "2022-04-17T16:07:12+03:00",
"company_name": "root",
"user_name": "test",
"license_key": "30W6TMF",
"recv_for_his_company": true,
"recv_for_partner_company": false,
"servers_used": 2,
"servers_total": 2
}
恶意软件爆发
当至少X%(预设为5%)的受管网络对象感染相同恶意软件时发送此通知。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
Bitdefender定义的恶意软件名称 |
|
|
数组 |
是 |
受感染的受保护实体 |
|
|
整数 |
是 |
受保护实体的配置设置 |
|
|
数组 |
否 |
受感染的受保护eps实体 |
|
|
整数 |
否 |
受保护eps实体的配置设置 |
|
|
数组 |
否 |
受感染的受保护sve实体 |
|
|
整数 |
否 |
受保护sve实体的配置设置 |
|
|
数组 |
否 |
包含受感染端点列表的csv文件ID |
|
|
整数 |
是 |
受感染端点的总数 |
|
|
整数 |
是 |
自上次报告以来的出现次数 |
|
|
时间戳 |
yes |
首次检测到恶意软件时的事件时间 |
|
|
时间戳 |
yes |
最后一次检测到恶意软件时的间隔结束时间 |
|
|
布尔值 |
no |
显示公司名称 |
{
"name": "恶意软件爆发",
"created": "2022-05-12T13:35:07+03:00",
"company_name": "root",
"user_name": "root",
"malware_name": "Gen:Trojan.Heur.LShot.1",
"count": 1,
"total": 13,
"interval_start": "2022-05-12 12:35:06",
"interval_end": "2022-05-12 13:35:07",
"protected_entities": [{
"name": "Pi14159-AUTOMAT",
"company": {
"id": "6177f22f9908e641be7b8ec4",
"name": "root"
}
}],
"protected_entities_more": 0,
"show_company_name": false,
"csv_id": "627ce2db468f4e01fb3d7322"
}
无邮箱事件的移动用户
无邮箱地址的移动设备用户
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
yes |
事件类型标识符。值:
|
|
|
时间戳 |
yes |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
数组 |
是 |
无电子邮件的移动用户列表 |
{
"名称": "无电子邮件的移动设备用户",
"创建时间": "2022-04-26T11:51:40",
"公司名称": "root",
"用户名": "root",
"用户列表": ["test", "test3"]
}
数据库备份事件
数据库备份
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
布尔值 |
是 |
数据库备份操作的成功状态 |
|
|
布尔值 |
是 |
数据库备份操作的调度状态 |
|
|
字符串 |
是 |
已执行备份操作的数据库版本 |
|
|
时间戳 |
是 |
数据库备份操作完成时的时间戳 |
|
|
整数 |
是 |
已执行备份操作的数据库所在位置 |
|
|
字符串 |
是 |
已执行备份操作的数据库所在位置 |
|
|
时间戳 |
是 |
下一次数据库备份操作计划的时间戳 |
|
|
整数 |
是 |
数据库备份状态:
|
{
"name": "数据库备份",
"created": "2022-04-14T08:59:57+00:00",
"company_name": "root",
"user_name": "root",
"backup_status": 0,
"is_successful": true,
"is_scheduled": false,
"db_version": "023-001-001",
"date": "2022-04-14T08:59:51",
"location_type": 2,
"location": "\\\\10.18.156.38\\share",
"next_backup": null
}
证书过期事件
证书过期
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。值:
|
|
|
时间戳 |
是 |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
整型 |
是 |
当前用户使用的证书类型 |
|
|
整型 |
是 |
用户证书到期前的剩余天数 |
|
|
时间戳 |
是 |
向用户发送证书到期通知的时间戳 |
|
|
整型 |
是 |
从证书到期前多少天开始向用户发送通知 |
{
"name": "证书过期",
"created": "2022-04-24T05:00:59+03:00",
