下表列出了由端點代理監控和收集的 Windows 遙測數據。
有關搜尋應用程式的 eventId 和 eventSubId 對應的資訊,請參閱 eventId 和 eventSubId 對應。
|
類別
|
子類別
|
詳細資訊
|
|
處理活動
|
程序創建
|
通過標準設置收集
|
|
處理程序終止
|
需要啟用超敏感模式
|
|
|
進程訪問
|
通過標準設置收集
|
|
|
映像/程式庫已載入
|
通過標準設置收集
|
|
|
遠端執行緒建立
|
通過標準設置收集
|
|
|
進程篡改活動
|
通過標準設置收集
|
|
|
檔案操作
|
檔案建立
|
通過標準設置收集
|
|
檔案已開啟
|
需要啟用超敏感模式
|
|
|
檔案刪除
|
需要啟用超敏感模式
|
|
|
檔案的修改
|
通過標準設置收集
|
|
|
檔案重新命名
|
通過標準設置收集
|
|
|
使用者帳號活動
|
本機帳戶建立
|
需要啟用超敏感模式
通過 Windows 事件 ID 4720 收集。
|
|
本機帳戶修改
|
需要啟用超敏感模式
通過 Windows 事件 ID 4738 收集。
|
|
|
本機帳戶刪除
|
需要啟用超敏感模式
|
|
|
帳戶登入
|
通過 Windows 事件日誌收集
通過 Windows 事件 ID 4624 收集。
|
|
|
帳戶登出
|
通過 Windows 事件日誌收集
通過 Windows 事件 ID 4634 收集。
|
|
|
網路活動
|
TCP 連線
|
通過標準設置收集
|
|
UDP 連線
|
通過標準設置收集
|
|
|
URL
|
通過標準設置收集
|
|
|
DNS 查詢
|
通過標準設置收集
|
|
|
檔案已下載
|
通過標準設置收集
|
|
|
雜湊算法
|
MD5
|
通過標準設置收集
|
|
SHA
|
通過標準設置收集
|
|
|
登錄活動
|
鍵/值創建
|
通過標準設置收集
|
|
鍵/值創建
|
通過標準設置收集
|
|
|
鍵/值刪除
|
通過標準設置收集
|
|
|
排程任務活動
|
排程任務建立
|
需要啟用超敏感模式
通過 Windows 事件日誌收集
通過 Windows 事件 ID 4698 收集。
|
|
排程任務修改
|
需要啟用超敏感模式
通過 Windows 事件日誌收集
通過 Windows 事件 ID 4702 收集。
|
|
|
排程任務刪除
|
需要啟用超敏感模式
通過 Windows 事件日誌收集
通過 Windows 事件 ID 4699 收集。
|
|
|
服務活動
|
服務建立
|
需要啟用超敏感模式
通過 Windows 事件日誌收集
通過 Windows 事件 ID 4697/7045 收集。
|
|
服務修改
|
需要啟用超敏感模式
通過 Windows 事件日誌收集
僅透過 Windows 事件 ID 7040 收集Start Type修改。
|
|
|
驅動程式/模組活動
|
驅動程式已載入
|
需要啟用超敏感模式
|
|
命名管道活動
|
管道創建
|
需要啟用超敏感模式
|
|
管道連接
|
需要啟用超敏感模式
|
|
|
WMI 活動
|
WmiEventConsumerToFilter
|
通過 Windows 事件日誌收集
通過 Windows 事件 ID 5861 收集。
|
|
WmiEventConsumer
|
通過 Windows 事件日誌收集
通過 Windows 事件 ID 5861 收集。
|
|
|
WmiEventFilter
|
通過 Windows 事件日誌收集
通過 Windows 事件 ID 5861 收集。
|
|
|
BITS 工作活動
|
BITS 工作活動
|
通過 Windows 事件日誌收集
僅透過 Windows 事件 ID 3 收集新 BITS 任務的創建。
|
|
POWERSHELL 活動
|
腳本封鎖活動
|
通過標準設置收集
|