Ereignisse im JSON-Format

Ansichten:

Wenn an Amazon SNS veröffentlicht, werden Ereignisse im SNS Message als ein Array von JSON-Objekten gesendet, die als Strings kodiert sind. Jedes Objekt im Array ist ein Ereignis.

Gültige Eigenschaften variieren je nach Art des Ereignisses. Zum Beispiel ist MajorVirusType eine gültige Eigenschaft nur für Server- und Workload Protection Anti-Malware-Ereignisse, nicht für Systemereignisse usw. Gültige Eigenschaftswerte variieren für jede Eigenschaft. Beispiele finden Sie unter Beispielereignisse im JSON-Format.

Ereigniseigenschaftswerte können verwendet werden, um zu filtern, welche Ereignisse an das SNS-Thema veröffentlicht werden. Weitere Informationen finden Sie unter SNS-Konfiguration im JSON-Format.

Gültige Ereigniseigenschaften

Hinweis

Einige Ereignisse haben nicht alle Eigenschaften, die normalerweise auf ihren Ereignistyp zutreffen.

Eigenschaftsname	Datentyp	Beschreibung	Gilt für Ereignistyp(en)
ACRulesetID	Ganzzahl	Der eindeutige Bezeichner des Application Control-Regelsatzes, der auf den Computer angewendet wurde, auf dem das Ereignis erkannt wurde.	Application Control-Ereignisse
Aktion	String (Enum)	Durchgeführte Aktion für das Application Control-Ereignis, wie "Ausführung der Software durch Regel gesperrt", "Ausführung nicht erkannter Software erlaubt" (aufgrund des Nur-Erkennungsmodus) oder "Ausführung nicht erkannter Software gesperrt".	Application Control-Ereignisse
Aktion	Integer (enum)	Durchgeführte Aktion für das Firewall-Ereignis. "Nur Erkennen"-Werte zeigen, was passiert wäre, wenn die Regel aktiviert gewesen wäre. 0=Unbekannt, 1=Verweigern, 6=Nur Protokollieren, 0x81=Nur Erkennen: Verweigern.	Firewall-Ereignisse
Aktion	Integer (enum)	Durchgeführte Aktion für das Ereignis der Eindringungserkennung. 0=Unbekannt, 1=Verweigern, 2=Zurücksetzen, 3=Einfügen, 4=Löschen, 5=Ersetzen, 6=Nur protokollieren, 0x81=Nur erkennen: Verweigern, 0x82=Nur erkennen: Zurücksetzen, 0x83=Nur erkennen: Einfügen, 0x84=Nur erkennen: Löschen, 0x85=Nur erkennen: Ersetzen.	Ereignisse zur Eindringungsprävention
AktionDurch	Zeichenfolge	Name des Server- und Workload Protection-Benutzers, der das Ereignis ausgeführt hat, oder "System", wenn das Ereignis nicht von einem Benutzer generiert wurde.	Systemereignisse
Aktionsgrundbeschreibung	Zeichenfolge	Der Grund, warum die Aktion gesperrt wurde.	Application Control-Ereignisse
AktionsString	Zeichenfolge	Umwandlung der Aktion in eine lesbare Zeichenkette.	Firewall-Ereignisse, Eindringschutz-Ereignisse
AdministratorID	Ganzzahl	Eindeutige Kennung des Server- und Workload Protection-Benutzers, der eine Aktion durchgeführt hat. Ereignisse, die vom System und nicht von einem Benutzer generiert werden, haben keine Kennung.	Systemereignisse
AggregationType	Integer (enum)	Ob das Application Control-Ereignis wiederholt aufgetreten ist oder nicht. Wenn "AggregationType" nicht "0" ist, dann befindet sich die Anzahl der Vorkommen in "RepeatCount." 0=Nicht aggregiert, 1=Aggregiert basierend auf Dateiname, Pfad und Ereignistyp, 2=Aggregiert basierend auf Ereignistyp	Application Control-Ereignisse
AMTarget	Zeichenfolge	Die Datei, der Prozess oder der Registrierungsschlüssel (falls vorhanden), den die Malware zu beeinflussen versuchte. Wenn die Malware versuchte, mehr als einen zu beeinflussen, wird dieses Feld den Wert "Mehrere" enthalten	Anti-Malware-Ereignisse
AMZielanzahl	Ganzzahl	Die Anzahl der Zieldateien.	Anti-Malware-Ereignisse
AMZieltyp	Ganzzahl	Der numerische Code für die Art der Systemressourcen, die diese Malware zu beeinträchtigen versuchte. Für die beschreibende Version siehe AMTargetTypeString. 0=Unbekannt, 1=Prozess, 2=Registry, 3=Dateisystem, 4=Aufrufen, 5=Ausnutzen, 6=API, 7=Speicher, 8=Netzwerkverbindung, 9=Nicht kategorisiert	Anti-Malware-Ereignisse
AMTargetTypeString	Zeichenfolge	Die Art der Systemressource, die diese Malware zu beeinträchtigen versuchte, wie das Dateisystem, ein Prozess oder die Windows-Registrierung.	Anti-Malware-Ereignisse
ATSEDDetectionLevel	Ganzzahl	Das Erkennungsniveau des Dokumentenausnutzungsschutzes.	Anti-Malware-Ereignisse
Anwendungstyp	Zeichenfolge	Name des Netzwerkanwendungstyps, der mit der Eindringungsschutzregel verknüpft ist, falls verfügbar.	Ereignisse zur Eindringungsprävention