"company_name": "root",
"user_name": "test",
"certificate_type": 1,
"days_left": 0,
"last_notification_date": "2022-04-24T05:00:59+03:00",
"threshold": 1
}
升级状态
当Gravity Zone控制台中端点受旧产品(Bitdefender工具或安全端点)保护时生成此事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件触发时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
数组 |
是 |
旧版产品检测到的受保护实体 |
|
|
整数 |
是 |
若设为1则表示后续事件将包含更多受保护实体 |
|
|
数组 |
否 |
包含受保护端点列表的CSV文件ID |
|
|
整数 |
是 |
自上次报告以来的出现次数 |
|
|
布尔值 |
否 |
显示公司名称 |
{
"name": "升级状态",
"created": "2015-06-22T11:11:39+03:00",
"company_name": "比特梵德",
"user_name": "root@bitdefender.com",
"count": 1,
"protected_entities": [{
"name": "stomoiaga-win",
"company": {
"id": "5be196701da1978e108b4567",
"name": "比特梵德"
}
}],
"protected_entities_more": 0,
"show_company_name": false,
"csv_id": {
"$id": "5587c33bb1a43d673d8b456c"
}
}
故障排查活动
当故障排查任务结束时生成该事件,并通知其状态。若成功,将提供相关日志。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
先前事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机的标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中终端的唯一标识符 |
|
|
字符串 |
是 |
当前故障排查任务的ID |
|
|
字符串 |
是 |
任务类型 |
|
|
整数 |
是 |
若任务失败时表示错误代码的整数值 |
|
|
字符串 |
否 |
发起故障排查任务的用户账户名称 |
|
|
字符串 |
否 |
目标机器上存放故障排查归档文件的路径 |
|
|
字符串 |
否 |
网络共享中存放故障排查归档文件的路径 |
|
|
布尔值 |
否 |
是否将故障排查归档文件同时上传至Bitdefender云端的选项 |
|
|
整数 |
是 |
任务完成时的状态代码 |
|
|
整数 |
否 |
故障排查活动被终止的原因代码 |
|
|
整数 |
否 |
当部分交付方式成功而部分失败时,标识失败的存储类型 |
|
|
时间戳 |
否 |
事件开始的时间戳 |
|
|
时间戳 |
否 |
产品报告的事件时间,已格式化为字符串表示形式 |
{
"product_installed": "BEST",
"computer_name": "TEST_ENDPOINT_WINDOWS_10",
"computer_fqdn": "test-endpoint.dsd.ro",
"computer_ip": "10.10.0.101",
"computer_id": "5ee30e2b29a4e218489442b6",
"taskId": "5ee30e78f23f7312e6087824",
"taskType": "收集日志",
"errorCode": 0,
"username": "vagrant",
"localPath": "本地路径",
"networkSharePath": "网络共享路径",
"saveToBitdefenderCloud": 0,
"status": 3,
"startDate": "2020-06-12T05:11:19.000Z",
"endDate": "2020-06-12T06:43:00.801Z"
}
可用更新
本通知提醒您GravityZone组件有新更新可用。
|
名称 |
类型 |
强制 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
时间戳 |
是 |
事件发生的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
触发事件时使用的用户名 |
|
|
字符串 |
是 |
GravityZone组件的可用版本 |
|
|
String |
yes |
GravityZone组件当前版本 |
|
|
Timestamp |
yes |
更新发布时间 |
|
|
Integer |
no |
控制台更新/安装包更新/产品更新 |
|
|
Integer |
no |
新更新适用的产品类型(BEST, Security Server) |
{
"name": "更新可用",
"created": "2022年6月9日 10:33:31 +03:00",
"company_name": "root",
"user_name": "test",
