HostName

string

Имя хоста.

HostIp

string

IP-адрес хоста.

EventType

string

Тип события. Может иметь следующие значения:

• process – запущен процесс.
• process_terminate – завершен процесс.
• module – загружен модуль.
• connection – удаленное соединение.
• applock – правило запрета.
• blockdocument – заблокирован документ.
• filechange – изменен файл.
• windowsevent – журнал событий ОС.
• registry – изменение в реестре.
• portlisten – прослушан порт.
• driver – загружен драйвер.
• threatdetect – обнаружение.
• threatprocessingresult – результат обработки обнаружения.
• amsiscan – AMSI-проверка.
• process_interpretated_file_run – интерпретированный запуск файла.
• process_console_interactive_input – интерактивный ввод команд в консоли.

UserName

string

Имя пользователя.

OsFamily

string

Семейство операционной системы.

OsVersion

string

Версия операционной системы, используемой на хосте.

Ioa.Rules.Id

string

Идентификатор правила TAA (IOA).

Ioa.Rules.Name

string

Информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

Ioa.Rules.Techniques

string

Техника MITRE.

Ioa.Rules.Tactics

string

Тактика MITRE.

Ioa.Severity

string

Степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).

Может иметь следующие значения:

• Low.
• Medium.
• High.

Ioa.Confidence

string

Уровень надежности в зависимости от вероятности ложных срабатываний правила.

Может иметь следующие значения:

• Low.
• Medium.
• High.

FileCreationTime

integer

Время создания файла.

DllCreationTime

integer

Время создания библиотеки DLL.

DroppedCreationTime

integer

Время создания измененного файла.

InterpretedFileCreationTime

integer

Время создания интерпретируемого файла.

FileName

string

Имя файла.

DllName

string

Имя библиотеки DLL.

DroppedName

string

Имя измененного файла.

BlockedName

string

Имя заблокированного файла.

InterpretedFileName

string

Имя интерпретируемого файла.

FilePath

string

Путь к директории, в которой располагается файл.

DllPath

string

Путь к директории, в которой располагается библиотека DLL.

DroppedPath

string

Путь к директории, в которой располагается измененный файл.

BlockedPath

string

Путь к директории, в которой располагается заблокированный файл.

InterpretedFilePath

string

Путь к директории, в которой располагается интерпретируемый файл.

FileFullName

string

Полный путь к файлу. Включает путь к директории и имя файла.

DllFullName

string

Полный путь к библиотеке DLL. Включает путь к директории и имя файла.

DroppedFullName

string

Полный путь к измененному файлу. Включает путь к директории и имя файла.

BlockedFullName

string

Полный путь к заблокированному файлу. Включает путь к директории и имя файла.

DetectedName

string

Полный путь к обнаруженному файлу. Включает путь к директории и имя файла.

OriginalFileName

string

Полный путь к исходному файлу. Включает путь к директории и имя файла.

InterpretedFileFullName

string

Полный путь к интерпретируемому файлу. Включает путь к директории и имя файла.

FileModificationTime

integer

Время изменения файла.

DllModificationTime

integer

Время изменения библиотеки DLL.

DroppedModificationTime

integer

Время изменения измененного файла.

InterpretedFileModificationTime

integer

Время изменения интерпретируемого файла.

FileSize

integer

Размер файла.

DllSize

integer

Размер библиотеки DLL.

DroppedSize

integer

Размер измененного файла.

InterpretedFileSize

integer

Размер интерпретируемого файла.

Md5

string

MD5-хеш файла.

DllMd5

string

MD5-хеш библиотеки DLL

DroppedMd5

string

MD5-хеш измененного файла.

InterpretedMd5

string

MD5-хеш интерпретируемого файла.

DetectedMd5

string

MD5-хеш обнаруженного файла.

Sha256

string

SHA256-хеш файла.

DllSha256

string

SHA256-хеш библиотеки DLL.

DroppedSha256

string

SHA256-хеш измененного файла.

BlockedSha256

string

SHA256-хеш заблокированного файла.

InterpretedSha256

string

SHA256-хеш интерпретируемого файла.

DetectedSha256

string

SHA256-хеш обнаруженного файла.

