提供有關網路上可疑安全威脅的特定資訊,例如:偵測到可疑安全威脅的受管理產品、有關來源與目標的特定資訊、網路上的可疑安全威脅總數
資料 |
說明 |
|---|---|
收到 |
Apex Central 從受管理產品接收資料的日期和時間 |
已產生 |
受管理產品產生資料的日期和時間 |
產品項目 |
Apex Central 中受管理產品伺服器的顯示名稱 |
產品 |
受管理產品或服務的名稱 範例:Apex One、ScanMail for Microsoft Exchange |
緩和主機 |
緩和伺服器的主機名稱(例如,網路病毒牆執行器或 Threat Mitigator) |
流量/連線 |
傳輸的方向 |
通訊協定群組 |
受管理產品從其偵測到安全威脅的廣泛通訊協定群組 範例:FTP、HTTP、P2P |
通訊協定 |
受管理產品從其偵測到可疑安全威脅的通訊協定 範例:ARP、BitTorrent |
目標 IP 位址 |
安全威脅存取的 IP 位址 |
|
目標主機 |
安全威脅存取的端點顯示名稱 |
目標通訊埠 |
安全威脅存取的 IP 通訊埠號碼 |
目標 MAC 位址 |
安全威脅存取的 MAC 位址 |
|
目標作業系統 |
安全威脅存取的端點作業系統 |
目標使用者 <x> |
用來登入目標主機的名稱 <x> 是使用者名稱 |
登入 (目標使用者 <x>) |
登入時間戳記 <x> 代表登入次數和特定的時間戳記 |
來源 IP 位址 |
偵測到的安全威脅的來源 IP 位址 |
來源主機名稱 |
安全威脅起源所在的端點名稱 |
來源通訊埠 |
偵測到的安全威脅的來源 IP 位址通訊埠號碼 |
來源 MAC 位址 |
偵測到的安全威脅的來源 MAC 位址 |
|
來源作業系統 |
安全威脅起源所在的端點作業系統 |
來源使用者 <x> |
用來登入目標來源主機的名稱 <x> 是使用者名稱 |
登入 (來源使用者 <x>) |
來源上的登入時間戳記 <x> 代表登入次數和特定的時間戳記 |
來源網域 |
安全威脅起源所在的端點網域 |
安全威脅類型 |
安全威脅的類型 範例:病毒、間諜程式/可能的資安威脅程式、詐騙 |
策略/規則名稱 |
觸發偵測的策略或規則 |
收件者 |
觸發偵測的傳輸收件者 |
寄件者 |
觸發偵測的傳輸寄件者 |
主旨 |
觸發偵測的電子郵件主旨 |
|
附件檔案名稱 |
附件的檔案名稱和副檔名 |
|
附件檔案類型 |
附件的檔案類型 |
|
附件 SHA-1 |
附件的 SHA-1 雜湊值 |
URL |
視為可疑安全威脅的 URL |
使用者 |
受管理產品偵測到安全威脅時已登入目標的使用者名稱 |
IM/IRC 使用者 |
Deep Discovery Inspector 偵測到違規時登入的即時通訊或 IRC 使用者名稱。 |
瀏覽器/FTP 用戶端 |
可疑安全威脅起源所在的 Web 瀏覽器或 FTP 端點。 |
檔案 |
執行程序的檔案物件或程式的名稱 |
壓縮檔中的檔案 |
壓縮封存檔中受影響的檔案物件名稱 |
|
封存檔 SHA-1 |
封存檔物件的 SHA-1 雜湊值 |
|
封存檔檔案類型 |
封存檔物件的類型 |
共用資料夾 |
顯示可疑安全威脅是否源自共用資料夾 |
|
SHA-1 |
檔案物件的 SHA-1 雜湊值 |
|
緩和處理行動 |
緩和伺服器採取的處理行動 範例:檔案已清除、檔案已丟棄、檔案已刪除 |
緩和結果 |
緩和伺服器採取的處理行動結果 |
來源 IP 群組 |
可疑安全威脅起源所在的來源 IP 位址群組 |
來源網路區域 |
可疑安全威脅起源所在的來源網路區域 |
端點群組 |
受可疑安全威脅影響之端點的 IP 位址群組 |
端點網路區域 |
受可疑安全威脅影響之端點的網路區域 |
偵測 |
偵測總數 範例:受管理產品在 1 部電腦上偵測到相同類型的 10 個違規執行個體。 偵測數 = 10 |
C&C 清單來源 |
辨識 C&C 伺服器的 C&C 清單來源
|
|
C&C 風險等級 |
C&C 回呼的風險等級 |
|
備註 |
事件的其他相關資訊 |
|
C&C 伺服器 |
C&C 伺服器的名稱、URL 或 IP 位址 |
|
C&C 伺服器類型 |
C&C 伺服器的類型 |
|
惡意程式類型 |
惡意程式的類型 |