當發佈到 Amazon SNS 時,事件會以 JSON 物件陣列的形式作為字串編碼並發送到 SNS
Message 中。陣列中的每個物件都是一個事件。有效屬性因事件類型而異。例如,
MajorVirusType 只對 Server & Workload Security保護 惡意程式防護事件是有效屬性,對系統事件等則無效。每個屬性的有效屬性值各不相同。範例請參見 JSON 格式的事件範例。事件屬性值可用於篩選發佈到 SNS 主題的事件。詳情請參閱 JSON 格式的 SNS 配置。
有效的事件屬性
 |
注意有些事件不具備通常適用於其事件類型的所有屬性。
|
|
屬性名稱
|
說明
|
適用於事件類型
|
|
|
ACRulesetID
|
整數
|
應用於偵測到事件的電腦上的 Application Control 規則集的唯一識別碼。
|
Application Control 事件
|
|
處理行動
|
字串 (列舉)
|
Application Control 事件的中毒處理行動,例如「執行的軟體已被規則封鎖」、「允許執行未識別的軟體」(由於僅檢測模式)或「執行的未識別軟體已封鎖」。
|
Application Control 事件
|
|
處理行動
|
整數(枚舉)
|
防火牆事件的中毒處理行動。「僅偵測」值顯示如果規則已啟動會發生什麼。0=未知,1=拒絕,6=僅記錄,0x81=僅偵測:拒絕。
|
防火牆事件
|
|
處理行動
|
整數(枚舉)
|
針對入侵防護事件採取的中毒處理行動。0=未知, 1=拒絕, 2=重置, 3=插入, 4=刪除, 5=替換, 6=僅記錄, 0x81=僅偵測: 拒絕, 0x82=僅偵測:
重置, 0x83=僅偵測: 插入, 0x84=僅偵測: 刪除, 0x85=僅偵測: 替換。
|
入侵防護事件
|
|
動作由
|
字串
|
執行事件的Server & Workload Security保護使用者名稱,如果事件不是由使用者生成,則顯示「系統」。
|
系統事件
|
|
動作原因描述
|
字串
|
動作已被封鎖的原因。
|
Application Control 事件
|
|
動作字串
|
字串
|
將動作轉換為可讀取的字串。
|
防火牆事件,入侵防護事件
|
|
管理員ID
|
整數
|
執行操作的Server & Workload Security保護用戶的唯一標識符。由系統生成而非用戶生成的事件將不會有標識符。
|
系統事件
|
|
聚合類型
|
整數(枚舉)
|
Application Control 事件是否重複發生。如果 "AggregationType" 不是 "0",則發生次數在 "RepeatCount" 中。0=未聚合,1=基於檔案名稱、路徑和事件類型聚合,2=基於事件類型聚合
|
Application Control 事件
|
|
AMTarget
|
字串
|
惡意程式試圖影響的檔案、程序或登錄鍵(如果有的話)。如果惡意程式試圖影響多個,則此欄位將包含值「多個」
|
惡意程式防護事件
|
|
AMTargetCount
|
整數
|
目標檔案的數量。
|
惡意程式防護事件
|
|
AMTargetType
|
整數
|
此惡意程式試圖影響的系統資源類型的數字代碼。 有關描述性版本,請參見 AMTargetTypeString。 0=未知, 1=進程, 2=註冊表, 3=檔案系統,
4=調用, 5=利用, 6=API, 7=記憶體, 8=網路連線, 9=未分類
|
惡意程式防護事件
|
|
AMTargetTypeString
|
字串
|
此惡意程式試圖影響的系統資源類型,例如檔案系統、進程或 Windows 登錄。
|
惡意程式防護事件
|
|
ATSED檢測級別
|
整數
|
文件漏洞防護的檢測級別。
|
惡意程式防護事件
|
|
應用程式類型
|
字串
|
與入侵防護規則相關的網路應用程式類型名稱(如果有的話)。
|
入侵防護事件
|
|
BehaviorRuleId
|
字串
|
內部惡意程式案例追蹤的行為監控規則 ID。
|
惡意程式防護事件
|
|
行為類型
|
字串
|
檢測到的行為監控事件類型。
|
惡意程式防護事件
|
|
封鎖原因
|
整數(枚舉)
|
對應於動作的原因。0=未知,1=因規則已封鎖,2=因未識別已封鎖
