|
eventId
|
事件類型
|
eventSubId |
事件子類型
|
|
1
|
遙測處理
|
1
|
遙測處理開啟
|
|
2
|
遙測_進程_創建
|
||
|
3
|
遙測處理終止
|
||
|
4
|
遙測處理載入映像
|
||
|
5
|
遙測_執行程序
|
||
|
6
|
遙測處理連接
|
||
|
7
|
遙測處理_TRACME
|
||
|
8
|
遙測_處理_加載_內核_映像
|
||
|
2
|
遙測檔案
|
101
|
TELEMETRY_FILE_CREATE
|
|
102
|
遙測_檔案_開啟
|
||
|
103
|
遙測_檔案_刪除
|
||
|
104
|
遙測檔案設置安全性
|
||
|
105
|
遙測檔案複製
|
||
|
106
|
遙測檔案移動
|
||
|
107
|
遙測檔案關閉
|
||
|
108
|
遙測檔案修改時間戳
|
||
|
109
|
遙測檔案修改
|
||
|
110
|
TELEMETRY_FILE_SET_ATTRIBUTES
|
||
|
111
|
遙測檔案枚舉
|
||
|
3
|
遙測連接
|
201
|
遙測連接連接
|
|
202
|
遙測連接監聽
|
||
|
203
|
遙測連接入站連接
|
||
|
204
|
遙測連接向外連接
|
||
|
4
|
遙測_DNS
|
301
|
TELEMETRY_DNS_QUERY
|
|
5
|
遙測註冊表
|
401
|
TELEMETRY_REGISTRY_CREATE
|
|
402
|
遙測註冊表設置
|
||
|
403
|
TELEMETRY_REGISTRY_DELETE
|
||
|
404
|
遙測註冊表重命名
|
||
|
405
|
遙測註冊表枚舉
|
||
|
406
|
TELEMETRY_REGISTRY_ENUMERATEVALUE
|
||
|
407
|
遙測_註冊表_查詢值
|
||
|
408
|
TELEMETRY_REGISTRY_SAVE
|
||
|
6
|
遙測帳戶
|
501
|
遙測帳戶新增
|
|
502
|
遙測帳戶刪除
|
||
|
503
|
遙測帳戶冒充
|
||
|
504
|
遙測帳戶修改
|
||
|
7
|
遙測網路
|
601
|
TELEMETRY_INTERNET_OPEN
|
|
602
|
遙測_網際網路連線
|
||
|
603
|
遙測網路下載
|
||
|
8
|
遙測_已修改的進程
|
701
|
TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD
|
|
702
|
遙測_修改的進程寫入記憶體
|
||
|
703
|
遙測_修改的進程_寫入進程
|
||
|
704
|
遙測_修改的進程_讀取進程
|
||
|
705
|
TELEMETRY_MODIFIED_PROCESS_WRITE_PROCESS_NAME
|
||
|
9
|
遙測_WINDOWS_HOOK
|
801
|
遙測_WINDOWS_HOOK_SET
|
|
10
|
遙測_Windows_事件
|
0
|
無遙測
|
|
11
|
遙測_AMSI
|
901
|
TELEMETRY_AMSI_EXECUTE
|
|
12
|
遙測_WMI
|
-
|
-
|
|
13
|
遙測記憶體
|
1001
|
遙測記憶體修改
|
|
1002
|
遙測記憶體修改權限
|
||
|
1003
|
遙測記憶體讀取
|
||
|
14
|
遙測_BM
|
1101
|
TELEMETRY_BM_INVOKE
|
|
1102
|
TELEMETRY_BM_INVOKE_API
|
||
|
17
|
遙測事件管道
|
1401
|
TELEMETRY_PIPE_CREATE
|
|
1402
|
TELEMETRY_PIPE_CONNECT
|
檢視次數: