 |
WichtigDiese Datenquellenabfragemethode ist nach dem 2. Februar 2026 nicht mehr verfügbar.
Für weitere Informationen zu den derzeit verfügbaren Datenquellen für Abfragen im
XDR Data Explorer gehen Sie zu https://trendmicro.github.io/tm-v1-schema/pages/index.
|
|
Feldname
|
Typ
|
Allgemeines Feld
|
Beschreibung
|
Beispiel
|
Produkte
|
|
zusätzlicheInformationen
|
|
-
|
Die Filterregel-Informationen
|
|
|
|
app
|
|
-
|
Das Schicht-7-Netzwerkprotokoll wird ausgenutzt
|
|
|
|
authId
|
|
-
|
Die Autorisierungs-ID
|
|
|
|
azId
|
|
-
|
Die Verfügbarkeitszonen-ID der virtuellen Maschine, die die Anfrage gestellt hat
|
|
|
|
Kanal
|
|
-
|
Der Windows Ereigniskanal
|
|
|
|
cloudIdentityAccountId
|
|
-
|
Die Cloud-Identitätskontokennung, die für die Autorisierung verwendet wird
|
|
|
|
cloudIdentityId
|
|
-
|
Die für die Autorisierung verwendete Cloud-Identitäts-ID
|
|
|
|
cloudIdentityName
|
|
-
|
Der Cloud-Identitätsname, der für die Autorisierung verwendet wird
|
|
|
|
cloudProvider
|
|
-
|
Der Dienstanbieter des Cloud-Assets
|
|
|
|
cloudServiceApiName
|
|
-
|
Die Cloud-Service-API
|
|
|
|
cloudServiceName
|
|
-
|
Der Cloud-Dienst
|
|
|
|
codeIntegrityOptionEnabled
|
|
-
|
Ob das System das Laden signierter Kernel gemäß der Treibersignaturdurchsetzung erzwungen
hat
|
|
|
|
codeIntegrityOptionTestsign
|
|
-
|
Ob das System die Überprüfung der Treibersignatur umgangen und das Laden von testsignierten
Treibern erlaubt hat
|
|
|
|
Korrelationsdaten
|
|
-
|
Die Daten für die Korrelation
|
-
|
|
|
customAssetTags
|
|
-
|
Die Liste der benutzerdefinierten Asset-Tags
|
|
|
|
deviceType
|
|
-
|
Der Festplattentyp
|
|
|
|
dpt
|
|
|
Der Zielport
|
-
|
|
|
dst
|
|
|
Die Ziel-IP
|
|
|
|
endpointGuid
|
|
|
Die Host-GUID des Endpunkts, auf dem das Ereignis erkannt wurde
|
|
|
|
endpointHostName
|
|
|
Der Hostname des Endpunkts, auf dem das Ereignis erkannt wurde
|
|
|
|
endpunktIp
|
|
|
Die IP-Adresse des Endpunkts, auf dem das Ereignis erkannt wurde
|
|
|
|
endpointMacAddress
|
|
-
|
Die MAC-Adresse des Hosts
|
|
|
|
eventDataAccessList
|
|
-
|
Die Liste der angeforderten Zugriffsrechte
|
|
|
|
eventDataAccessMask
|
|
-
|
Der hexadezimale Wert der angeforderten oder verwendeten Berechtigungen während eines
Zugriffsversuchs
|
|
|
|
eventDataActionName
|
|
-
|
Die durchgeführte Aktion
|
|
|
|
eventDataAuthenticationPackageName
|
|
-
|
Der Name des Authentifizierungspakets der Windows-Ereignisdaten
|
|
|
|
eventDataConsumer
|
|
-
|
Der Empfänger des gemeldeten Ereignisses
|
|
|
|
eventDataElevatedToken
|
|
-
|
Ob die Sitzung erhöht ist und Administratorrechte hat
|
|
|
|
eventDataVollqualifizierterAssemblyName
|
|
-
|
Der vollqualifizierte .NET-Assembly-Name
|
|
|
|
eventDataImpersonationLevel
|
|
-
|
Die Nachahmungsstufe der Anmeldesitzung