Verhaltensregel-ID	Zeichenfolge	Die Verhaltensüberwachungsregel-ID für die interne Nachverfolgung von Malware-Fällen.	Anti-Malware-Ereignisse
Verhaltenstyp	Zeichenfolge	Der Typ des erkannten Verhaltensüberwachungsereignisses.	Anti-Malware-Ereignisse
BlockReason	Integer (enum)	Ein Grund, der der Aktion entspricht. 0=Unbekannt, 1=Gesperrt aufgrund einer Regel, 2=Gesperrt aufgrund von nicht erkannt	Application Control-Ereignisse
Ändern	Integer (enum)	Welche Art von Änderung wurde an einer Datei, einem Prozess, einem Registrierungsschlüssel usw. für ein Ereignis zur Integritätsüberwachung vorgenommen. 1=Erstellt, 2=Aktualisiert, 3=Gelöscht, 4=Umbenannt.	Integritätsüberwachungsereignisse
ZeichenfolgeÄndern	Zeichenfolge	Welche Art von Änderung wurde an einer Datei, einem Prozess, einem Registrierungsschlüssel usw. für ein Ereignis der Integritätsüberwachung vorgenommen: Erstellt, Aktualisiert, Gelöscht oder Umbenannt.	Integritätsüberwachungsereignisse
CloudOneKontoID	Zeichenfolge	Die ID des Cloud-One-Kontos.	Alle Ereignistypen
Befehlszeile	Zeichenfolge	Die Befehle, die der betreffende Prozess ausgeführt hat.	Anti-Malware-Ereignisse
ContainerID	Zeichenfolge	ID des Containers, in dem das Ereignis aufgetreten ist.	Anti-Malware-Ereignisse, Eindringpräventionsereignisse, Firewall-Ereignisse
ContainerImageName	Zeichenfolge	Bildname des Docker-Containers, in dem die Malware gefunden wurde.	Anti-Malware-Ereignisse
ContainerName	Zeichenfolge	Name des Containers, in dem das Ereignis aufgetreten ist.	Anti-Malware-Ereignisse, Eindringpräventionsereignisse, Firewall-Ereignisse
Erstellungszeit	String (Datum)	Die Erstellungszeit der infizierten Datei.	Anti-Malware-Ereignisse
Cve	Zeichenfolge	Die CVE-Informationen, falls das Prozessverhalten in einer der Common Vulnerabilities and Exposures identifiziert wird.	Anti-Malware-Ereignisse
Datenindex	Ganzzahl	Eine eindeutige ID für Paketdaten.	Ereignisse zur Eindringungsprävention
Beschreibung	Zeichenfolge	Beschreibung der an der Entität vorgenommenen Änderung (erstellt, gelöscht, aktualisiert) zusammen mit Details zu den geänderten Attributen.	Integritätsüberwachungsereignisse
Beschreibung	Zeichenfolge	Kurze Beschreibung dessen, was während eines Ereignisses passiert ist.	Systemereignisse
Ziel-IP	Zeichenfolge (IP)	Die IP-Adresse des Ziels eines Pakets.	Firewall-Ereignisse, Eindringschutz-Ereignisse
ZielMAC	Zeichenkette (MAC)	Die MAC-Adresse des Ziels eines Pakets.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Zielport	Ganzzahl	Die Portnummer im Netzwerk, an die ein Paket gesendet wurde.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Erkennungskategorie	Integer (enum)	Die Erkennungskategorie für ein Web Reputation-Ereignis. 12=Benutzerdefiniert, 13=Benutzerdefiniert, 91=Global.	Web Reputation-Ereignisse
NurErkennen	Boolesch	Ob das Ereignis mit aktivierter Nur-Erkennung-Flag zurückgegeben wurde oder nicht. Wenn wahr, bedeutet dies, dass die URL nicht gesperrt wurde, aber der Zugriff erkannt wurde.	Web Reputation-Ereignisse
Richtung	Integer (enum)	Netzwerkpaketrichtung. 0=Eingehend, 1=Ausgehend.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Richtungsstring	Zeichenfolge	Konvertierungsrichtung in eine lesbare Zeichenfolge.	Firewall-Ereignisse, Eindringschutz-Ereignisse
TreiberZeit	Ganzzahl	Die vom Treiber aufgezeichnete Uhrzeit, zu der das Protokoll erstellt wurde.	Firewall-Ereignisse, Eindringschutz-Ereignisse
EndLogDatum	String (Datum)	Das letzte aufgezeichnete Protokolldatum für wiederholte Ereignisse. Wird bei Ereignissen, die sich nicht wiederholt haben, nicht angezeigt.	Firewall-Ereignisse, Eindringschutz-Ereignisse
EngineType	Ganzzahl	Der Anti-Malware-Engine-Typ.	Anti-Malware-Ereignisse
EngineVersion	Zeichenfolge	Die Version der Anti-Malware-Engine.	Anti-Malware-Ereignisse
EntityType	String (Enum)	Der Entitätstyp, auf den ein Integritätsüberwachungsereignis zutrifft: Verzeichnis, Datei, Gruppe, InstallierteSoftware, Port, Prozess, RegistryKey, RegistryValue, Dienst, Benutzer oder Wql	Integritätsüberwachungsereignisse
Fehlercode	Ganzzahl	Fehlercode für Malware-Suchereignisse. Wenn ungleich null, ist die Suche fehlgeschlagen, und die Felder Suchaktion und Suchergebnis enthalten weitere Details.	Anti-Malware-Ereignisse