|
Application Control 事件
|
|
變更
|
整數(枚舉)
|
對於完整性監控事件,檔案、程序、註冊表鍵等進行了何種類型的更改。1=創建,2=更新,3=刪除,4=重命名。
|
完整性監控事件
|
|
變更字串
|
字串
|
對於完整性監控事件,檔案、程序、註冊表鍵等進行了何種更改:創建、更新、刪除或重命名。
|
完整性監控事件
|
|
CloudOneAccountID
|
字串
|
Cloud One 帳戶的 ID。
|
所有事件類型
|
|
命令列
|
字串
|
該主體進程執行的命令。
|
惡意程式防護事件
|
|
容器ID
|
字串
|
事件發生的容器 ID。
|
惡意程式防護事件、入侵防護事件、防火牆事件
|
|
ContainerImageName
|
字串
|
發現惡意程式的 Docker 容器映像檔名稱。
|
惡意程式防護事件
|
|
容器名稱
|
字串
|
事件發生的容器名稱。
|
惡意程式防護事件、入侵防護事件、防火牆事件
|
|
建立時間
|
字串 (日期)
|
中毒檔案的建立時間。
|
惡意程式防護事件
|
|
CVE
|
字串
|
如果在常見弱點和暴露中識別到該進程行為,則顯示 CVE 資訊。
|
惡意程式防護事件
|
|
資料索引
|
整數
|
封包資料的唯一 ID。
|
入侵防護事件
|
|
說明
|
字串
|
對實體所做變更的描述(已建立、已刪除、已更新)以及屬性變更的詳細資訊。
|
完整性監控事件
|
|
說明
|
字串
|
事件期間發生情況的簡要描述。
|
系統事件
|
|
目標IP
|
字串 (IP)
|
封包目的地的 IP 位址。
|
防火牆事件,入侵防護事件
|
|
目標MAC
|
字串 (MAC)
|
封包目的地的 MAC 位址。
|
防火牆事件,入侵防護事件
|
|
目標埠
|
整數
|
封包發送到的網路通訊埠號碼。
|
防火牆事件,入侵防護事件
|
|
偵測類別
|
整數(枚舉)
|
網頁信譽評等事件的檢測類別。12=使用者定義,13=自訂,91=全域。
|
網頁信譽評等事件
|
|
僅偵測
|
布林值
|
無論事件是否在僅偵測標誌開啟的情況下返回。如果為真,這表示該 URL 未被已封鎖,但已檢測到訪問。
|
網頁信譽評等事件
|
|
方向
|
整數(枚舉)
|
網路封包方向。0=進入,1=外出。
|
防火牆事件,入侵防護事件
|
|
方向字串
|
字串
|
將轉換方向轉換為可讀的字串。
|
防火牆事件,入侵防護事件
|
|
DriverTime
|
整數
|
記錄檔由驅動程式生成的時間。
|
防火牆事件,入侵防護事件
|
|
結束日誌日期
|
字串 (日期)
|
重複事件的最後記錄日期。對於未重複的事件將不會顯示。
|
防火牆事件,入侵防護事件
|
|
引擎類型
|
整數
|
惡意程式防護引擎類型。
|
惡意程式防護事件
|
|
引擎版本
|
字串
|
惡意程式防護引擎版本。
|
惡意程式防護事件
|
|
實體類型
|
字串 (列舉)
|
完整性監控事件適用的實體類型:目錄、檔案、群組、已安裝軟體、埠、程序、登錄機碼、登錄值、服務、使用者或 Wql
|
完整性監控事件
|
|
錯誤代碼
|
整數
|
惡意程式掃瞄事件的錯誤碼。如果非零則掃瞄失敗,中毒處理行動和掃瞄結果欄位包含更多詳細資訊。
|
惡意程式防護事件
|
|
事件ID
|
整數
|
已棄用。請使用 UniqueID。此欄位的值在 2021 年 1 月 1 日或之後將始終為 0。
|
所有事件類型
|
|
事件類型
|
字串 (列舉)
|
事件的類型。包括以下之一:"SystemEvent"、"PacketLog"、"PayloadLog"、"AntiMalwareEvent"、"WebReputationEvent"、"IntegrityEvent"、"LogInspectionEvent"、"AppControlEvent"。
|
所有事件類型
|
|
檔案名稱
|
字串
|
已允許或已封鎖的軟體檔案名稱,例如 "script.sh"。(完整路徑在 "Path" 中。)
|
Application Control 事件
|
|
FileSHA1
|
字串
|
中毒檔案的 filesha1(安全雜湊演算法 1 結果)。
|
惡意程式防護事件
|
|