"available_version": "6.28.1-4",
"release_date": "2022年6月9日 10:33:31 +03:00",
"update_type": 0,
"current_version": "6.27.1-5"
}
设备控制
每当设备控制模块检测到有设备插入客户端系统时,就会生成一个事件。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
String |
yes |
事件类型标识符。取值:
|
|
|
String |
是 |
已安装GravityZone组件的标识符 |
|
|
对象 |
否 |
前次事件的数据 |
|
|
对象 |
否 |
与事件源相关的用户 |
|
|
字符串 |
否 |
虚拟机名称 |
|
|
字符串 |
否 |
虚拟机标识符 |
|
|
字符串 |
否 |
虚拟机唯一标识符 |
|
|
字符串 |
否 |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
否 |
发现事件时登录的用户 |
|
|
字符串 |
否 |
代理版本 |
|
|
字符串 |
是 |
对设备采取的操作:允许、阻止、只读。仅当设备状态为新增时显示。 |
|
|
字符串 |
否 |
设备的描述性名称 |
|
|
整数 |
是 |
设备类别 |
|
|
字符串 |
否 |
设备标识符 |
|
|
整数 |
否 |
设备的产品ID |
|
|
整数 |
否 |
供应商ID |
|
|
时间戳 |
是 |
设备被封锁的日期 |
{ "module": "device-control",
"product_installed": "BEST",
"VM_NAME": "btoma-win-2k12-onPrem-2",
"VM_ID": "vm-4309",
"UUID_INSTANCE": "5016768a-2a1b-979f-f05b-21e4b67c371c",
"UUID_BIOS": "42161832-3f3a-f1c9-1fa4-0c27a0c6be6d",
"computer_name": "btoma-win-2k12-onPrem-2",
"computer_fqdn": "win-9nvehq2j63g",
"computer_ip": "10.18.154.75",
"computer_id": "625c0f55a154a3606228a812",
"username": "", "action": "blocked",
"deviceName": "NECVMWar VMware IDE CDR10 ATA Device",
"deviceClass": 2,
"deviceId": "IDE\\CDROMNECVMWAR_VMWARE_IDE_CDR10_______________1.00____\\5&290FD3AB&0&1.0.0",
"productId": 0,
"vendorId": 0,
"date": "2022-04-17T13:06:23.000Z"
}
勒索软件活动检测
当端点代理阻止勒索软件攻击时触发此事件
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
yes |
已安装的GravityZone组件标识符 |
|
|
对象 |
no |
先前事件的数据 |
|
|
对象 |
no |
与事件源相关的用户 |
|
|
字符串 |
no |
虚拟机名称 |
|
|
字符串 |
no |
虚拟机标识符 |
|
|
字符串 |
no |
虚拟机唯一标识符 |
|
|
字符串 |
no |
仅适用于VMware:BIOS UUID |
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中终端的唯一标识符 |
|
|
字符串 |
是 |
GravityZone数据库中受管终端的标识符 |
|
|
字符串 |
是 |
勒索软件攻击类型 |
|
|
字符串 |
是 |
攻击期间被加密的文件数量 |
|
|
整数 |
是 |
检测到攻击的日期和时间 |
|
|
字符串 |
是 |
远程攻击时的远程IP地址或本地攻击时的进程路径 |
{
"module": "勒索软件缓解",
"product_installed": "BEST",
"user": {
"name": "bdvm",
"sid": "S-1-5-21-2018264366-2484004464-1617746128-1001"
},
"VM_NAME": "Pi-machine",
"VM_ID": "Pi-3141",
"UUID_INSTANCE": "50164ed1-28af-41af-cdaf-8e550506c37b",
"UUID_BIOS": "4216d501-36c5-22ed-de02-0e4da0badb7a",
"computer_name": "Pi-machine",
"computer_fqdn": "Pi14159-automation-win64",
"computer_ip": "31.14.159.265",
"computer_id": "6257cf1130015b2201bf4a00",
"attack_type": "local",
"item_count": "12",
"detected_on": 1650191436,