HijackingPath

string

Вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.

LogonRemoteHost

string

IP-адрес хоста, с которого был выполнен удаленный вход.

RealUserName

string

Имя пользователя, назначенное ему при регистрации в системе.

EffectiveUserName

string

Имя пользователя, которое было использовано для входа в систему.

Environment

string

Переменные окружения.

ProcessType

integer

Тип процесса. Может иметь следующие значения:

• 1 – exec.
• 2 – fork.
• 3 – vfork.
• 4 – clone.

LinuxOperationResult

string

Результат операции. Может иметь следующие значения:

• success.
• failed.

SystemPid

integer

Идентификатор процесса.

ParentFileFullName

string

Путь к файлу родительского процесса.

ParentMd5

string

MD5-хеш файла родительского процесса.

ParentSha256

string

SHA256-хеш файла родительского процесса.

StartupParameters

string

Параметры запуска процесса.

ParentSystemPid

integer

Идентификатор родительского процесса.

ParentStartupParameters

string

Параметры запуска родительского процесса.

Method

string

Метод HTTP-запроса.

Direction

string

Направление соединения. Может иметь следующие значения:

• inbound.
• outbound.

LocalIp

string

IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.

LocalPort

integer

Порт локального компьютера, с которого была произведена попытка удаленного соединения.

RemoteHostName

string

Имя компьютера, на который была произведена попытка удаленного соединения.

RemoteIp

string

IP-адрес компьютера, на который была произведена попытка удаленного соединения.

RemotePort

integer

Порт компьютера, на который была произведена попытка удаленного соединения.

URI

string

Адрес ресурса, к которому произведен запрос HTTP.

KeyName

string

Путь к ключу реестра.

ValueName

string

Имя параметра реестра.

ValueData

string

Значение параметра реестра.

RegistryOperationType

integer

Тип операции с реестром. Может иметь следующие значения:

• 0 – создан ключ реестра.
• 1 – удален ключ реестра.
• 2 – изменен реестр.
• 3 – переименован ключ реестра.

PreviousKeyName

string

Предыдущий путь к ключу реестра.

PreviousValueData

string

Предыдущее имя параметра реестра.

System.EventID.value

string

Идентификатор типа события безопасности в журнале Windows.

LinuxEventType
(поле используется для получения типа события, зафиксированного в журнале событий операционных систем Linux и macOS)

string

Тип события. Может иметь следующие значения:

• NewUserCreated – создана учетная запись.
• UserAccountDeleted – учетная запись пользователя удалена.
• GroupCreated – создана группа.
• GroupDeleted – изменена группа.
• MemberAddedToGroup – учетная запись добавлена в группу.
• UserPasswordChanged – изменен пароль учетной записи.
• LinuxAuth – выполнена аутентификация в ОС Linux и macOS.
• LinuxSessionStart – запущена сессия в ОС Linux и macOS.
• LinuxSessionEnd – завершена сессия ОС Linux и macOS.
• ServiceStart – запущена служба.
• ChangeAccountExpirationDate – изменен срок действия учетной записи.
• OperatingSystemShuttingDown – выключена операционная система.
• OperatingSystemStarted – запущена операционная система.
• ModifyPromiscuousMode – изменена работа неразборчивого режима.
• AuditdConfigurationChanged – изменены настройки аудита.

System.Channel.value

string

Имя журнала.

System.EventRecordID.value

string

Идентификатор записи в журнале

System.Provider.Name.value

string

Идентификатор системы, записавшей событие в журнал.

EventData.Data.TargetDomainName.value

string

Доменное имя удаленного компьютера.

EventData.Data.ObjectName.value

string

Имя объекта, инициировавшего событие.

EventData.Data.PackageName.value

string

Имя пакета, инициировавшего событие.

EventData.Data.ProcessName.value

string

Имя процесса, инициировавшего событие.

VerdictName

string

Имя обнаруженного объекта.

RecordId

integer

Идентификатор сработавшего правила.