EventID	Ganzzahl	VERALTET. Verwenden Sie stattdessen UniqueID. Der Wert dieses Feldes wird am oder nach dem 1. Januar 2021 immer 0 sein.	Alle Ereignistypen
Ereignistyp	String (Enum)	Der Typ des Ereignisses. Einer von: "SystemEvent", "PacketLog", "PayloadLog", "AntiMalwareEvent", "WebReputationEvent", "IntegrityEvent", "LogInspectionEvent", "AppControlEvent".	Alle Ereignistypen
FileName	Zeichenfolge	Dateiname der Software, die erlaubt oder gesperrt wurde, wie zum Beispiel "script.sh". (Der vollständige Pfad ist separat, unter "Pfad".)	Application Control-Ereignisse
FileSHA1	Zeichenfolge	Der FileSHA1 (Ergebnis des Secure Hash Algorithm 1) der infizierten Datei.	Anti-Malware-Ereignisse
Dateigröße	Ganzzahl	Dateigröße der Software, die erlaubt oder gesperrt wurde	Application Control-Ereignisse
Flags	Zeichenfolge	Von einem Netzwerkpaket aufgezeichnete Flags; eine durch Leerzeichen getrennte Liste von Zeichenfolgen.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Fluss	Integer (enum)	Netzwerkverbindungsfluss. Mögliche Werte: -1=Nicht anwendbar, 0=Verbindungsfluss, 1=Rückfluss	Firewall-Ereignisse, Eindringschutz-Ereignisse
FlowString	Zeichenfolge	Umwandlung des Flusses in eine lesbare Zeichenfolge.	Firewall-Ereignisse, Eindringschutz-Ereignisse
WeitergeleiteteQuelle	Array (Byte)	Die Quellinformationen eines weitergeleiteten Pakets	Ereignisse zur Eindringungsprävention
Rahmen	Integer (enum)	Rahmentyp. -1=Unbekannt, 2048=IP, 2054=ARP, 32821=REVARP, 33169=NETBEUI, 0x86DD=IPv6	Firewall-Ereignisse, Eindringschutz-Ereignisse
FrameString	Zeichenfolge	Umwandlung des Rahmens in eine lesbare Zeichenkette.	Firewall-Ereignisse, Eindringschutz-Ereignisse
GroupID	Zeichenfolge	Die Gruppen-ID, falls vorhanden, des Benutzerkontos, das versucht hat, die Software zu starten, wie zum Beispiel "0".	Application Control-Ereignisse
Gruppenname	Zeichenfolge	Der Gruppenname, falls vorhanden, des Benutzerkontos, das versucht hat, die Software zu starten, wie zum Beispiel "root".	Application Control-Ereignisse
HostAgentVersion	Zeichenfolge	Die Version des Agents, die den Computer schützte, auf dem das Ereignis erkannt wurde.	Application Control-Ereignisse, Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsschutzereignisse
HostAgentGUID	Zeichenfolge	Der global eindeutige Bezeichner (GUID) des Agents, wenn er mit Server- und Workload Protection aktiviert wird.	Anti-Malware-Ereignisse, Application Control-Ereignisse, Firewall-Ereignisse, Integritätsüberwachungsereignisse, Eindringungsschutzereignisse, Protokollinspektionsereignisse, Web Reputation-Ereignisse
HostAssetValue	Ganzzahl	Der dem Computer zugewiesene Vermögenswert zum Zeitpunkt der Ereigniserstellung.	Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse, Application Control-Ereignisse
HostCloudTyp	Zeichenfolge	Der Cloud-Dienstanbieter, bei dem der Deep Security Agent gehostet wird.	Anti-Malware-Ereignisse, Application Control-Ereignisse, Firewall-Ereignisse, Integritätsüberwachungsereignisse, Eindringungsschutzereignisse, Protokollinspektionsereignisse, Web Reputation-Ereignisse
HostGUID	Zeichenfolge	Der global eindeutige Bezeichner (GUID) des Deep Security Agent.	Anti-Malware-Ereignisse, Application Control-Ereignisse, Firewall-Ereignisse, Integritätsüberwachungsereignisse, Eindringungsschutzereignisse, Protokollinspektionsereignisse, Web Reputation-Ereignisse
HostGroupID	Ganzzahl	Der eindeutige Bezeichner der Computergruppe des Computers, auf dem das Ereignis erkannt wurde.	Application Control-Ereignisse, Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsschutzereignisse
HostGroupName	Zeichenfolge	Der Name der Computergruppe des Computers, auf dem das Ereignis erkannt wurde. Beachten Sie, dass die Namen der Computergruppen nicht eindeutig sein müssen.	Application Control-Ereignisse, Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsschutzereignisse
Host-ID	Ganzzahl	Eindeutige Kennung des Computers, auf dem das Ereignis aufgetreten ist.	Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse, Application Control-Ereignisse