"attack_source": "C:\\Users\\bdvm\\Desktop\\samples\\samples\\ransomeware_remediation\\RanSim\\RanSim\\TestDirectory\\Scenarios\\Collaborator\\1934050139_Collaborator.txr"
}
新事件
每当控制中心事件部分显示新的根本原因分析(RCA)时生成此事件。该事件包含从RCA JSON中提取的相关项列表,可用于通过EDR特定数据增强SIEM驱动的关联分析。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
事件类型标识符。取值:
|
|
|
字符串 |
是 |
计算机名称 |
|
|
字符串 |
是 |
终端设备的完全限定域名 |
|
|
字符串 |
是 |
IP地址 |
|
|
字符串 |
是 |
GravityZone数据库中的唯一终端标识符 |
|
|
字符串 |
是 |
事件的标识符 |
|
|
整数 |
是 |
0到100之间的整数,定义事件的严重程度 |
|
|
整数 |
是 |
攻击源节点的UID |
|
|
字符串 |
是 |
产品对事件采取的操作 |
|
|
字符串 |
否 |
检测名称 |
|
|
字符串 |
否 |
恶意软件文件名 |
|
|
字符串 |
否 |
恶意软件文件路径 |
|
|
字符串 |
否 |
恶意软件文件MD5哈希值 |
|
|
字符串 |
否 |
恶意软件文件SHA256哈希值 |
|
|
字符串 |
否 |
域名URL |
|
|
字符串 |
否 |
应用程序协议 |
|
|
整数 |
否 |
进程PID |
|
|
字符串 |
否 |
进程路径 |
|
|
整数 |
否 |
父进程PID |
|
|
字符串 |
否 |
父进程的路径 |
|
|
数组 |
否 |
事件涉及的攻击类型 |
|
|
数组 |
否 |
事件涉及的Mitre攻击标识符 |
|
|
字符串 |
否 |
进程的命令行 |
|
|
字符串 |
是 |
生成事件的严重程度 |
|
|
时间戳 |
是 |
事件的时间戳 |
|
|
字符串 |
是 |
触发事件的设备所属公司名称 |
|
|
字符串 |
是 |
事件触发时使用的用户名 |
|
|
字符串 |
否 |
发现事件时登录的用户 |
|
|
字符串 |
否 |
事件源关联用户的SID |
{
"名称": "新事件",
"创建时间": "2022-05-12T09:34:03.690Z",
"公司名称": "root",
"用户名": "root",
"模块": "new-incident",
"计算机ID": "6256a431cb46d1222c00c5a6",
"计算机FQDN": "Pi14159-automation-win64",
"计算机名": "Pi14159-automation-win64",
"检测名称": "Gen:Trojan.Heur.LShot.1",
"攻击类型": ["恶意软件"],
"计算机IP": "31.14.159.265",
"严重性评分": 65,
"事件ID": "627cd48c12eb1f08b5d42dbe",
"攻击入口": 1926087460,
"进程路径": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell_ise.exe",
"文件路径": "c:\\users\\bdvm\\desktop\\script.ps1",
"文件名": "script.ps1",
"攻击ID": [],
"严重性": "中",
"主要操作": "无操作"
}
安全容器状态更新
本通知用于告知您网络中安装的安全容器产品更新状态变更情况。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
时间戳 |
是 |
事件发生时间戳 |
|
|
字符串 |
是 |
过期的安全容器列表 |
|
|
字符串 |
是 |
事件名称 |
{
"名称": "安全容器状态更新",
"创建时间": "2022-04-18T11:12:14+03:00",
"公司名称": "root",
"用户名": "root",
"模块": "security-container-update-status",
"安全容器列表": [{
"安全容器名称": "security-container-x",
"主机名": "测试终端"
}]
}
集成失步
每当消息无法传递至集成目标时生成此通知。
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
唯一的AD主机名或集成名称。 |
|
|
时间戳 |
是 |
事件发生的时间戳。 |
|
|
字符串 |
是 |
创建集成的公司名称。 |
|
|
字符串 |
是 |
接收通知的用户名称。 |
|
|
字符串 |
是 |
发生问题的集成ID。 |
|
|
字符串 |
是 |
发生问题的集成类型。 可选值:
|
|
|
字符串 |
是 |
问题发生时集成的同步状态。 可能取值:
|
{
"name": "10.17.**.**",
"created": "2024-09-10T14:15:12+00:00",
"company_name": "IRU-**",
"user_name": "root",
"integration_id": "66e053a18f3e4a6188042807",
"integration_type": 260,