檔案大小
|
整數
|
允許或已封鎖的軟體檔案大小
|
Application Control 事件
|
|
標記
|
字串
|
從網路封包記錄的標誌;以空格分隔的字串列表。
|
防火牆事件,入侵防護事件
|
|
流程
|
整數(枚舉)
|
網路連線流量。可能的值:-1=不適用,0=連線流量,1=反向流量
|
防火牆事件,入侵防護事件
|
|
流程字串
|
字串
|
將流程轉換為可讀的字串。
|
防火牆事件,入侵防護事件
|
|
轉發來源
|
陣列 (位元組)
|
轉發封包的來源資訊
|
入侵防護事件
|
|
框架
|
整數(枚舉)
|
幀類型。-1=未知,2048=IP,2054=ARP,32821=REVARP,33169=NETBEUI,0x86DD=IPv6
|
防火牆事件,入侵防護事件
|
|
框架字串
|
字串
|
將框架轉換為可讀字符串。
|
防火牆事件,入侵防護事件
|
|
群組ID
|
字串
|
嘗試啟動軟體的使用者帳號的群組 ID(如果有),例如 "0"。
|
Application Control 事件
|
|
群組名稱
|
字串
|
嘗試啟動軟體的使用者帳號的群組名稱(如果有),例如 "root"。
|
Application Control 事件
|
|
HostAgentVersion
|
字串
|
保護偵測到事件的電腦防護代理程式版本。
|
Application Control 事件, 惡意程式防護事件, 網頁信譽評等事件, 完整性監控事件, 日誌檢查事件, 防火牆事件, 入侵防護事件
|
|
HostAgentGUID
|
字串
|
代理啟用時的全域唯一識別碼 (GUID) 為 Server & Workload Security保護。
|
惡意程式防護事件, Application Control 事件, 防火牆事件, 完整性監控事件, 入侵防護事件, 日誌檢查事件, 網頁信譽評等事件
|
|
主機資產價值
|
整數
|
事件生成時分配給電腦防護的資產價值。
|
惡意程式防護事件、網頁信譽評等事件、完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件、Application Control 事件
|
|
HostCloudType
|
字串
|
Deep Security Agent 所託管的雲端服務提供者。
|
惡意程式防護事件, Application Control 事件, 防火牆事件, 完整性監控事件, 入侵防護事件, 日誌檢查事件, 網頁信譽評等事件
|
|
HostGUID
|
字串
|
Deep Security Agent 的全域唯一識別碼 (GUID)。
|
惡意程式防護事件, Application Control 事件, 防火牆事件, 完整性監控事件, 入侵防護事件, 日誌檢查事件, 網頁信譽評等事件
|
|
HostGroupID
|
整數
|
檢測到事件的電腦所屬電腦群組的唯一標識符。
|
Application Control 事件, 惡意程式防護事件, 網頁信譽評等事件, 完整性監控事件, 日誌檢查事件, 防火牆事件, 入侵防護事件
|
|
HostGroupName
|
字串
|
檢測到事件的電腦所屬的電腦群組名稱。請注意,電腦群組名稱可能不是唯一的。
|
Application Control 事件, 惡意程式防護事件, 網頁信譽評等事件, 完整性監控事件, 日誌檢查事件, 防火牆事件, 入侵防護事件
|
|
HostID
|
整數
|
發生事件的電腦防護的唯一標識符。
|
惡意程式防護事件、網頁信譽評等事件、完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件、Application Control 事件
|
|
HostInstanceID
|
字串
|
偵測到事件的電腦防護的雲端實例 ID。此屬性僅適用於與雲端連接器同步的電腦防護。
|
Application Control 事件, 惡意程式防護事件, 網頁信譽評等事件, 完整性監控事件, 日誌檢查事件, 防火牆事件, 入侵防護事件
|
|
HostLastIPUsed
|
字串 (IP)
|
從代理程式與 Deep Security Manager 通訊時更新的最新 IP 位址。
