入侵防護事件

入侵防護事件顯示哪些資訊？

• Time：事件在電腦防護上發生的時間。
• 電腦防護：記錄此事件的電腦防護。（如果電腦防護已被移除，此項將顯示為“未知電腦防護”。）
• Reason：與此事件相關的入侵防護規則。
• Tag(s)：與事件相關的任何標籤。
• Application Type：與導致此事件的入侵防護規則相關的應用程式類型。
• 處理行動：入侵防護規則所採取的動作（封鎖或重置）。如果規則處於Detect Only模式，則動作前會加上「僅偵測：」。 - Rank：排名系統提供了一種量化入侵防護和防火牆事件重要性的方法。通過為電腦分配「資產值」，並為入侵防護規則和防火牆規則分配「嚴重性值」，事件的重要性（「排名」）是通過將這兩個值相乘來計算的。這使您在查看入侵防護或防火牆事件時可以按排名排序事件。
• Severity：入侵防護規則的嚴重性值。
• Direction：封包的方向（進入或發出）。
• Flow：觸發此事件的封包是按照（「連線流」）還是反向（「反向流」）入侵防護規則監控的流量方向進行。
• Interface：封包通過的介面之 MAC 位址。
• Frame Type：所詢封包的框架類型。可能的值為 "IPV4"、"IPV6"、"ARP"、"REVARP" 和 "Other: XXXX"，其中 XXXX 代表框架類型的四位十六進位代碼。
• 通訊協定：可能的值為 "ICMP"、"ICMPV6"、"IGMP"、"GGP"、"TCP"、"PUP"、"UDP"、"IDP"、"ND"、"RAW"、"TCP+UDP" 和 "Other: nnn"，其中 nnn 代表一個三位數的十進位值。
• Flags：封包中設定的標誌。
• 來源 IP：封包的來源 IP。
• Source MAC：封包的來源 MAC 位址。
• 來源通訊埠：封包的來源通訊埠。
• 目標 IP：封包的目標 IP 位址。
• Destination MAC：封包的目的地 MAC 位址。
• 目標通訊埠：封包的目標通訊埠。
• Packet Size：封包的大小（位元組）。
• Repeat Count：事件連續重複的次數。
• Time (microseconds)：事件在電腦防護上發生的時間，精確到微秒。
• Event Origin：事件來源的 Server & Workload Security保護 組件。

• Interface Type：容器介面類型。
• Container Name：事件發生的容器名稱。
• Container ID：事件發生的容器 ID。
• Image Name：用於創建發生事件的容器的映像名稱。
• RepoDigest：識別容器映像的唯一摘要。
• Process Name：導致事件的容器中的進程名稱。

查看其他入侵防護事件資訊

• Note：事件的有意義字串，例如 CVE 代碼。
• End Time：封包最近被看到的時間。
• Position In Buffer：封包中的位置。
• Position In Stream：在 TCP/IP 流中的封包位置。
• Data Flags：有關資料防護標誌值的詳細資訊，請參閱下表：

• Data Index：封包資料的唯一 ID（dataId）。所有具有相同 dataId 的記錄都來自同一個封包。
• 資料防護：封包的有效負載。
• Original IP (XFF)：顯示客戶端的原始 IP 位址。要獲取此欄位的資料，請啟用規則 1006450 - Enable X-Forwarded-For HTTP Header Logging。

• Process ID：容器報告的進程 ID。
• Thread ID：容器報告的執行緒 ID。
• Image ID：容器映像檔的本地 ID。
• Pod ID：Pod ID（如果適用）。

所有入侵防護事件列表