事件类型
|
事件名称和说明
|
关键及其价值描述
|
sensors
|
管理 Sensor 组件
将 Sensor 组件连接到 Central Node 服务器,修改组件设置。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
sb
|
配置与 Sandbox 组件的集成
将 Sandbox 组件连接到 Central Node 服务器。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
ex_integration
|
配置与外部系统的集成
配置与外部系统的集成。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
ksn_kpsn_mdr
|
参与 KSN、KPSN 和 MDR
配置参与卡巴斯基安全网络、启用或禁用卡巴斯基私人安全网络的使用以及配置与 Kaspersky Managed Detection and Response 的集成。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
yara
|
管理 YARA 规则
YARA 规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。设备外部 ID = <分布式方案模式下的主机 ID>。cs1label = <被上传文件的名称>。
|
ioc
|
管理入侵指标
IOC 规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。deviceExternalID = <分布式方案模式下主机的标识符>。
|
ids
|
管理 IDS 规则
IDS 规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。deviceExternalID = <分布式方案模式下主机的标识符>。
|
taa
|
管理 TAA 规则
TAA (IOA) 规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
sb rules
|
管理 Sandbox 规则
Sandbox 规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
prevention
|
管理防御规则
防御规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
exclusions
|
管理扫描排除项
扫描排除规则操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
endpoint_agents
|
管理 Endpoint Agent 主机
对安装了 Endpoint Agent 组件的主机进行的操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
tasks
|
管理任务
任务操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
network_isolation
|
Endpoint Agent 主机的网络隔离
Endpoint Agent 主机的网络隔离。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
settings
|
设置
修改 Central Node 服务器设置。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
settings
|
设置
虚拟机操作系统集被更改为<操作系统集的版本>。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。cs1label = <设置得到更新的服务器的名称>。
|
mt
|
管理 CN、PCN 和 SCN 服务器
修改分布式和下主 Central Node 和从属 Central Node 服务器的设置。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
user_account
|
管理用户账户
对户账户的操作。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
notifications
|
发送通知
配置电子邮件通知。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|
license
|
授权许可
管理授权许可密钥。
|
dvs = <服务器的 IP 地址>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。用户 = <用户名>。cs1 = <事件类型>。
|