|
|
|
|
eventDataIpAddress
|
|
-
|
Die IP-Adresse des Windows-Ereignisses 4624 (erfolgreicher Anmeldeversuch)
|
|
|
|
eventDataJobOwner
|
|
-
|
Der Name des Kontos, das das Ereignis initiiert hat
|
|
|
|
eventDataLogonProcessName
|
|
-
|
Der Name des Windows-Ereignisanmeldeprozesses
|
|
|
|
eventDataLogonTyp
|
|
-
|
Der Anmeldetyp des Windows-Ereignisses 4624 (erfolgreicher Anmeldeversuch)
|
|
|
|
eventDataModuleILPath
|
|
-
|
Der CIL-Bildpfad des Moduls oder der Name des dynamischen Moduls
|
|
|
|
eventDataObjectName
|
|
-
|
Die identifizierenden Informationen über das Objekt, für das der Zugriff angefordert
wurde
|
|
|
|
eventDataObjectType
|
|
-
|
Der Objekttyp
|
|
|
|
eventDataOperation
|
|
-
|
Windows-Ereignis 11
|
|
|
|
eventDataPath
|
|
-
|
Der Pfad der Windows-Ereignisdaten
|
|
|
|
eventDataProcessPath
|
|
-
|
Der Prozesspfad, der das Ereignis initiiert hat
|
|
|
|
eventDataProviderName
|
|
-
|
Der Name des Windows-Ereignis-Datenanbieters
|
|
|
|
eventDataProviderPath
|
|
-
|
Der Dateipfad des Windows-Ereignis-Datenanbieters
|
|
|
|
eventDataScriptBlockText
|
|
-
|
Windows-Ereignis 4104 (die Ausführung eines Remote-Befehls mit PowerShell)
|
|
|
|
eventDataServiceDateiname
|
|
-
|
Der vollständige Dateipfad der ausführbaren Servicedatei
|
|
|
|
eventDataServiceName
|
|
-
|
Der Dienstname
|
|
|
|
eventDataStatus
|
|
-
|
Der Windows-Ereignisdatenstatus
|
|
|
|
eventDataSubStatus
|
|
-
|
Der Windows-Ereignis-Daten-Substatus
|
|
|
|
eventDataSubjectUserName
|
|
-
|
Der Kontoname
|
|
|
|
eventDataTargetDomainName
|
|
-
|
Die Domäne des Zielanmeldekontos oder der Computername
|
|
|
|
eventDataTargetName
|
|
-
|
Der Dienst-, Anwendungs- oder Netzwerkressourcenname
|
|
|
|
eventDataTargetBenutzerName
|
|
-
|
Der Benutzername des Windows-Ereignisdatensatz-Ziels
|
|
|
|
eventDataTaskName
|
|
-
|
Der von Windows-Ereignis protokollierte Aufgabenname
|
|
|
|
eventDataTicketEncryptionType
|
|
-
|
Das kryptografische Paket, das für den Kerberos TGS verwendet wird
|
|
|
|
eventDataTicketOptions
|
|
-
|
Das Verhalten des Kerberos-Tickets für die Authentifizierungsanfrage und die Berechtigungsflags
|
|
|
|
ereignisDatenBenutzerKontext
|
|
-
|
Der Benutzerkontext der Windows-Ereignisdaten
|
|
|
|
eventDataWorkstationName
|
|
-
|
Der Name des Computers, der beim Anmeldeversuch verwendet wurde
|
|
|
|
eventHashId
|
|
-
|
Die Ereignis-Hash-ID
|
|
|
|
eventId
|
|
-
|
Der Ereignistyp
|
-
|
|
|
Ereignisnachricht
|
|
-
|
Die Ereignisnachricht
|
|
|
|
eventSubId
|
|
-
|
Der Zugriffstyp
|
|
|
|
eventTime
|
|
-
|
Der Zeitpunkt, zu dem der Agent das Ereignis erkannt hat
|
|
|
|
filterRiskLevel
|
|
-
|
Risikostufe der obersten Ebene des Ereignisses
|
|
|
|
Gruppen-ID
|
|
-
|
Die Gruppen-ID für den Verwaltungsscope-Filter
|
|
|
|
hookId
|
|
-
|
