下表說明用於自訂 C&C 回呼事件通知訊息的 Token 變數。
如需所有事件通知支援的標準 Token 變數清單,請參閱標準 Token 變數。
|
變數 |
說明 |
|---|---|
|
%CnC_LIST_SRC% |
其中包含回呼位址的清單名稱 |
|
%CNC_PD_NAME% |
傳送記錄檔的受管理產品伺服器的產品 ID |
|
%CNC_PD_VERSION% |
傳送記錄檔的受管理產品伺服器的版本 |
|
%CNC_PD_NODE% |
傳送記錄檔的受管理產品伺服器的端點名稱 |
|
%CNC_PD_IP% |
傳送記錄檔的受管理產品伺服器的 IP 位址 |
|
%CNC_EVTTIME% |
記錄檔的產生時間 |
|
%CNC_AGENTNAME% |
偵測到回呼的 Security Agent 端點名稱 |
|
%CNC_AGENTIP% |
偵測到回呼的 Security Agent 端點 IP 位址 |
|
%CNC_AGENTDOMAIN% |
偵測到回呼的 Security Agent 端點所屬的 Apex One 網域 |
|
%CNC_POLICY_RULE% |
偵測到回呼的策略名稱或規則 ID |
|
%CNC_ACTION% |
安全記錄檔、個人防火牆、NCIE 記錄檔或 Web 安全記錄檔的處理行動結果 |
|
%CNC_EMAIL_SENDER% |
與回呼關聯的電子郵件寄件者 |
|
%CNC_EMAIL_SUBJECT% |
與回呼關聯的電子郵件主旨 |
|
%CNC_RISKLEVEL% |
與 C&C 伺服器關聯的惡意程式群組風險等級 |
|
%CNC_DETECT_SOURCE% |
定義偵測規則的 C&C 清單 |
|
%CNC_CHANNEL% |
指示目標格式的類型 ID |
|
%CNC_URL% |
端點嘗試連線的遠端 URL |
|
%CNC_URL_CATEGORY% |
端點嘗試連線的站台 URL 類別 |
|
%CNC_IP_PORT% |
C&C 伺服器 IP 位址和通訊埠 |
|
%CNC_EMAIL_REPT% |
與回呼關聯的電子郵件收件者 |
|
%CNC_FIRST_SEEN% |
C&C 伺服器的第一個已知偵測 |
|
%CNC_LAST_SEEN% |
C&C 伺服器的最後一個已知偵測 |
|
%CNC_LOCATION% |
C&C 伺服器的國碼 |
|
%CNC_MALEWARE_FAMILY% |
與 C&C 偵測關聯的惡意程式系列 |
|
%CNC_ATTACK_GROUP% |
C&C 群組清單 |
|
%CNC_PROCESS_NAME% |
與 C&C 偵測關聯的程序名稱 |
|
%CALLBACK_ADDR% |
遭到入侵的主機嘗試對其回呼的 URL、IP 位址或電子郵件信箱 |
|
%COMPR_HOST% |
受影響的主機或電子郵件信箱 |
|
%CALLBACK_NUM% |
回呼位址與遭到入侵的主機之間的聯絡次數 |
|
%COMPR_HOST_NUM% |
牽涉病毒爆發的遭到入侵的主機數目 |
|
%CALLBACK_ADDR_NUM% |
牽涉病毒爆發的回呼位址數目 |