Ansichten:
Hinweis
Hinweis
Eine Liste der standardmäßigen Token-Variablen, die von allen Ereignisbenachrichtigungen unterstützt werden, finden Sie unter Standard-Token-Variablen.
In der folgenden Tabelle sind die Token-Variablen beschrieben, mit denen Ereignisbenachrichtigungsmeldungen bei erweiterter Bedrohungsaktivität angepasst werden können.
Variable
Beschreibung
%hostIP%
Abhängig von der Richtung des Datenverkehrs ist %hostIP% die von Deep Discovery Inspector ermittelte IP-Adresse:
  • Ausgehender Datenverkehr (an ein externes Netzwerk fließender interner Datenverkehr): %hostIP% ist die IP-Adresse des Endpunkts im Netzwerk (Quelle)
  • Datenverkehr innerhalb des Netzwerks: %hostIP% ist die IP-Adresse des Endpunkts im Netzwerk
  • Externer Datenverkehr an einen Endpunkt in einem Netzwerk: %hostIP% ist die IP-Adresse des Endpunkts im Netzwerk
  • Datenverkehr außerhalb des Netzwerks: %hostIP% ist die IP-Adresse des Endpunkts außerhalb des Netzwerks
%group%
Der Name des Subnetzes
%START_TIME%
Startdatum und Uhrzeit für den Erkennungszeitraum
Hinweis
Hinweis
Der angegebene Zeitraum für die Benachrichtigungskriterien bestimmt die Start- und Endzeiten.
%END_TIME%
Enddatum und Uhrzeit für den Erkennungszeitraum
Die Start- und Endzeiten definieren den Zeitraum für den Bereich. Wenn während eines bestimmten Intervalls Protokolle eingegangen sind, berechnet Apex Central diese Protokolle. Wenn die Alarmkriterien erfüllt sind, zählt Apex Central die Protokolle. %START_TIME% ist die Startzeit des Intervalls, und %END_TIME% die Endzeit des Intervalls. Die Länge des Intervalls wird anhand des Periodenschwellenwerts in den Warneinstellungen ermittelt.
Hinweis
Hinweis
Der angegebene Zeitraum für die Benachrichtigungskriterien bestimmt die Start- und Endzeiten.
%detections%
Die Anzahl der Funde
Beispiel:
Ereignis: Virtual Analyzer Funde mit hohem Risiko
IP-Adresse: %hostIP%
Hostname: %computer%
Gruppe: %group%
Zeitraum: %START_TIME% - %END_TIME%
Funde: %detections%
Die folgende Tabelle beschreibt Tokenvariablen zur Anpassung von Benachrichtigungsnachrichten für Verstöße der Verhaltensüberwachung und Funde für Vorausschauendes Maschinenlernen.
Variable
Beschreibung
%hostIP%
Abhängig von der Richtung des Datenverkehrs ist %hostIP% die von Deep Discovery Inspector ermittelte IP-Adresse:
  • Ausgehender Datenverkehr (an ein externes Netzwerk fließender interner Datenverkehr): %hostIP% ist die IP-Adresse des Endpunkts im Netzwerk (Quelle)
  • Datenverkehr innerhalb des Netzwerks: %hostIP% ist die IP-Adresse des Endpunkts im Netzwerk
  • Externer Datenverkehr an einen Endpunkt in einem Netzwerk: %hostIP% ist die IP-Adresse des Endpunkts im Netzwerk
  • Datenverkehr außerhalb des Netzwerks: %hostIP% ist die IP-Adresse des Endpunkts außerhalb des Netzwerks
%START_TIME%
Startdatum und Uhrzeit für den Erkennungszeitraum
Hinweis
Hinweis
Der angegebene Zeitraum für die Benachrichtigungskriterien bestimmt die Start- und Endzeiten.
%END_TIME%
Enddatum und Uhrzeit für den Erkennungszeitraum
Die Start- und Endzeiten definieren den Zeitraum für den Bereich. Wenn während eines bestimmten Intervalls Protokolle eingegangen sind, berechnet Apex Central diese Protokolle. Wenn die Alarmkriterien erfüllt sind, zählt Apex Central die Protokolle. %START_TIME% ist die Startzeit des Intervalls, und %END_TIME% die Endzeit des Intervalls. Die Länge des Intervalls wird anhand des Periodenschwellenwerts in den Warneinstellungen ermittelt.
Hinweis
Hinweis
Der angegebene Zeitraum für die Benachrichtigungskriterien bestimmt die Start- und Endzeiten.
%detections%
Die Anzahl der Funde
Beispiel:
Ereignis: Virtual Analyzer Funde mit hohem Risiko
IP-Adresse: %hostIP%
Hostname: %computer%
Gruppe: %group%
Zeitraum: %START_TIME% - %END_TIME%
Funde: %detections%
%domain%
Die Stammdomäne des Ziels in der Apex One Domänenhierarchie
%hierarchy%
Der vollständige Pfad des Ziels in der Apex One Domänenhierarchie
%BM_policy%
Die Richtlinien-ID der Verhaltensüberwachung
Hinweis
Hinweis
Diese Tokenvariable ist nur für Benachrichtigungsnachrichten bei Verstoß der Verhaltensüberwachung verfügbar.
%risklevel%
Risikostufe des Ereignisses
Hinweis
Hinweis
Diese Tokenvariable ist nur für Benachrichtigungsnachrichten bei Verstoß der Verhaltensüberwachung verfügbar.
%target%
Das Ziel des Ereignisses
Hinweis
Hinweis
Diese Tokenvariable ist nur für Benachrichtigungsnachrichten bei Verstoß der Verhaltensüberwachung verfügbar.