Die Hook-ID
|
|
|
|
hostName
|
|
|
Der Domänenname
|
|
|
|
httpReferer
|
|
|
Der HTTP-Header Referer
|
|
|
|
importTable
|
|
-
|
Die importierten Tabelleninformationen
|
-
|
|
|
importTableFileName
|
|
-
|
Der Dateiname der Bibliothek, die importierte Funktionen enthält
|
|
|
|
importTableFunctionName
|
|
-
|
Der importierte Funktionsdateiname
|
|
|
|
instanceAccountId
|
|
-
|
Die Cloud-Konto-ID der virtuellen Maschine, die die Anfrage gestellt hat
|
|
|
|
instanceId
|
|
-
|
Die Instanz-ID der virtuellen Maschine auf der Cloud-Plattform
|
|
|
|
instanceName
|
|
-
|
Die virtuelle Maschine, die die Anfrage gestellt hat
|
|
|
|
Integritätsstufe
|
|
-
|
Die Integritätsstufe eines Prozesses
|
-
|
|
|
EmpfangszeitProtokoll
|
|
-
|
Der Zeitpunkt, zu dem das XDR-Protokoll empfangen wurde
|
|
|
|
logonBenutzer
|
|
|
Der Anmeldename
|
|
|
|
Nachrichtentyp
|
|
-
|
Der Nachrichtentyp
|
|
|
|
metaSrcExtra
|
|
-
|
Das Meta zur Identifizierung der Quelle von Ereignissen
|
|
|
|
networkInterfaceId
|
|
-
|
Die Netzwerkschnittstelle der virtuellen Maschine, die die Anfrage gestellt hat
|
|
|
|
objectApiName
|
|
-
|
Name der ausgeführten API
|
|
|
|
objectApiRvInNum
|
|
-
|
Der API-Telemetrie-Rückgabewert
|
|
|
|
objectAppName
|
|
-
|
Die in das AMSI-Ereignis involvierte App
|
|
|
|
objectAuthId
|
|
-
|
Die Objekt-Autorisierungs-ID
|
|
|
|
objectBmData
|
|
-
|
Die Daten des BM-Ereignisses
|
|
|
|
objectCmd
|
|
|
Die Befehlszeileneingabe des Zielprozesses
|
|
|
|
objectContentName
|
|
-
|
Der Name des AMSI-Objektinhalts
|
|
|
|
objectAktuelleDateigröße
|
|
-
|
Die vorherige Größe der modifizierten Objektdatei
|
|
|
|
objectCurrentPosixBerechtigung
|
|
-
|
Die neue POSIX-Berechtigungsdatei, die in Datei-Ereignissen und CHMOD-Ereignissen
verwendet wird
|
|
|
|
objectFileAttributesHashId
|
|
-
|
Die Hash-ID der Datei-Attribut-Metainformationen
|
|
|
|
objectFileCreation
|
|
-
|
Die Zeit, zu der die Objektdatei erstellt wurde
|
|
|
|
objectFileCurrentOwnerName
|
|
-
|
Der aktuelle Eigentümername der Objektdatei
|
|
|
|
objectFileCurrentOwnerSid
|
|
-
|
Der aktuelle Sicherheitsbezeichner-Eigentümer der Objektdatei
|
|
|
|
objectFileDaclString
|
|
-
|
Die Ermessenszugriffskontrollliste der Objektdatei
|
|
|
|
objectFileExtendedAttribute
|
|
-
|
Die erweiterten Attribute der Datei
|
|
|
|
objectFileGroupName
|
|
-
|
Der Objektdatei-Benutzergruppenname
|
|
|
|
objectFileGroupSid
|
|
-
|
Die Sicherheitskennung der Objektdateigruppe
|
|
|
|
objectFileHash
|
|
-
|
Der kryptografische Hash des Ziel-Image des Vorgangs oder der Datei
|
|
|
|
objectFileHashId
|
|
-
|
Die Datei-Hash-ID des Objekts
|
|
|
|
objectDateiHashMD5
|
|
|
Der MD5-Hash des Ziel-Image des Vorgangs oder der Zieldatei
|
|
|
|
objectFileHashSHA-1
|
|
|
Der SHA-1-Hash des Ziel-Image des Vorgangs oder der Zieldatei