|
惡意程式防護事件, Application Control 事件, 防火牆事件, 完整性監控事件, 入侵防護事件, 日誌檢查事件, 網頁信譽評等事件
|
|
主機名稱
|
字串
|
生成事件的電腦防護的主機名稱。
|
惡意程式防護事件、網頁信譽評等事件、完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件、Application Control 事件
|
|
HostOS
|
字串
|
偵測到事件的電腦的作業系統。
|
惡意程式防護事件、網頁信譽評等事件、完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件、Application Control 事件
|
|
HostOwnerID
|
字串
|
偵測到事件的電腦的雲端帳號 ID。此屬性僅適用於與雲端連接器同步的電腦。
|
Application Control 事件, 惡意程式防護事件, 網頁信譽評等事件, 完整性監控事件, 日誌檢查事件, 防火牆事件, 入侵防護事件
|
|
HostSecurityPolicyID
|
整數
|
應用於偵測到事件的電腦防護的Server & Workload Security保護政策的唯一識別碼。
|
惡意程式防護事件、網頁信譽評等事件、完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件、Application Control 事件
|
|
主機安全性政策名稱
|
字串
|
應用於偵測到事件的電腦防護的Server & Workload Security保護政策名稱。請注意,安全政策名稱可能不是唯一的。
|
惡意程式防護事件、網頁信譽評等事件、完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件、Application Control 事件
|
|
HostVCUUID
|
字串
|
該事件所適用的電腦防護的 vCenter UUID(如果已知)。
|
Application Control 事件, 惡意程式防護事件, 網頁信譽評等事件, 完整性監控事件, 日誌檢查事件, 防火牆事件, 入侵防護事件
|
|
影像摘要
|
字串
|
用於識別容器映像的唯一資料防護摘要。
|
入侵防護事件,防火牆事件
|
|
ImageID
|
字串
|
事件發生的 Docker 容器的映像 ID
|
入侵防護事件
|
|
ImageName
|
字串
|
用於創建發生事件的容器的映像名稱。
|
入侵防護事件,防火牆事件
|
|
感染的檔案路徑
|
字串
|
在偵測到惡意程式的情況下,中毒檔案的路徑。
|
惡意程式防護事件
|
|
感染來源
|
字串
|
已知的話,作為惡意程式感染來源的電腦名稱。
|
惡意程式防護事件
|
|
介面
|
字串 (MAC)
|
發送或接收封包的網路介面 MAC 位址。
|
防火牆事件,入侵防護事件
|
|
介面類型
|
字串
|
容器介面類型。0=實體介面屬於主機,可在Server & Workload Security保護中單獨控制,1=所有虛擬介面,7=未知類型(通常是主機介面)。
|
入侵防護事件,防火牆事件
|
|
IP數據報文長度
|
整數
|
IP資料包的長度。
|
入侵防護事件
|
|
IsHash
|
字串
|
文件修改後的 SHA-1 內容雜湊值(十六進位編碼)。
|
完整性監控事件
|
|
金鑰
|
字串
|
完整性事件所指的檔案或登錄機碼。
|
完整性監控事件
|
|
日誌日期
|
字串 (日期)
|
事件記錄的日期和時間。對於代理生成的事件(防火牆、IPS 等),時間是代理記錄事件的時間,而不是Server & Workload Security保護接收到事件的時間。
|
所有事件類型
|
|
主要病毒類型
|
整數(枚舉)
|
檢測到的惡意程式分類。0=玩笑, 1=特洛伊木馬程式, 2=病毒, 3=測試, 4=間諜程式, 5=封包器, 6=通用, 7=其他
|
惡意程式防護事件
|
|
主要病毒類型字串
|
字串
|
將MajorVirusType轉換為可讀取的字串。
|
惡意程式防護事件
