如需所有事件通知支援的標準 Token 變數清單,請參閱標準 Token 變數。
下表說明用於自訂進階安全威脅活動事件通知訊息的 Token 變數。
|
變數 |
說明 |
|---|---|
|
%hostIP% |
根據傳輸方向,%hostIP% 是由 Deep Discovery Inspector 決定的 IP 位址:
|
|
%group% |
子網路的名稱 |
|
%START_TIME% |
偵測期間的開始日期和時間 註:
通知條件決定開始時間和結束時間的指定時間範圍。 |
|
%END_TIME% |
偵測期間的結束日期和時間 定義時間範圍間隔的開始和結束時間。在特定間隔期間收到記錄檔時,Apex Central 會計算這些記錄檔。如果符合警訊條件,Apex Central 會重視記錄檔。%START_TIME% 是間隔的開始時間,%END_TIME% 是間隔的結束時間。間隔長度由警訊設定中的期間門檻值決定。 註:
通知條件決定開始時間和結束時間的指定時間範圍。 |
|
%detections% |
偵測數目 例如: 事件:高風險沙箱偵測 IP 位址:%hostIP% 主機名稱:%computer% 群組:%group% 時間範圍:%START_TIME% - %END_TIME% 偵測:%detections% |
下表說明用於自訂行為監控違規與 Machine Learning 偵測之事件通知訊息的 Token 變數。
|
變數 |
說明 |
|---|---|
|
%hostIP% |
根據傳輸方向,%hostIP% 是由 Deep Discovery Inspector 決定的 IP 位址:
|
|
%START_TIME% |
偵測期間的開始日期和時間 註:
通知條件決定開始時間和結束時間的指定時間範圍。 |
|
%END_TIME% |
偵測期間的結束日期和時間 定義時間範圍間隔的開始和結束時間。在特定間隔期間收到記錄檔時,Apex Central 會計算這些記錄檔。如果符合警訊條件,Apex Central 會重視記錄檔。%START_TIME% 是間隔的開始時間,%END_TIME% 是間隔的結束時間。間隔長度由警訊設定中的期間門檻值決定。 註:
通知條件決定開始時間和結束時間的指定時間範圍。 |
|
%detections% |
偵測數目 例如: 事件:高風險沙箱偵測 IP 位址:%hostIP% 主機名稱:%computer% 群組:%group% 時間範圍:%START_TIME% - %END_TIME% 偵測:%detections% |
|
%domain% |
目標在 Apex One 網域階層中的根網域 |
|
%hierarchy% |
目標在 Apex One 網域階層中的完整路徑 |
|
%BM_policy% |
行為監控策略識別碼 |
|
%risklevel% |
事件的風險等級 |
|
%target% |
事件的目標 |