|
|
|
|
objectFileHashSha256
|
|
|
Der SHA-256-Hash der Image des Zielvorgangs oder der Zieldatei
|
|
|
|
objectFileIsRemoteAccess
|
|
-
|
Ob ein Fernzugriff auf die Objektdatei bestand
|
-
|
|
|
objectFileModifiedTime
|
|
-
|
Die Zeit, zu der die Objektdatei geändert wurde
|
|
|
|
objectFileOriginalName
|
|
|
Der ursprüngliche Dateiname des Objektbildes
|
|
|
|
objectFileOwnerName
|
|
-
|
Der Name des Eigentümers der Objektdatei
|
|
|
|
objectFileOwnerSid
|
|
-
|
Die Sicherheitskennung des Dateieigentümers
|
|
|
|
objectFilePath
|
|
|
Der Dateipfad des Ziel-Image des Vorgangs oder der Zieldatei
|
|
|
|
objectFileRemoteAccess
|
|
-
|
Ob ein Fernzugriff auf die Objektdatei bestand
|
-
|
|
|
objectFileSaclString
|
|
-
|
Die Systemzugriffskontrollliste der Objektdatei
|
|
|
|
objectFileSize
|
|
-
|
Die Dateigröße der Objektdatei
|
|
|
|
objectFirstSeen
|
|
-
|
Das erste Mal, als das Objekt gesehen wurde
|
|
|
|
objectHostName
|
|
|
Der Servername, auf dem das Ereignis erkannt wurde
|
|
|
|
Objektintegritätsstufe
|
|
-
|
Das Integritätsniveau des Zielprozesses
|
-
|
|
|
objectIp
|
|
|
Die IP-Adresse des Ereignisses
|
|
|
|
objectIps
|
|
|
Die Liste der IP-Adressen im Ereignis
|
|
|
|
objectLastSeen
|
|
-
|
Das letzte Mal, als das Objekt gesehen wurde
|
|
|
|
ObjektStartzeit
|
|
-
|
Die Startzeit des Objekts im Windows-Ereignis
|
|
|
|
objectLoginOutFailureMessage
|
|
-
|
Die Fehlermeldung beim Anmelden/Abmelden
|
|
|
|
objectLoginOutFirstSeen
|
|
-
|
Das erste Mal, dass das Objekt Anmelden/Abmelden gesehen wurde
|
|
|
|
objectLoginOutHashId
|
|
-
|
Der FNV der Objektanmeldung/Abmeldung Meta
|
|
|
|
objectLoginOutLastSeen
|
|
-
|
Das letzte Mal, als das Objekt Anmelden/Abmelden gesehen wurde
|
|
|
|
objectLoginOutMetaType
|
|
-
|
Die An-/Abmelde-Meta
|
|
|
|
objectLoginOutSessionId
|
|
-
|
Die Anmelde-/Abmelde-Sitzungs-ID
|
|
|
|
objectLoginOutSourceAddress
|
|
-
|
Die Anmelde-/Abmelde-Quell-IP
|
|
|
|
objectLoginOutStatus
|
|
-
|
Der Anmeldestatus/Abmeldestatus
|
|
|
|
objectName
|
|
-
|
Der Objektname
|
|
|
|
objectPid
|
|
-
|
Die PID des Zielprozesses
|
-
|
|
|
objectPipeName
|
|
-
|
Die benannte Pipe des Ereignisses
|
|
|
|
objectPort
|
|
|
Der vom Ereignis verwendete Port
|
-
|
|
|
objectPosixBerechtigung
|
|
-
|
Die aktuellen POSIX-Berechtigungen für die Datei
|
|
|
|
objectPosixPermissionHashId
|
|
-
|
Die POSIX-Berechtigungs-Hash-ID
|
|
|
|
objectProcessHashId
|
|
-
|
Der Zielprozess FNV
|
|
|
|
objectRohdatengröße
|
|
-
|
Die Rohdatengröße des Windows-Ereignisobjekts
|
|
|
|
objectRawDataStr
|
|
-
|
Die Dateninhalte des AMSI-Ereignisses
|
|
|
|
Objektregisterdaten
|
|
|
Die Daten des Registrierungswerts
|
|
|
|
objectRegistryKeyHandle
|
|
|
Der Registrierungsschlüssel
|
|
|
|
Objektregisterwert