|
|
惡意軟體名稱
|
字串
|
檢測到的惡意程式名稱。
|
惡意程式防護事件
|
|
惡意軟體類型
|
整數(枚舉)
|
檢測到的惡意程式類型。1=一般惡意程式,2=間諜程式。一般惡意程式事件將有 InfectedFilePath,間諜程式事件則不會。
|
惡意程式防護事件
|
|
ManagerNodeID
|
整數
|
生成事件的Server & Workload Security保護節點的唯一標識符。
|
系統事件
|
|
ManagerNodeName
|
字串
|
生成事件的Server & Workload Security保護節點名稱。
|
系統事件
|
|
MD5
|
字串
|
軟體的 MD5 校驗和(雜湊),如果有的話。
|
Application Control 事件
|
|
Mitre
|
字串
|
如果在 MITRE 攻擊場景中識別到該進程行為,則顯示 MITRE 資訊。
|
惡意程式防護事件
|
|
修改時間
|
字串 (日期)
|
中毒檔案的修改時間。
|
惡意程式防護事件
|
|
注意
|
陣列 (位元組)
|
有關事件發生的封包的編碼註解。
|
入侵防護事件
|
|
號碼
|
整數
|
系統事件有一個額外的 ID 來識別事件。請注意,在 Server & Workload Security保護 中,此屬性顯示為 "事件 ID"。
|
系統事件
|
|
作業
|
整數(枚舉)
|
0=未知, 1=因僅偵測模式而允許, 2=已封鎖
|
Application Control
|
|
操作描述
|
字串
|
描述Operation值
|
Application Control 事件
|
|
來源
|
整數(枚舉)
|
事件的來源。-1=未知,0=代理,3=Server & Workload Security保護
|
所有事件類型
|
|
原始字串
|
字串
|
將來源轉換為人類可讀的字串。
|
所有事件類型
|
|
OSSEC_動作
|
字串
|
OSSEC 動作
|
日誌檢查事件
|
|
OSSEC_Command
|
字串
|
OSSEC 指令
|
日誌檢查事件
|
|
OSSEC_資料
|
字串
|
OSSEC 資料防護
|
日誌檢查事件
|
|
OSSEC_描述
|
字串
|
OSSEC 說明
|
日誌檢查事件
|
|
OSSEC_目標IP
|
字串
|
OSSEC 目標 IP
|
日誌檢查事件
|
|
OSSEC_目標埠
|
字串
|
OSSEC 目標埠
|
日誌檢查事件
|
|
OSSEC_目標使用者
|
字串
|
OSSEC 目標使用者
|
日誌檢查事件
|
|
OSSEC_完整日誌
|
字串
|
OSSEC 完整日誌
|
日誌檢查事件
|
|
OSSEC_群組
|
字串
|
OSSEC 群組結果(例如 syslog、authentication_failure)
|
日誌檢查事件
|
|
OSSEC_主機名稱
|
字串
|
OSSEC 主機名稱。這是從日誌條目中讀取的主機名稱,不一定與生成事件的主機名稱相同。
|
日誌檢查事件
|
|
OSSEC_ID
|
字串
|
OSSEC ID
|
日誌檢查事件
|
|
OSSEC_等級
|
整數(枚舉)
|
OSSEC 等級。範圍為 0 到 15 的整數。0-3=低嚴重性,4-7=中嚴重性,8-11=高嚴重性,12-15=嚴重嚴重性。
|
日誌檢查事件
|
|
OSSEC_位置
|
字串
|
OSSEC 位置資訊
|
日誌檢查事件
|
|
OSSEC_日誌
|
字串
|
OSSEC 日誌
|
日誌檢查事件
|
|
OSSEC_程式名稱
|
字串
|
OSSEC 程式名稱
|
日誌檢查事件
|
|
OSSEC_協議
|
字串
|
OSSEC 通訊協定
|
日誌檢查事件
|
|
OSSEC_RuleID
|
整數
|
OSSEC 規則 ID
|
日誌檢查事件
|
|
OSSEC_SourceIP
|
整數
|
OSSEC srcip
|
日誌檢查事件
|
|
OSSEC_來源端口
|
整數
|
OSSEC srcport
|
日誌檢查事件
|
|
OSSEC_來源使用者
|
整數
|
OSSEC srcuser
|
日誌檢查事件
|
|
OSSEC_狀態
|
整數
|
OSSEC 狀態
|
日誌檢查事件