ProcessingMode

string

Режим проверки. Может иметь следующие значения:

• Default – по умолчанию.
• OnDemand – при запросе.
• OnAccess – при доступе.
• OnExecute – при выполнении.
• OnDownload – при загрузке.
• OnStartup – при запуске приложений.
• OnMail – при отправке сообщения.
• OnPostpone – при отложенной проверке.
• OnDisinfect – при лечении.
• OnVulnerability – при поиске уязвимостей.
• OnFirstLaunch – при первом запуске.
• OnEngineLoad – при запуске системы.
• OnQuarantineRescan – при повторной проверке объектов в Хранилище.
• OnWebRequest – при веб-запросе.
• OnAmsiScan – при проверке AMSI.
• OnSystemWatcherScan – при анализе поведения приложений.

DetectedName

string

Имя объекта.

DetectedObjectType

string

Тип объекта. Может иметь следующие значения:

• Unknown – неизвестно.
• File – файл.
• LogicalDrive – логический диск.
• PhysicalDisk – физический диск.
• SystemMemory – системная память.
• MemoryProcess – память процесса.
• MemoryModule – модуль памяти.
• MailMsgRef – заголовок References сообщения электронной почты.
• MailMsgMime – MIME-вложения.
• MailMsgBody – текст сообщения электронной почты.
• MailMsgAttach – вложение сообщения электронной почты.
• StartUp – объекты автозапуска.
• Folder – директория.
• Script – скрипт.
• Url – URL-адрес.
• AmsiStream – поток проверки AMSI.

ThreatStatus

string

Режим обнаружения. Может иметь следующие значения:

• Untreated – объект не обработан.
• Untreatable – объект не поддается обработке.
• NotFound – объект не найден.
• Disinfected – объект вылечен.
• Deleted – объект удален.
• Quarantined – объект помещен на карантин.
• AddedByUser – объект добавлен пользователем.
• Unknown – неизвестно.
• AddedToExclude – объект добавлен в исключения.
• Terminated – обработка прервана.
• Clear – объект не заражен.
• FalseAlarm – ложное срабатывание.
• RolledBack – выполнен откат к предыдущему состоянию.
• IpNotBlocked – IP-адрес не заблокирован.
• IpBlocked – IP-адрес заблокирован.
• IpCannotBeBlocked – IP-адрес не может быть заблокирован.
• IpBlockIsNotRequired – не требуется блокировка IP-адреса.

UntreatedReason

string

Статус обработки объекта. Может иметь следующие значения:

• None – нет данных.
• NonCurable – объект невозможно вылечить.
• Locked – объект заблокирован.
• ReportOnly – приложение работает в режиме Только отчет.
• NoRights – нет прав на выполнение действия.
• Cancelled – обработка отменена.
• WriteProtect – объект защищен от записи.
• TaskStopped – задача на обработку прервана.
• Postponed – действие отложено.
• NonOverwritable – объект невозможно перезаписать.
• CopyFailed – не удалось создать копию объекта.
• WriteError – ошибка записи данных.
• OutOfSpace – нет места на диске.
• ReadError – ошибка чтения данных.
• DeviceNotReady – устройство не готово.
• ObjectNotFound – объект не найден.
• WriteNotSupported – запись данных не поддерживается.
• CannotBackup – не удалось создать резервную копию объекта.
• SystemCriticalObject – объект является критическим для системы.
• AlreadyProcessed – объект уже был обработан.

InteractiveInputText

string

Команда интерпретатора.

ObjectContent

string

Содержание скрипта, переданного на проверку.

ObjectContentType

integer

Тип содержимого скрипта. Может иметь следующие значения:

• 1 – текст.
• 2 – двоичный код.

FileOperationType

integer

Тип операции с файлом. Может иметь следующие значения:

• 1 – создан файл.
• 2 – изменен файл.
• 3 – переименован файл.
• 4 – изменены атрибуты файла.
• 5 – удален файл.
• 6 – прочитан файл.

PreviousFileName

string

Путь к директории, в которой файл располагался ранее.

PreviousFileFullName

string

Полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.

DroppedFileType

integer

Тип измененного файла. Может иметь следующие значения:

• 0 – неизвестно.
• 1 – другие файлы.
• 2 – образ PE.
• 3 – PE DLL.
• 4 – ресурсы PE.
• 5 – файл ресурсов .NET.
• 6 – файл ELF.