HostInstanceID	Zeichenfolge	Die Cloud-Instanz-ID des Computers, auf dem das Ereignis erkannt wurde. Diese Eigenschaft wird nur für Computer festgelegt, die mit einem Cloud-Connector synchronisiert sind.	Application Control-Ereignisse, Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsschutzereignisse
HostLastIPUsed	Zeichenfolge (IP)	Die neueste IP-Adresse, die vom Agenten aktualisiert wurde, als er mit dem Deep Security Manager kommunizierte.	Anti-Malware-Ereignisse, Application Control-Ereignisse, Firewall-Ereignisse, Integritätsüberwachungsereignisse, Eindringungsschutzereignisse, Protokollinspektionsereignisse, Web Reputation-Ereignisse
Hostname	Zeichenfolge	Hostname des Computers, auf dem das Ereignis generiert wurde.	Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse, Application Control-Ereignisse
HostOS	Zeichenfolge	Das Betriebssystem des Computers, auf dem das Ereignis erkannt wurde.	Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse, Application Control-Ereignisse
HostOwnerID	Zeichenfolge	Die Cloud-Konto-ID des Computers, auf dem das Ereignis erkannt wurde. Diese Eigenschaft wird nur für Computer festgelegt, die mit einem Cloud-Connector synchronisiert sind.	Application Control-Ereignisse, Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsschutzereignisse
HostSecurityPolicyID	Ganzzahl	Der eindeutige Bezeichner der Server- und Workload Protection-Richtlinie, die auf den Computer angewendet wurde, auf dem das Ereignis erkannt wurde.	Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse, Application Control-Ereignisse
HostSecurityPolicyName	Zeichenfolge	Der Name der Server- und Workload Protection-Richtlinie, die auf den Computer angewendet wurde, auf dem das Ereignis erkannt wurde. Beachten Sie, dass Sicherheitsrichtliniennamen möglicherweise nicht eindeutig sind.	Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse, Application Control-Ereignisse
HostVCUUID	Zeichenfolge	Die vCenter-UUID des Computers, auf den sich das Ereignis bezieht, falls bekannt.	Application Control-Ereignisse, Anti-Malware-Ereignisse, Web Reputation-Ereignisse, Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsschutzereignisse
ImageDigest	Zeichenfolge	Eine einzigartige Zusammenfassung der Daten zur Identifizierung des Containerabbilds.	Eindringschutz-Ereignisse, Firewall-Ereignisse
ImageID	Zeichenfolge	Image-ID des Docker-Containers, in dem das Ereignis aufgetreten ist	Ereignisse zur Eindringungsprävention
ImageName	Zeichenfolge	Name des Images, das zur Erstellung des Containers verwendet wurde, in dem das Ereignis auftrat.	Eindringschutz-Ereignisse, Firewall-Ereignisse
InfizierterDateipfad	Zeichenfolge	Pfad der infizierten Datei im Falle einer Malware-Erkennung.	Anti-Malware-Ereignisse
Infektionsquelle	Zeichenfolge	Der Name des Computers, der die Quelle einer Malware-Infektion ist, falls bekannt.	Anti-Malware-Ereignisse
Schnittstelle	Zeichenkette (MAC)	MAC-Adresse der Netzwerkschnittstelle, die ein Paket sendet oder empfängt.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Schnittstellentyp	Zeichenfolge	Container-Schnittstellentyp. 0=physische Schnittstellen gehören zum Host, die separat in Server- und Workload Protection gesteuert werden können, 1=alle virtuellen Schnittstellen, 7=unbekannter Typ (typischerweise die Hostschnittstelle).	Eindringschutz-Ereignisse, Firewall-Ereignisse
IPDatagrammlänge	Ganzzahl	Die Länge des IP-Datagramms.	Ereignisse zur Eindringungsprävention
IsHash	Zeichenfolge	Der SHA-1-Content-Hash (hexadezimal kodiert) der Datei, nachdem sie geändert wurde.	Integritätsüberwachungsereignisse
Schlüssel	Zeichenfolge	Die Datei oder der Registrierungsschlüssel, auf den sich ein Integritätsereignis bezieht.	Integritätsüberwachungsereignisse
LogDatum	String (Datum)	Das Datum und die Uhrzeit, zu der das Ereignis aufgezeichnet wurde. Bei von Agenten generierten Ereignissen (Firewall, IPS usw.) ist die Zeit die, zu der das Ereignis vom Agenten aufgezeichnet wurde, nicht die, zu der das Ereignis von Server- und Workload Protection empfangen wurde.	Alle Ereignistypen
Hauptvirustyp	Integer (enum)	Die Klassifizierung der erkannten Malware. 0=Scherz, 1=Trojaner, 2=Virus, 3=Test, 4=Spyware, 5=Packer, 6=Generisch, 7=Andere	Anti-Malware-Ereignisse
MajorVirusTypeString	Zeichenfolge	Umwandlung von MajorVirusType in eine lesbare Zeichenfolge.	Anti-Malware-Ereignisse
MalwareName	Zeichenfolge	Name der erkannten Malware.	Anti-Malware-Ereignisse
Malwaretyp	Integer (enum)	Der Typ der erkannten Malware. 1=Allgemeine Malware, 2=Spyware. Allgemeine Malware-Ereignisse haben einen InfectedFilePath, Spyware-Ereignisse nicht.	Anti-Malware-Ereignisse
ManagerNodeID	Ganzzahl	Eindeutige Kennung des Server- und Workload Protection-Knotens, an dem das Ereignis erzeugt wurde.	Systemereignisse
ManagerNodeName	Zeichenfolge	Name des Server- und Workload Protection-Knotens, an dem das Ereignis erzeugt wurde.	Systemereignisse
MD5	Zeichenfolge	Die MD5-Prüfsumme (Hash) der Software, falls vorhanden.	Application Control-Ereignisse
Mitre	Zeichenfolge	Die MITRE-Informationen, falls das Prozessverhalten in einem der MITRE-Angriffsszenarien identifiziert wird.	Anti-Malware-Ereignisse
Änderungszeit	String (Datum)	Die Änderungszeit der infizierten Datei.	Anti-Malware-Ereignisse
Hinweis	Array (Byte)	Kodierte Notiz über das Paket, bei dem das Ereignis aufgetreten ist.	Ereignisse zur Eindringungsprävention
Anzahl	Ganzzahl	Systemereignisse haben eine zusätzliche ID, die das Ereignis identifiziert. Beachten Sie, dass diese Eigenschaft in Server- und Workload Protection als "Ereignis-ID" erscheint.	Systemereignisse
Vorgang	Integer (enum)	0=Unbekannt, 1=Erlaubt aufgrund des Nur-Erkennungsmodus, 2=Gesperrt	Application Control
OperationDesc	Zeichenfolge	Beschreibt den Aktion-Wert	Application Control-Ereignisse
Ursprung	Integer (enum)	Der Ursprung des Ereignisses. -1=Unbekannt, 0=Agent, 3=Server- und Workload Protection	Alle Ereignistypen
Ursprungszeichenfolge	Zeichenfolge	Umwandlung des Ursprungs in eine menschenlesbare Zeichenfolge.	Alle Ereignistypen
OSSEC_Aktion	Zeichenfolge	OSSEC-Aktion	Protokollinspektionsereignisse
OSSEC_Befehl	Zeichenfolge	OSSEC-Befehl	Protokollinspektionsereignisse
OSSEC_Daten	Zeichenfolge	OSSEC-Daten	Protokollinspektionsereignisse
OSSEC_Beschreibung	Zeichenfolge	OSSEC-Beschreibung	Protokollinspektionsereignisse
OSSEC_Ziel-IP	Zeichenfolge	OSSEC dstip	Protokollinspektionsereignisse
OSSEC_Zielport	Zeichenfolge	OSSEC Zielport	Protokollinspektionsereignisse
OSSEC_Zielbenutzer	Zeichenfolge	OSSEC dstuser	Protokollinspektionsereignisse
OSSEC_VollständigesProtokoll	Zeichenfolge	OSSEC-Vollprotokoll	Protokollinspektionsereignisse
OSSEC_Gruppen	Zeichenfolge	OSSEC-Gruppenergebnis (z. B. syslog, authentication_failure)	Protokollinspektionsereignisse
OSSEC_Hostname	Zeichenfolge	OSSEC-Hostname. Dies ist der Name des Hosts, wie er aus einem Logeintrag gelesen wird, der nicht unbedingt mit dem Namen des Hosts übereinstimmt, auf dem das Ereignis generiert wurde.	Protokollinspektionsereignisse
OSSEC_ID	Zeichenfolge	OSSEC-ID	Protokollinspektionsereignisse
OSSEC_Level	Integer (enum)	OSSEC-Level. Eine Ganzzahl im Bereich von 0 bis einschließlich 15. 0-3=Niedrige Schwere, 4-7=Mittel Schwere, 8-11=Hohe Schwere, 12-15=Kritische Schwere.	Protokollinspektionsereignisse
OSSEC_Standort	Zeichenfolge	OSSEC-Standort	Protokollinspektionsereignisse
OSSEC_Protokoll	Zeichenfolge	OSSEC-Protokoll	Protokollinspektionsereignisse
OSSEC_ProgramName	Zeichenfolge	OSSEC program_name	Protokollinspektionsereignisse
OSSEC_Protokoll	Zeichenfolge	OSSEC-Protokoll	Protokollinspektionsereignisse
OSSEC_RuleID	Ganzzahl	OSSEC-Regel-ID	Protokollinspektionsereignisse
OSSEC_SourceIP	Ganzzahl	OSSEC srcip	Protokollinspektionsereignisse
OSSEC_Quellport	Ganzzahl	OSSEC srcport	Protokollinspektionsereignisse
OSSEC_Quellbenutzer	Ganzzahl	OSSEC srcuser	Protokollinspektionsereignisse
OSSEC_Status	Ganzzahl	OSSEC-Status	Protokollinspektionsereignisse
OSSEC_SystemName	Ganzzahl	OSSEC-Systemname	Protokollinspektionsereignisse
OSSEC_URL	Ganzzahl	OSSEC-URL	Protokollinspektionsereignisse
Paketdaten	Ganzzahl	Hexadezimale Kodierung der erfassten Paketdaten, wenn die Regel so konfiguriert wurde, dass Paketdaten erfasst werden.	Ereignisse zur Eindringungsprävention
Paketgröße	Ganzzahl	Die Größe des Netzwerkpakets.	Firewall-Ereignisse
Pfad	Zeichenfolge	Verzeichnispfad der Softwaredatei, die erlaubt oder gesperrt wurde, wie zum Beispiel "/usr/bin/". (Der Dateiname ist separat, in "FileName".)	Application Control-Ereignisse
MusterVersion	Integer (enum)	Die Version des Malware-Erkennungsmusters.	Anti-Malware-Ereignisse