|
|
|
Der Name des Registrierungswerts
|
|
|
|
objectRunAsLocalAccount
|
|
-
|
Ob der Befehl "runas" ein lokales Konto verwendet
|
|
|
|
objectServiceType
|
|
-
|
Der Ziel-Dateityp
|
|
|
|
objectSessionId
|
|
-
|
Die Objekt-Sitzungs-ID
|
|
|
|
objectSigner
|
|
-
|
Der Zertifikatsunterzeichner des Objektprozesses oder der Datei
|
|
|
|
objectSignerFlagsAdhoc
|
|
-
|
Die Liste der Ad-hoc-Flags für Objektprozess- oder Dateisignaturen
|
-
|
|
|
objectSignerFlagsLibValid
|
|
-
|
Die Liste der Validierungsflags für die Signaturbibliothek von Objektprozessen oder
Dateien
|
-
|
|
|
objectSignerFlagsRuntime
|
|
-
|
Die Liste der Laufzeitkennzeichen für Objektprozesse oder Dateisignaturen
|
-
|
|
|
objectSignerGültig
|
|
-
|
Die Gültigkeit des Zertifikatsunterzeichners |
|
|
|
objectSubTrueType
|
|
-
|
Der Dateityp-Objekt wahre Untertyp
|
|
|
|
objectThreadId
|
|
-
|
Die Objektprozess-Thread-ID
|
|
|
|
objectTrueType
|
|
-
|
Der Dateityp-Objekt wahrer Haupttyp
|
|
|
|
objectUri
|
|
-
|
Der Ziel-Dateipfad |
|
|
|
objectUser
|
|
|
Der Eigentümername des Zielprozesses oder der Anmeldename des Benutzers
|
|
|
|
objectUserGroup
|
|
-
|
Der Benutzergruppenname
|
|
|
|
objectUserGroupSids
|
|
-
|
Die Benutzergruppen-SIDs des Objekts
|
|
|
|
osBeschreibung
|
|
-
|
Die Betriebssystemversion
|
|
|
|
osName
|
|
-
|
Das Host-Betriebssystem
|
|
|
|
osType
|
|
-
|
Der Typ des Host-Betriebssystems
|
|
|
|
osVer
|
|
-
|
Die Version des Host-Betriebssystems
|
|
|
|
parentAuthId
|
|
-
|
Die übergeordnete Autorisierungs-ID
|
|
|
|
parentCmd
|
|
|
Die Befehlszeileneingabe des übergeordneten Prozesses
|
|
|
|
parentFileCreation
|
|
-
|
Die Erstellungszeit der übergeordneten Datei
|
|
|
|
parentFileCurrentOwnerName
|
|
-
|
Der aktuelle Eigentümername der übergeordneten Datei
|
|
|
|
parentFileCurrentOwnerSid
|
|
-
|
Der aktuelle Sicherheitsbezeichner des Eigentümers der übergeordneten Datei
|
|
|
|
parentFileDaclString
|
|
-
|
Die Ermessenszugriffskontrollliste der übergeordneten Datei
|
|
|
|
parentFileGroupName
|
|
-
|
Name der übergeordneten Datei-Benutzergruppe
|
|
|
|
parentFileGroupSid
|
|
-
|
Die Sicherheitskennung der übergeordneten Prozessdateigruppe
|
|
|
|
parentFileHashId
|
|
-
|
Die übergeordnete Datei-Hash-ID
|
|
|
|
parentFileHashMD5
|
|
|
Der MD5-Hash des übergeordneten Prozesses
|
|
|
|
parentFileHashSHA-1
|
|
|
Der SHA-1-Hash des übergeordneten Prozesses
|
|
|
|
übergeordneteDateiHashSHA-256
|
|
|
Der SHA-256-Hash des übergeordneten Prozesses
|
|
|
|
parentFileModifiedTime
|
|
-
|
Die Uhrzeit, zu der die übergeordnete Datei geändert wurde
|
|
|
|
parentFileOriginalName
|
|
|
Der ursprüngliche Dateiname des übergeordneten Bildes
|
|
|
|
parentFileOwnerName
|
|
-
|
Name des Eigentümers der übergeordneten Datei
|
|
|
|
parentFileOwnerSid
