檢視次數:
註:

如需所有事件通知支援的標準 Token 變數清單,請參閱標準 Token 變數

下表說明用於自訂進階安全威脅活動事件通知訊息的 Token 變數。

變數

說明

%hostIP%

根據傳輸方向,%hostIP% 是由 Deep Discovery Inspector 決定的 IP 位址:

  • 輸出流量(內部流量傳輸到外部網路):%hostIP% 是網路(來源)中端點的 IP 位址

  • 網路內部流量:%hostIP% 是網路中端點的 IP 位址

  • 網路中端點的外部流量:%hostIP% 是網路中端點的 IP 位址

  • 網路外部流量:%hostIP% 是網路外部端點的 IP 位址

%group%

子網路的名稱

%START_TIME%

偵測期間的開始日期和時間

註:

通知條件決定開始時間和結束時間的指定時間範圍。

%END_TIME%

偵測期間的結束日期和時間

定義時間範圍間隔的開始和結束時間。在特定間隔期間收到記錄檔時,Apex Central 會計算這些記錄檔。如果符合警訊條件,Apex Central 會重視記錄檔。%START_TIME% 是間隔的開始時間,%END_TIME% 是間隔的結束時間。間隔長度由警訊設定中的期間門檻值決定。

註:

通知條件決定開始時間和結束時間的指定時間範圍。

%detections%

偵測數目

例如:

事件:高風險沙箱偵測

IP 位址:%hostIP%

主機名稱:%computer%

群組:%group%

時間範圍:%START_TIME% - %END_TIME%

偵測:%detections%

下表說明用於自訂行為監控違規與 Machine Learning 偵測之事件通知訊息的 Token 變數。

變數

說明

%hostIP%

根據傳輸方向,%hostIP% 是由 Deep Discovery Inspector 決定的 IP 位址:

  • 輸出流量(內部流量傳輸到外部網路):%hostIP% 是網路(來源)中端點的 IP 位址

  • 網路內部流量:%hostIP% 是網路中端點的 IP 位址

  • 網路中端點的外部流量:%hostIP% 是網路中端點的 IP 位址

  • 網路外部流量:%hostIP% 是網路外部端點的 IP 位址

%START_TIME%

偵測期間的開始日期和時間

註:

通知條件決定開始時間和結束時間的指定時間範圍。

%END_TIME%

偵測期間的結束日期和時間

定義時間範圍間隔的開始和結束時間。在特定間隔期間收到記錄檔時,Apex Central 會計算這些記錄檔。如果符合警訊條件,Apex Central 會重視記錄檔。%START_TIME% 是間隔的開始時間,%END_TIME% 是間隔的結束時間。間隔長度由警訊設定中的期間門檻值決定。

註:

通知條件決定開始時間和結束時間的指定時間範圍。

%detections%

偵測數目

例如:

事件:高風險沙箱偵測

IP 位址:%hostIP%

主機名稱:%computer%

群組:%group%

時間範圍:%START_TIME% - %END_TIME%

偵測:%detections%

%domain%

目標在 Apex One 網域階層中的根網域

%hierarchy%

目標在 Apex One 網域階層中的完整路徑

%BM_policy%

行為監控策略識別碼

%risklevel%

事件的風險等級

%target%

事件的目標