PayloadFlags	Ganzzahl	Intrusion Prevention Filter-Flags. Ein Bitmaskenwert, der die folgenden Flag-Werte enthalten kann: 1 - Daten abgeschnitten - Daten konnten nicht protokolliert werden. 2 - Protokollüberlauf - Protokoll ist nach diesem Eintrag übergelaufen. 4 - Unterdrückt - Protokollschwelle nach diesem Eintrag unterdrückt. 8 - Daten vorhanden - Enthält Paketdaten. 16 - Referenzdaten - Verweist auf zuvor protokollierte Daten.	Ereignisse zur Eindringungsprävention
PodID	Zeichenfolge	Eindeutige Pod-ID (UID)	Eindringschutz-Ereignisse, Firewall-Ereignisse
PosInBuffer	Ganzzahl	Position innerhalb des Datenpakets, das das Ereignis ausgelöst hat.	Ereignisse zur Eindringungsprävention
PosInStream	Ganzzahl	Position innerhalb des Datenstroms, der das Ereignis ausgelöst hat.	Ereignisse zur Eindringungsprävention
Prozess	Zeichenfolge	Der Name des Prozesses, der das Ereignis erzeugt hat, falls verfügbar.	Integritätsüberwachungsereignisse
Prozess	Zeichenfolge	Der Prozessname des erkannten Verhaltensüberwachungsereignisses.	Anti-Malware-Ereignisse
Prozess-ID	Ganzzahl	Die Kennung (PID) des Prozesses, der das Ereignis erzeugt hat, falls verfügbar.	Application Control-Ereignisse, Intrusion Prevention-Ereignisse, Firewall-Ereignisse
Prozessname	Zeichenfolge	Der Name des Prozesses, der das Ereignis erzeugt hat, falls verfügbar, wie zum Beispiel "/usr/bin/bash".	Application Control-Ereignisse, Intrusion Prevention-Ereignisse, Firewall-Ereignisse
Protokoll	Integer (enum)	Der numerische Netzwerkprotokoll-Identifikator. -1=Unbekannt, 1=ICMP, 2=IGMP, 3=GGP, 6=TCP, 12=PUP, 17=UDP, 22=IDP, 58=ICMPv6, 77=ND, 255=RAW	Firewall-Ereignisse, Eindringschutz-Ereignisse
Protokoll	Ganzzahl	Der Zahlenwert für das Dateidurchsuchungsprotokoll. 0=Lokale Datei	Anti-Malware-Ereignisse
Protokollzeichenfolge	Zeichenfolge	Umwandlung des Protokolls in eine lesbare Zeichenkette.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Rang	Ganzzahl	Der numerische Rang des Ereignisses; das Produkt aus dem zugewiesenen Vermögenswert des Computers und der Schweregrad-Einstellung für ein Ereignis dieser Schwere.	Integritätsüberwachungsereignisse, Protokollinspektionsereignisse, Firewall-Ereignisse, Eindringungsverhinderungsereignisse
Grund	Zeichenfolge	Name der Server- und Workload Protection-Regel oder des Konfigurationsobjekts, das das Ereignis ausgelöst hat, oder (für Firewall und Intrusion Prevention) eine Zuordnung von Status zu String, wenn das Ereignis nicht durch eine Regel ausgelöst wurde. Für Application Control kann der "Grund" "None" sein; siehe stattdessen "BlockReason".	Firewall-, Intrusion-Prevention-, Integritätsüberwachungs-, Protokollinspektions-, Anti-Malware- und Application-Control-Ereignisse
Wiederholungsanzahl	Ganzzahl	Die Anzahl der Male, die dieses Ereignis wiederholt aufgetreten ist. Eine Wiederholungsanzahl von 1 zeigt an, dass das Ereignis nur einmal beobachtet wurde und sich nicht wiederholt hat.	Firewall-Ereignisse, Intrusion-Prevention-Ereignisse, Application Control-Ereignisse
Risiko	Integer (enum)	Übersetzte Risikostufe der aufgerufenen URL. 2=Verdächtig, 3=Äußerst verdächtig, 4=Gefährlich, 5=Ungetestet, 6=Gesperrt durch Administrator	Web Reputation-Ereignisse
RiskLevel	Ganzzahl	Die Roh-Risikostufe der URL von 0 bis 100. Wird nicht angezeigt, wenn die URL durch eine Sperrregel gesperrt wurde.	Web Reputation-Ereignisse
Risikostring	Zeichenfolge	Umwandlung des Risikos in eine lesbare Zeichenfolge.	Web Reputation-Ereignisse
ScanAktion1	Ganzzahl	Suchaktion 1. Suchaktion 1 & 2 und Suchergebnisaktionen 1 & 2 sowie ErrorCode werden zu einem einzigen "summaryScanResult" zusammengefasst.	Anti-Malware-Ereignisse
ScanAction2	Ganzzahl	Suchaktion 2.	Anti-Malware-Ereignisse
ScanResultAction1	Ganzzahl	Aktion 1 des Scanergebnisses.	Anti-Malware-Ereignisse
ScanResultAction2	Ganzzahl	Aktion 2 des Durchsuchungsergebnisses.	Anti-Malware-Ereignisse
ScanResultString	Zeichenfolge	Malware-Suchergebnis, als Zeichenfolge. Eine Kombination aus ScanAction 1 und 2, ScanActionResult 1 und 2, und ErrorCode.	Anti-Malware-Ereignisse
ScanType	Integer (enum)	Malware-Suche Typ, der das Ereignis erstellt hat. 0=Echtzeit, 1=Manuell, 2=Geplant, 3=Schnellsuche	Anti-Malware-Ereignisse