|
|
-
|
Die Sicherheitskennung des übergeordneten Dateieigentümers
|
|
|
|
parentFilePath
|
|
|
Der Dateipfad des übergeordneten Prozesses
|
|
|
|
parentFileRemoteAccess
|
|
-
|
Ob Fernzugriff auf die übergeordnete Datei bestand
|
-
|
|
|
parentFileSaclString
|
|
-
|
Die Zugriffskontrollliste der übergeordneten Datei
|
|
|
|
parentFileSize
|
|
-
|
Die Dateigröße der übergeordneten Datei
|
|
|
|
parentHashId
|
|
-
|
Die übergeordnete Hash-ID
|
|
|
|
parentIntegrityLevel
|
|
-
|
Die Integritätsstufe eines übergeordneten Elements
|
-
|
|
|
parentLaunchTime
|
|
-
|
Die Zeit, zu der der übergeordnete Prozess gestartet wurde
|
|
|
|
parentName
|
|
-
|
Der Bildname des übergeordneten Prozesses
|
|
|
|
parentPid
|
|
-
|
Die PID des übergeordneten Prozesses
|
|
|
|
Elternunterzeichner
|
|
-
|
Der Unterzeichner der übergeordneten Datei
|
|
|
|
parentSignerFlagsAdhoc
|
|
-
|
Die Liste der Ad-hoc-Flags der übergeordneten Prozesssignatur
|
-
|
|
|
parentSignerFlagsLibValid
|
|
-
|
Die Liste der Validierungsflags der Signaturbibliothek des übergeordneten Prozesses
|
-
|
|
|
parentSignerFlagsRuntime
|
|
-
|
Die Liste der Laufzeit-Flags der übergeordneten Prozesssignatur
|
-
|
|
|
parentSignerValid
|
|
-
|
Die Gültigkeit des übergeordneten Unterzeichners
|
-
|
|
|
parentSubTrueType
|
|
-
|
Der wahre Dateityp der übergeordneten Datei
|
-
|
|
|
parentTrueType
|
|
-
|
Der wahre Dateityp der übergeordneten Datei
|
-
|
|
|
übergeordneterBenutzer
|
|
-
|
Der Benutzertyp, der den übergeordneten Prozess ausgeführt hat
|
|
|
|
parentUserDomain
|
|
-
|
Die Benutzerdomäne des übergeordneten Prozesses
|
|
|
|
parentUserGroupSids
|
|
-
|
Die SIDs der übergeordneten Benutzergruppe
|
|
|
|
platformAssetTags
|
|
-
|
Die Liste der benutzerdefinierten Plattform-Asset-Tags
|
|
|
|
pname
|
|
-
|
Die interne Produkt-ID (Veraltet, verwenden Sie productCode)
|
|
|
|
policyIds
|
|
-
|
Die Datenerkennungs- und -reaktions-Datenrichtlinien-IDs
|
|
|
|
policyTreePath
|
|
-
|
Der Pfad des Richtlinienbaums
|
|
|
|
processCmd
|
|
|
Die Befehlszeileneingabe des betreffenden Prozesses
|
|
|
|
processDateiErstellung
|
|
-
|
Die Zeit, zu der die Prozessdatei erstellt wurde
|
|
|
|
processFileCurrentOwnerName
|
|
-
|
Der aktuelle Eigentümername der Prozessdatei
|
|
|
|
processFileCurrentOwnerSid
|
|
-
|
Der Besitzer der Prozessdatei aktuelle Sicherheitskennung
|
|
|
|
processFileDaclString
|
|
-
|
Die Ermessenszugriffskontrollliste der Prozessdatei
|
|
|
|
processFileGroupName
|
|
-
|
Der Name der Prozessdatei-Benutzergruppe
|
|
|
|
processFileGroupSid
|
|
-
|
Die Sicherheitskennung der Prozessdateigruppe
|
|
|
|
processFileHashId
|
|
-
|
Der Datei-Hash des Prozesses
|
|
|
|
processFileHashMD5
|
|
|
Der MD5-Hash des Image des Vorgangs
|
|
|
|
prozessDateiHashSHA-1
