檢視次數:

下表說明用於自訂進階安全威脅活動事件通知訊息的 Token 變數。

註:

如需所有事件通知支援的標準 Token 變數清單,請參閱標準 Token 變數

變數

說明

%hostIP%

根據傳輸方向,%hostIP% 是由 Deep Discovery Inspector 決定的 IP 位址:

  • 輸出流量(內部流量傳輸到外部網路):%hostIP% 是網路(來源)中端點的 IP 位址

  • 網路內部流量:%hostIP% 是網路中端點的 IP 位址

  • 網路中端點的外部流量:%hostIP% 是網路中端點的 IP 位址

  • 網路外部流量:%hostIP% 是網路外部端點的 IP 位址

%group%

子網路的名稱

%START_TIME%

偵測期間的開始日期和時間

註:

通知條件決定開始時間和結束時間的指定時間範圍。

%END_TIME%

偵測期間的結束日期和時間

定義時間範圍間隔的開始和結束時間。在特定間隔期間收到記錄檔時,Apex Central 會計算這些記錄檔。如果符合警訊條件,Apex Central 會重視記錄檔。%START_TIME% 是間隔的開始時間,%END_TIME% 是間隔的結束時間。間隔長度由警訊設定中的期間門檻值決定。

註:

通知條件決定開始時間和結束時間的指定時間範圍。

%detections%

偵測數目

例如:

事件:高風險沙箱偵測

IP 位址:%hostIP%

主機名稱:%computer%

群組:%group%

時間範圍:%START_TIME% - %END_TIME%

偵測:%detections%
上層主題: Token 變數