|
|
OSSEC_SystemName
|
整數
|
OSSEC 系統名稱
|
日誌檢查事件
|
|
OSSEC_URL
|
整數
|
OSSEC 網址
|
日誌檢查事件
|
|
封包資料
|
整數
|
如果規則配置為捕獲封包資料,則捕獲封包資料的十六進位編碼。
|
入侵防護事件
|
|
封包大小
|
整數
|
網路封包的大小。
|
防火牆事件
|
|
路徑
|
字串
|
允許或封鎖的軟體檔案的目錄路徑,例如 "/usr/bin/"。(檔案名稱是分開的,在 "FileName" 中。)
|
Application Control 事件
|
|
模式版本
|
整數(枚舉)
|
惡意程式偵測模式版本。
|
惡意程式防護事件
|
|
PayloadFlags
|
整數
|
入侵防護過濾器標誌。位元遮罩值可以包含以下標誌值:1 - 資料被截斷 - 資料無法被記錄。2 - 日誌溢出 - 此日誌後日誌溢出。4 - 已抑制 - 此日誌後日誌閾值被抑制。8
- 有資料 - 包含封包資料。16 - 參考資料 - 參考先前記錄的資料。
|
入侵防護事件
|
|
PodID
|
字串
|
Pod 唯一 ID (UID)
|
入侵防護事件,防火牆事件
|
|
PosInBuffer
|
整數
|
觸發事件的資料封包中的位置。
|
入侵防護事件
|
|
PosInStream
|
整數
|
觸發事件的資料流位置。
|
入侵防護事件
|
|
處理程序
|
字串
|
生成事件的進程名稱(如果有)。
|
完整性監控事件
|
|
處理程序
|
字串
|
行為監控事件檢測到的進程名稱。
|
惡意程式防護事件
|
|
ProcessID
|
整數
|
生成事件的進程標識符 (PID),如果可用。
|
Application Control 事件, 入侵防護事件, 防火牆事件
|
|
ProcessName
|
字串
|
生成事件的進程名稱(如果有),例如「/usr/bin/bash」。
|
Application Control 事件, 入侵防護事件, 防火牆事件
|
|
通訊協定
|
整數(枚舉)
|
數值網路通訊協定識別碼。-1=未知,1=ICMP,2=IGMP,3=GGP,6=TCP,12=PUP,17=UDP,22=IDP,58=ICMPv6,77=ND,255=RAW
|
防火牆事件,入侵防護事件
|
|
通訊協定
|
整數
|
檔案掃瞄通訊協定的數值。0=本機檔案
|
惡意程式防護事件
|
|
協議字串
|
字串
|
將通訊協定轉換為可讀取的字串。
|
防火牆事件,入侵防護事件
|
|
排名
|
整數
|
事件的數值等級;電腦防護的資產價值與此嚴重性事件的嚴重性值設定的乘積。
|
完整性監控事件、日誌檢查事件、防火牆事件、入侵防護事件
|
|
原因
|
字串
|
觸發事件的Server & Workload Security保護規則或配置對象的名稱,或者(對於防火牆和入侵防護)如果事件不是由規則觸發,則為狀態到字符串的映射。對於Application Control,“原因”可能為“無”;請參閱“BlockReason”。
|
防火牆、入侵防護、完整性監控、日誌檢查、惡意程式防護和 Application Control 事件
|
|
重複次數
|
整數
|
此事件重複發生的次數。重複計數為 1 表示該事件僅觀察到一次,未重複發生。
|
防火牆事件、入侵防護事件、Application Control 事件
|
|
風險
|
整數(枚舉)
|
已訪問 URL 的風險等級翻譯。2=可疑,3=非常可疑,4=危險,5=未測試,6=已被管理員封鎖
|
網頁信譽評等事件
|
|
風險等級
|
整數
|
該 URL 的原始風險等級從 0 到 100。如果 URL 被封鎖規則封鎖,則不會顯示。
|
網頁信譽評等事件
|
|
風險字串
|
字串
|
將風險轉換為可讀取的字串。
|
網頁信譽評等事件
|
|
掃描動作1
|
整數
|
中毒處理行動 1。中毒處理行動 1 和 2 以及掃瞄結果行動 1 和 2 和錯誤代碼結合形成單一的 "summaryScanResult"。
|
惡意程式防護事件
|
|
掃描動作2
|
整數
|
中毒處理行動 2.
|
惡意程式防護事件
|
|
掃描結果動作1
|
整數
|
掃瞄結果動作 1.