|
|
|
Der SHA-1-Hash des Image des Vorgangs
|
|
|
|
processFileHashSHA-256
|
|
|
Der SHA-256-Hash des Image des Vorgangs
|
|
|
|
processFileModifiedTime
|
|
-
|
Die Zeit, zu der die Prozessdatei geändert wurde
|
|
|
|
processDateiOriginalName
|
|
|
Der ursprüngliche Dateiname des Image des Vorgangs
|
|
|
|
processFileOwnerName
|
|
-
|
Der Name des Prozessdateieigentümers
|
|
|
|
processFileOwnerSid
|
|
-
|
Die Sicherheitskennung des Prozessdateibesitzers
|
|
|
|
processFilePath
|
|
|
Der Dateipfad des betreffenden Prozesses
|
|
|
|
processFileRemoteAccess
|
|
-
|
Ob es einen Fernzugriff auf die Prozessdatei gab
|
-
|
|
|
processFileSaclString
|
|
-
|
Die Zugriffskontrollliste der Prozessdatei
|
|
|
|
processFileSize
|
|
-
|
Die Dateigröße der Prozessdatei
|
|
|
|
processHashId
|
|
-
|
Der FNV des betreffenden Prozesses
|
|
|
|
ProzessStartzeit
|
|
-
|
Die Zeit, zu der der betreffende Prozess gestartet wurde
|
|
|
|
processName
|
|
|
Der Bildname des Prozesses, der das Ereignis ausgelöst hat
|
|
|
|
processPid
|
|
-
|
Die PID des betreffenden Prozesses
|
|
|
|
processSigner
|
|
-
|
Der Signierer der Prozessdatei
|
|
|
|
processSignerFlagsAdhoc
|
|
-
|
Die Liste der Ad-hoc-Flags der Prozesssignatur
|
-
|
|
|
processSignerFlagsLibValid
|
|
-
|
Die Liste der Validierungsflags der Prozesssignaturbibliothek
|
-
|
|
|
processSignerFlagsRuntime
|
|
-
|
Die Liste der Laufzeit-Flags der Prozesssignatur
|
-
|
|
|
processSignerValid
|
|
-
|
Die Gültigkeit des Prozessunterzeichners
|
|
|
|
ProzessStackTrace
|
|
-
|
Der Prozess-Stack-Trace des Telemetrieereignisses
|
|
|
|
processSubTrueType
|
|
-
|
Der wahre Dateityp des Prozesses
|
-
|
|
|
processTrueType
|
|
-
|
Der wahre Dateityp des Prozesses
|
-
|
|
|
processUser
|
|
|
Der Eigentümername des Image des Vorgangs
|
|
|
|
processUserDomain
|
|
-
|
Die Prozessbenutzer-Domäne
|
|
|
|
processUserGroupSids
|
|
-
|
Die Benutzergruppen-SIDs des Prozesses
|
|
|
|
productCode
|
|
-
|
The internal product code
|
|
|
|
providerGUID
|
|
-
|
Die GUID des Windows-Ereignisanbieters
|
|
|
|
providerName
|
|
-
|
Der Name des Windows-Ereignisanbieters
|
|
|
|
Proxy
|
|
-
|
Die Proxy-IP
|
|
|
|
ÖffentlichSpt
|
|
|
Der öffentliche Port des Endpunkts, der die Anfrage stellt
|
|
|
|
publicSrc
|
|
|
Die öffentliche IP des Endpunkts, der die Anfrage stellt
|
|
|
|
pver
|
|
-
|
Die Produktversion
|
|
|
|
rawDataSize
|
|
-
|
Die Größe des Windows-Ereignisprotokolls
|
|
|
|
rawDataStr
|
|
-
|
Die Rohinhalte des Windows-Ereignisses
|
|
|
|
regionId
|
|
-
|
Die Cloud-Asset-Region
|
|
|
|
Anforderung
|
|
|
Die Anforderungs-URL
|
|
|
|
requestMethod
|
|
-
|
Die Anfragemethode des Netzwerkprotokolls
|
|
|
|
ruleId
|
|
-
|
Die Regel-ID
|
|
|
|
ruleIdStr
|
|
-
|
Die Regel-ID
|
|
|
|
smbSharedName
|
|
-
|