"sync_status": 11
}
防篡改
当检测到产品完整性威胁时(例如存在可被利用攻击安全代理的易受攻击驱动程序),或发生篡改后事件(如关键保护机制被禁用的回调规避行为),本通知将向您发出警报。
回调规避
|
名称 |
类型 |
必填 |
描述 |
|---|---|---|---|
|
module |
字符串 |
是 |
事件类型标识符。取值:
|
|
product_installed |
字符串 |
是 |
已安装组件的标识符。 |
|
计算机名称 |
字符串 |
是 |
计算机名 |
|
计算机全限定域名 |
字符串 |
是 |
全限定域名 |
|
计算机IP |
字符串 |
是 |
IP地址 |
|
计算机ID |
字符串 |
是 |
GravityZone数据库中唯一的终端标识符 |
|
终端ID |
字符串 |
是 |
终端的内部标识符。它在GravityZone本身或任何API方法中不具有功能作用或适用性。 |
|
驱动程序名称 |
字符串 |
是 |
检测所涉及的驱动程序名称。 |
|
检测技术 |
字符串 |
是 |
用于进行检测的方法。 |
|
detection_action |
string |
no |
检测后采取的措施。 |
|
detection_username |
string |
yes |
参与检测的用户。 |
|
detection_userSid |
string |
yes |
参与检测的用户的安全标识符(SID)。 |
|
detection_time |
string |
yes |
检测日期和时间的时间戳。 |
{
"module": "antitampering",
"product_installed": "BEST",
"computer_name": "endpointSecurityAudit",
"computer_fqdn": "fake-computer-fqdn.ro",
"computer_ip": "192.168.1.1",
"computer_id": "67ffa239bee67f46b5dbe9df",
"endpointId": "67ffa239bee67f46b5dbe9dd",
"driverName": "atc",
"detection_technique": "Callback Evasion",
"detection_action": "reportOnly",
"detection_username": "userSecurityAudit",
"detection_userSid": "S-1-5-18",
"detection_time": "2025-04-16T12:27:38.000Z"
}
易受攻击的驱动程序
|
名称 |
类型 |
是否必填 |
描述 |
|---|---|---|---|
|
module |
string |
yes |
事件类型标识符。取值:
|
|
product_installed |
string |
是 |
已安装组件的标识符。 |
|
computer_name |
string |
是 |
计算机名称 |
|
computer_fqdn |
string |
是 |
完全限定域名 |
|
computer_ip |
string |
是 |
IP地址 |
|
computer_id |
string |
是 |
GravityZone数据库中的唯一终端标识符 |
|
endpointId |
string |
是 |
终端的内部标识符。它在GravityZone本身或任何API方法中不具有功能性作用或适用性。 |
|
driverPath |
string |
是 |
事件涉及的驱动程序路径。 |
|
detection_technique |
string |
是 |
用于检测的方法。 |
|
检测动作 |
字符串 |
否 |
检测后采取的措施。 |
|
检测进程ID |
字符串 |
是 |
事件相关进程的ID。 |
|
检测路径 |
字符串 |
是 |
检测相关进程的路径。 |
|
检测父进程ID |
字符串 |
是 |
事件相关父进程的ID。 |
|
检测父进程路径 |
字符串 |
否 |
事件相关父进程的ID。 |
|
检测命令行 |
字符串 |
是 |
启动事件相关进程时使用的命令行参数。 |
|
检测用户名 |
字符串 |
是 |
检测相关的用户。 |
|
检测用户SID |
字符串 |
是 |
检测涉及用户的SID。 |
|
检测时间 |
字符串 |
是 |
检测日期和时间的时间戳。 |
{
"模块": "防篡改",
"已安装产品": "BEST",
"计算机名": "终端安全审计",
"计算机FQDN": "fake-computer-fqdn.ro",
"计算机IP": "192.168.1.1",
"计算机ID": "67ffa239bee67f46b5dbe9df",
"终端ID": "67ffa239bee67f46b5dbe9dd",
"驱动路径": "拒绝/用户安全审计",
"检测技术": "易受攻击的驱动程序",
"检测动作": "拒绝",
"检测进程ID": "1123",
"检测路径": "拒绝/用户安全审计",
"检测父进程ID": "2222",
"检测父路径": "/进程/父路径/显示",
"检测命令行": "",
"检测用户名": "用户安全审计",
"检测用户SID": "S-1-2-3-4",
"检测时间": "2025-04-16T12:28:40.000Z"
}