ScanTypeString	Zeichenfolge	Umwandlung von ScanType in eine lesbare Zeichenfolge.	Anti-Malware-Ereignisse
Schweregrad	Ganzzahl	1=Info, 2=Warnung, 3=Fehler	Systemereignisse
Schweregrad	Integer (enum)	1=Niedrig, 2=Mittel, 3=Hoch, 4=Kritisch	Integritätsüberwachungsereignisse, Eindringungspräventionsereignisse
SchweregradString	Zeichenfolge	Umwandlung der Schwere in eine lesbare Zeichenfolge.	Systemereignisse, Integritätsüberwachungsereignisse, Eindringungspräventionsereignisse
SchweregradString	Zeichenfolge	Konvertierung von OSSEC_Level in eine lesbare Zeichenfolge.	Protokollinspektionsereignisse
SHA1	Zeichenfolge	Der SHA-1-Prüfsummenwert (Hash) der Software, falls vorhanden.	Application Control-Ereignisse
SHA256	Zeichenfolge	Der SHA-256-Prüfsummenwert (Hash) der Software, falls vorhanden.	Application Control-Ereignisse
Quell-IP	Zeichenfolge (IP)	Die Quell-IP-Adresse eines Pakets.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Quell-MAC	Zeichenkette (MAC)	Die Quell-MAC-Adresse des Pakets.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Quellport	Ganzzahl	Die Netzwerk-Quellportnummer des Pakets.	Firewall-Ereignisse, Eindringschutz-Ereignisse
Status	Ganzzahl	Wenn dieses Ereignis nicht durch eine spezifische Firewall-Regel generiert wurde, dann ist dieser Status einer von ungefähr 50 fest einprogrammierten Regeln, wie zum Beispiel 123=Außerhalb der erlaubten Richtlinie	Firewall-Ereignisse
Status	Ganzzahl	Wenn dieses Ereignis nicht durch eine spezifische IPS-Regel generiert wurde, dann ist dieser Status einer von ungefähr 50 fest codierten Gründen, wie zum Beispiel -504=Ungültige UTF8-Codierung	Ereignisse zur Eindringungsprävention
Tags	Zeichenfolge	Kommagetrennte Liste von Tags, die auf das Ereignis angewendet wurden. Diese Liste enthält nur Tags, die automatisch angewendet werden, wenn das Ereignis generiert wird.	Alle Ereignistypen
TagSetID	Ganzzahl	Kennung der Gruppe von Tags, die auf das Ereignis angewendet wurde.	Alle Ereignistypen
Ziel-ID	Ganzzahl	Eindeutige Kennung des Ziels des Ereignisses. Diese Kennung ist einzigartig für die Ziele desselben Typs innerhalb eines Mandanten. Es ist möglich, dass Ziel-IDs über verschiedene Typen hinweg wiederverwendet werden, zum Beispiel können sowohl ein Computer als auch eine Richtlinie die Ziel-ID 10 haben.	Systemereignisse
Ziel-IP	Zeichenfolge (IP)	IP-Adresse, die kontaktiert wurde, als ein Web Reputation-Ereignis generiert wurde.	Web Reputation-Ereignisse
Zielname	Zeichenfolge	Der Name des Ziels des Ereignisses. Das Ziel eines Systemereignisses kann vieles sein, einschließlich Computer, Richtlinien, Benutzer, Rollen und Aufgaben.	Systemereignisse
Zieltyp	Zeichenfolge	Der Typ des Ziels des Ereignisses.	Systemereignisse
MandantGUID	Zeichenfolge	Der global eindeutige Bezeichner (GUID) des Mandanten, der mit dem Ereignis verknüpft ist.	Alle Ereignistypen
Mandanten-ID	Ganzzahl	Eindeutige Kennung des Mandanten, der mit dem Ereignis verknüpft ist.	Alle Ereignistypen
TenantName	Zeichenfolge	Name des mit dem Ereignis verknüpften Mandanten.	Alle Ereignistypen
ThreadID	Zeichenfolge	ID des Threads (aus dem Container), der das Ereignis verursacht hat.	Eindringschutz-Ereignisse, Firewall-Ereignisse
Titel	Zeichenfolge	Titel der Veranstaltung.	Systemereignisse
UniqueID	Ganzzahl	Der global eindeutige Bezeichner des Ereignisses. Das Feld, das das Ereignis über alle Plattformen, Dienste und Speichertypen hinweg eindeutig identifiziert.	Alle Ereignistypen
URL	Zeichenfolge (URL)	Die aufgerufene URL, die das Ereignis erzeugt hat.	Web Reputation-Ereignisse
Benutzer	Zeichenfolge	Das Benutzerkonto, das Ziel eines Integritätsüberwachungsereignisses war, falls bekannt.	Integritätsüberwachungsereignisse
Benutzer-ID	Zeichenfolge	Die Benutzerkennung (UID), falls vorhanden, des Benutzerkontos, das versucht hat, die Software zu starten, wie zum Beispiel "0".	Application Control-Ereignisse
Benutzername	Zeichenfolge	Bei Anti-Malware-Ereignissen ist dies der Name des Benutzerkontos, das das Ereignis ausgelöst hat. Für Application Control-Ereignisse ist dies der Benutzername, falls vorhanden, des Benutzerkontos, das versucht hat, die Software zu starten, wie zum Beispiel "root".	Anti-Malware-Ereignisse, Application Control-Ereignisse