|
惡意程式防護事件
|
|
掃描結果動作2
|
整數
|
掃瞄結果動作 2。
|
惡意程式防護事件
|
|
掃描結果字串
|
字串
|
惡意程式掃瞄結果,作為字串。結合掃瞄動作1和2、掃瞄動作結果1和2,以及錯誤代碼。
|
惡意程式防護事件
|
|
掃描類型
|
整數(枚舉)
|
創建事件的惡意程式掃瞄類型。0=即時,1=手動,2=排程,3=快速掃瞄
|
惡意程式防護事件
|
|
掃描類型字串
|
字串
|
將掃描類型轉換為可讀取的字串。
|
惡意程式防護事件
|
|
嚴重性
|
整數
|
1=資訊, 2=警告, 3=錯誤
|
系統事件
|
|
嚴重性
|
整數(枚舉)
|
1=低, 2=中, 3=高, 4=嚴重
|
完整性監控事件,入侵防護事件
|
|
嚴重性
|
字串
|
將嚴重性轉換為人類可讀的字串。
|
系統事件、完整性監控事件、入侵防護事件
|
|
嚴重性
|
字串
|
將 OSSEC_Level 轉換為人類可讀的字串。
|
日誌檢查事件
|
|
SHA1
|
字串
|
軟體的 SHA-1 校驗和(哈希),如果有的話。
|
Application Control 事件
|
|
SHA256
|
字串
|
軟體的 SHA-256 校驗和(雜湊),如果有的話。
|
Application Control 事件
|
|
來源IP
|
字串 (IP)
|
封包的來源 IP 位址。
|
防火牆事件,入侵防護事件
|
|
來源MAC
|
字串 (MAC)
|
封包的來源 MAC 位址。
|
防火牆事件,入侵防護事件
|
|
來源埠
|
整數
|
封包的網路來源通訊埠號碼。
|
防火牆事件,入侵防護事件
|
|
狀態
|
整數
|
如果此事件不是由特定的防火牆規則生成的,那麼此狀態是大約 50 條硬編碼規則之一,例如 123=超出允許的政策
|
防火牆事件
|
|
狀態
|
整數
|
如果此事件不是由特定的 IPS 規則生成的,那麼此狀態是大約 50 個硬編碼原因之一,例如 -504=無效的 UTF8 編碼
|
入侵防護事件
|
|
標籤
|
字串
|
逗號分隔的標籤列表已應用於事件。此列表僅包括在生成事件時自動應用的標籤。
|
所有事件類型
|
|
標籤集ID
|
整數
|
應用於事件的標籤組識別碼。
|
所有事件類型
|
|
目標ID
|
整數
|
事件目標的唯一識別碼。此識別碼在同一租戶內的相同類型目標中是唯一的。目標 ID 可能會在不同類型之間重複使用,例如,電腦防護和政策都可能具有目標 ID 10。
|
系統事件
|
|
目標IP
|
字串 (IP)
|
生成網頁信譽評等事件時所聯絡的 IP 位址。
|
網頁信譽評等事件
|
|
目標名稱
|
字串
|
事件目標的名稱。系統事件的目標可以是許多事物,包括電腦、政策、使用者、角色和任務。
|
系統事件
|
|
目標類型
|
字串
|
事件目標的類型。
|
系統事件
|
|
TenantGUID
|
字串
|
與事件相關的租戶的全域唯一識別碼 (GUID)。
|
所有事件類型
|
|
租戶ID
|
整數
|
與事件相關的租戶唯一標識符。
|
所有事件類型
|
|
租戶名稱
|
字串
|
與事件相關的租戶名稱。
|
所有事件類型
|
|
ThreadID
|
字串
|
導致事件的執行緒(來自容器)的 ID。
|
入侵防護事件,防火牆事件
|
|
標題
|
字串
|
事件標題。
|
系統事件
|
|
唯一ID
|
整數
|
事件的全球唯一識別碼。該欄位可在所有平台、服務和存儲類型中唯一識別事件。
|
所有事件類型
|
|
URL
|
字串 (URL)
|
正在訪問的 URL 生成了該事件。
|
網頁信譽評等事件
|
|
使用者
|
字串
|
如果已知,成為完整性監控事件目標的使用者帳號。
|
完整性監控事件
|
|
用戶ID
|
字串
|
使用者帳號嘗試啟動軟體時的使用者識別碼 (UID),如果有的話,例如 "0"。
|
Application Control 事件
|
|
使用者名稱
|
字串
|
對於惡意程式防護事件,這是觸發事件的使用者帳號名稱。
對於 Application Control 事件,這是嘗試啟動軟體的使用者帳號的使用者名稱(如果有的話),例如 "root"。
|
惡意程式防護事件,Application Control 事件
|
事件屬性的資料防護類型
事件以 JSON 轉發時通常使用字串來編碼其他資料類型。
|
資料防護類型
|
說明
|
||
|
陣列 (位元組)
|
JSON
array, 由位元組值組成。 |
||
|
布林值
|
JSON
true或 false. |
||
|
整數
|
JSON
int. Server & Workload Security保護 不會在事件中輸出浮點數。
|
||
|
整數(枚舉)
|
JSON
int,限制為一組列舉值。 |
||
|
字串
|
JSON
string. |
||
|
字串 (日期)
|
JSON
string, 格式化為 YYYY-MM-DDThh:mm:ss.sssZ(ISO 8601)模式的日期和時間。'Z' 是時區。'sss' 是毫秒的三位數字。另請參閱 W3C 關於日期和時間格式的說明。 |
||
|
字串 (IP)
|
JSON
string, 格式化為 IPv4 或 IPv6 位址。 |
||
|
字串 (MAC)
|
JSON
string, 格式化為網路 MAC 位址。 |
||
|
字串 (URL)
|
JSON
string, 格式化為 URL。 |
||
|
字串 (列舉)
|
JSON
string, 限制為一組列舉值。 |
JSON 格式的範例事件
系統事件