Der Name des freigegebenen Ordners für den Server, der die Dateien enthält
|
|
|
|
spt
|
|
|
Der Quellport
|
|
|
|
src
|
|
|
Die Quell-IP
|
|
|
|
srcFileCreation
|
|
-
|
Die Zeit, zu der die Quelldatei erstellt wurde
|
|
|
|
srcFileCurrentOwnerName
|
|
-
|
Der aktuelle Eigentümername der Quelldatei
|
|
|
|
srcFileCurrentOwnerSid
|
|
-
|
Der aktuelle Sicherheitsbezeichner des Eigentümers der Quelldatei
|
|
|
|
srcFileDaclString
|
|
-
|
Die Ermessens-Zugriffskontrollliste der Quelldatei
|
|
|
|
srcFileGroupName
|
|
-
|
Der Gruppenname der Quelldatei
|
|
|
|
srcFileGroupSid
|
|
-
|
Die Sicherheitskennung der Quelldateigruppe
|
|
|
|
srcFileHash
|
|
-
|
Der kryptografische Hash des Quell-Image des Vorgangs oder der Datei
|
|
|
|
srcDateiHashMD5
|
|
|
Der MD5-Hash der Quelldatei
|
|
|
|
srcFileHashSHA-1
|
|
|
Der SHA-1-Hash der Quelldatei
|
|
|
|
srcFileHashSHA-256
|
|
|
Der SHA-256-Hash der Quelldatei
|
|
|
|
srcFileIsRemoteAccess
|
|
-
|
Ob ein Fernzugriff auf die Quelldatei erfolgte
|
-
|
|
|
srcFileModifiedTime
|
|
-
|
Die Zeit, zu der die Quelldatei geändert wurde
|
|
|
|
srcFileOwnerName
|
|
-
|
Name des Eigentümers der Quelldatei
|
|
|
|
srcFileOwnerSid
|
|
-
|
Die Sicherheitskennung des Eigentümers der Quelldatei
|
|
|
|
srcFilePath
|
|
|
Der ursprüngliche Dateipfad
|
|
|
|
srcFileSaclString
|
|
-
|
Die Systemzugriffskontrollliste der Quelldatei
|
|
|
|
srcFileSize
|
|
-
|
Die Dateigröße der Quelldatei
|
|
|
|
srcFirstSeen
|
|
-
|
Das erste Mal, als die Quelldatei gesehen wurde
|
|
|
|
srcLastSeen
|
|
-
|
Das letzte Mal, als die Quelldatei gesehen wurde
|
|
|
|
srcServiceType
|
|
-
|
Der Quelldateityp
|
|
|
|
srcSigner
|
|
-
|
Der Unterzeichner der Quelldatei
|
|
|
|
srcSignerFlagsAdhoc
|
|
-
|
Die Liste der Ad-hoc-Flags der Quelldatei-Signatur
|
-
|
|
|
srcSignerFlagsLibValid
|
|
-
|
Die Liste der Validierungsflags der Signaturbibliothek der Quelldatei
|
-
|
|
|
srcSignerFlagsRuntime
|
|
-
|
Die Liste der Laufzeit-Flags der Quelldatei-Signatur
|
-
|
|
|
srcSignerValid
|
|
-
|
Die Gültigkeit des Signierers der Quelldatei
|
-
|
|
|
srcUri
|
|
-
|
Der ursprüngliche Dateipfad
|
|
|
|
srcUser
|
|
-
|
Der Eigentümername des Quellprozesses oder der Anmeldename des Benutzers
|
|
|
|
status
|
|
-
|
Der HTTP-Antwortstatuscode
|
|
|
|
Teilsystem
|
|
-
|
Die Subsysteminformationen
|
|
|
|
subnetzId
|
|
-
|
Die Subnetz-ID der virtuellen Maschine, die die Anfrage gestellt hat
|
|
|
|
Tags
|
|
|
Die erkannte Technik-ID basierend auf dem Alarmfilter
|
|
|
|
Zeitzone
|
|
-
|
Die Zeitzone des Hosts
|
|
|
|
userDomain
|
|
-
|
Der Domänenname des Benutzers
|
|
|
|
uuid
|
|
-
|
Eindeutiger Schlüssel des Protokolls
|
|
|
|
vpcId
|
|
-
|
Die virtuelle private Cloud, die das Cloud-Asset enthält
|
|
|
|
winEventId
|
|
-
|
Die Windows-Ereignis-ID
|
|
|