In der folgenden Tabelle sind die Token-Variablen beschrieben, mit denen C&C-Callback-Ereignisbenachrichtigungsmeldungen
angepasst werden können.
 |
HinweisEine Liste der standardmäßigen Token-Variablen, die von allen Ereignisbenachrichtigungen
unterstützt werden, finden Sie unter Standard-Token-Variablen.
|
|
Variable
|
Beschreibung
|
%CnC_LIST_SRC% |
Name der Liste mit der Callback-Adresse
|
%CNC_PD_NAME% |
Produkt-ID des verwalteten Produktservers, der das Protokoll gesendet hat
|
%CNC_PD_VERSION% |
Version des verwalteten Produktservers, der das Protokoll gesendet hat
|
%CNC_PD_NODE% |
Endpunktname des verwalteten Produktservers, der das Protokoll gesendet hat
|
%CNC_PD_IP% |
IP-Adresse des Servers des verwalteten Produkts, der das Protokoll gesendet hat
|
%CNC_EVTTIME% |
Zeitpunkt der Protokollerstellung
|
%CNC_AGENTNAME% |
Name des Security Agent Endpunkts, der den Rückruf erkannt hat
|
%CNC_AGENTIP% |
IP-Adresse des Security Agent Endpunkts, der den Rückruf erkannt hat
|
%CNC_AGENTDOMAIN% |
Apex One-Domäne des Security Agent-Endpunkts, der den Rückruf erkannt hat
|
%CNC_POLICY_RULE% |
Name oder Regel-ID der Richtlinie, die den Rückruf erkannt hat
|
%CNC_ACTION% |
Aktionsergebnis aus dem Sicherheitsprotokoll, Personal Firewall, NCIE-Protokoll oder
Websicherheitsprotokoll
|
%CNC_EMAIL_SENDER% |
E-Mail-Absender, der dem Callback zugeordnet ist
|
%CNC_EMAIL_SUBJECT% |
Dem Callback zugeordneter Betreff
|
%CNC_RISKLEVEL% |
Risikostufe der Malware-Gruppen, die mit dem C&C-Server verbunden sind
|
%CNC_DETECT_SOURCE% |
Die C&C-Liste, die die Erkennungsregel definiert
|
%CNC_CHANNEL% |
Die Typ-ID, die das Zielformat angibt
|
%CNC_URL% |
Die Remote-URL, mit der der Endpunkt eine Verbindung herstellen wollte
|
%CNC_URL_CATEGORY% |
Die URL-Kategorie der Website, mit der der Endpunkt eine Verbindung herstellen wollte
|
%CNC_IP_PORT% |
Die IP-Adresse des C&C-Servers und der Port
|
%CNC_EMAIL_REPT% |
Dem Callback zugeordneter E-Mail-Empfänger
|
%CNC_FIRST_SEEN% |
Die erste bekannte Erkennung des C&C-Servers
|
%CNC_LAST_SEEN% |
Die letzte bekannte Erkennung des C&C-Servers
|
%CNC_LOCATION% |
Der Ländercode des C&C-Servers
|
%CNC_MALEWARE_FAMILY% |
Die mit der C&C-Erkennung verbundene Malware-Familie
|
%CNC_ATTACK_GROUP% |
Die C&C-Gruppe listet
|
%CNC_PROCESS_NAME% |
Der mit der C&C-Erkennung verbundene Prozessname
|
%CALLBACK_ADDR% |
URL, IP-Adresse oder E-Mail-Adresse, an die ein infizierter Host versucht, einen Callback
durchzuführen
|
%COMPR_HOST% |
Betroffene Host- oder E-Mail-Adresse
|
%CALLBACK_NUM% |
Anzahl der Kontakte zwischen Callback-Adressen und infizierten Hosts
|
%COMPR_HOST_NUM% |
Anzahl der am Ausbruch beteiligten infizierten Hosts
|
%CALLBACK_ADDR_NUM% |
Anzahl der am Ausbruch beteiligten Callback-Adressen
|