Datentypen von Ereigniseigenschaften

Ereignisse, die als JSON weitergeleitet werden, verwenden normalerweise Zeichenfolgen, um andere Datentypen zu kodieren.

Datentyp

Beschreibung

Array (Byte)

JSON array, bestehend aus Byte-Werten.

Boolesch

JSON true oder false.

Ganzzahl

JSON int. Server- und Workload Protection gibt in Ereignissen keine Gleitkommazahlen aus.

Hinweis

Ganzzahlen in Ereignissen können mehr als 32 Bit umfassen. Überprüfen Sie, ob der Code, der Ereignisse verarbeitet, dies handhaben kann. Zum Beispiel kann der JavaScript-Datentyp Number keine Ganzzahlen verarbeiten, die größer als 32 Bit sind.

Integer (enum)

JSON int, restricted to a set of enumerated values.

Zeichenfolge

JSON string.

String (Datum)

JSON string, formatiert als Datum und Uhrzeit im Muster JJJJ-MM-TTThh:mm:ss.sssZ (ISO 8601). 'Z' ist die Zeitzone. 'sss' sind die drei Ziffern für die Sub-Sekunden. Siehe auch die W3C-Hinweise zu Datums- und Uhrzeitformaten.

Zeichenfolge (IP)

JSON string, formatiert als IPv4- oder IPv6-Adresse.

Zeichenkette (MAC)

JSON string, formatiert als eine Netzwerk-MAC-Adresse.

Zeichenfolge (URL)

JSON string, formatiert als URL.

String (Enum)

JSON string, auf einen Satz von aufgezählten Werten beschränkt.

Beispielereignisse im JSON-Format

Systemereignis

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "ActionBy":"System",
                          "CloudOneAccountID": "012345678900"
                          "Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
                          "EventID":6813,
                          "EventType":"SystemEvent",
                          "LogDate":"2018-12-04T15:54:24.086Z",
                          "ManagerNodeID":123,
                          "ManagerNodeName":"job7-123",
                          "Number":192,
                          "Origin":3,
                          "OriginString":"Manager",
                          "Severity":1,
                          "SeverityString":"Info",
                          "Tags":"\",
                          "TargetID":1,
                          "TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "TargetType":"Host",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp.",
                          "Title":"Alert Ended"
                          "UniqueID": "2e447b1889e712340f6d071cebd92ea9"
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:54:25.130Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&amp;SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}

Anti-Malware-Ereignisse

Mehrere Virenerkennungsereignisse können in jedem SNS Message vorhanden sein. (Der Kürze halber werden wiederholte Ereigniseigenschaften unten weggelassen, angezeigt durch "...".)

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "AMTarget": "VDSO memory",
                          "AMTargetCount": 1,
                          "AMTargetType": 7,
                          "AMTargetTypeString": "Memory",
                          "ATSEDetectionLevel": 0,
                          "BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
                          "BehaviorType": "Exploit_Detection",
                          "CloudOneAccountID": "012345678900"
                          "CommandLine": "/tmp/demo -f esiv [xxxx]",
                          "Cve": "CVE-2016-5195",
                          "ErrorCode": 0,
                          "EventID": 1179519,
                          "EventType": "AntiMalwareEvent",
                          "FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
                          "HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
                          "HostAgentVersion": "20.0.0.1685",
                          "HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
                          "HostID": 38,
                          "HostLastIPUsed": "172.31.21.47",
                          "HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
                          "HostSecurityPolicyID": 11,
                          "HostSecurityPolicyName": "Linux_AM_Sensor",
                          "Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
                          "InfectedFilePath": "/tmp/demo",
                          "LogDate": "2021-01-07T10:32:11.000Z",
                          "MajorVirusType": 14,
                          "MajorVirusTypeString": "Suspicious Activity",
                          "MalwareName": "TM_MALWARE_BEHAVIOR",
                          "MalwareType": 4,
                          "Mitre": "T1068",
                          "Origin": 0,
                          "OriginString": "Agent",
                          "PatternVersion": "1.2.1189",
                          "Process": "testsys_m64",
                          "Protocol": 0,
                          "Reason": "Default Real-Time Scan Configuration",
                          "ScanAction1": 1,
                          "ScanAction2": 0,
                          "ScanResultAction1": 0,
                          "ScanResultAction2": 0,
                          "ScanResultString": "Passed",
                          "ScanType": 0,
                          "ScanTypeString": "Real Time",
                          "Tags": "",
                          "TenantGUID": "",
                          "TenantID": 0,
                          "TenantName": "Primary",
                          "UniqueID": "2e447b1889e712340f6d071cebd92ea9"
                          "UserName": "root"  
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:57:50.833Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&amp;SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}