{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"ActionBy":"System",
"CloudOneAccountID": "012345678900"
"Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
"EventID":6813,
"EventType":"SystemEvent",
"LogDate":"2018-12-04T15:54:24.086Z",
"ManagerNodeID":123,
"ManagerNodeName":"job7-123",
"Number":192,
"Origin":3,
"OriginString":"Manager",
"Severity":1,
"SeverityString":"Info",
"Tags":"\",
"TargetID":1,
"TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
"TargetType":"Host",
"TenantID":123,
"TenantName":"Umbrella Corp.",
"Title":"Alert Ended"
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
}
]",
"Timestamp" : "2018-12-04T15:54:25.130Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
惡意程式防護事件
每個 SNS
Message 中可以包含多個病毒偵測事件。(為簡潔起見,重複的事件屬性在下方省略,以 "..." 表示。){
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"AMTarget": "VDSO memory",
"AMTargetCount": 1,
"AMTargetType": 7,
"AMTargetTypeString": "Memory",
"ATSEDetectionLevel": 0,
"BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
"BehaviorType": "Exploit_Detection",
"CloudOneAccountID": "012345678900"
"CommandLine": "/tmp/demo -f esiv [xxxx]",
"Cve": "CVE-2016-5195",
"ErrorCode": 0,
"EventID": 1179519,
"EventType": "AntiMalwareEvent",
"FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
"HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
"HostAgentVersion": "20.0.0.1685",
"HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
"HostID": 38,
"HostLastIPUsed": "172.31.21.47",
"HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
"HostSecurityPolicyID": 11,
"HostSecurityPolicyName": "Linux_AM_Sensor",
"Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
"InfectedFilePath": "/tmp/demo",
"LogDate": "2021-01-07T10:32:11.000Z",
"MajorVirusType": 14,
"MajorVirusTypeString": "Suspicious Activity",
"MalwareName": "TM_MALWARE_BEHAVIOR",
"MalwareType": 4,
"Mitre": "T1068",
"Origin": 0,
"OriginString": "Agent",
"PatternVersion": "1.2.1189",
"Process": "testsys_m64",
"Protocol": 0,
"Reason": "Default Real-Time Scan Configuration",
"ScanAction1": 1,
"ScanAction2": 0,
"ScanResultAction1": 0,
"ScanResultAction2": 0,
"ScanResultString": "Passed",
"ScanType": 0,
"ScanTypeString": "Real Time",
"Tags": "",
"TenantGUID": "",
"TenantID": 0,
"TenantName": "Primary",
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
"UserName": "root"
}
]",
"Timestamp" : "2018-12-04T15:57:50.833Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}