事件搜索条件

以下搜索条件可用于搜索事件：

• 常规信息：
  • 主机是主机名。
  • HostIP 是主机的 IP 地址。
  • EventType 是事件的类型。
  • UserName 是用户的名称。
  • OsFamily 是操作系统家族。
  • OsVersion 是主机上使用的操作系统的版本。
• TAA 属性：
  • IOAId 是 TAA (IOA) 规则 ID。
  • IOATag 是有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。
  • IOATechnique 是 MITRE 技术。
  • IOATactics 是 MITRE 策略。
  • IOAImportance 是分配给使用此 TAA (IOA) 规则生成的事件的重要性级别。
  • IOAConfidence 是置信度，取决于规则引起误报的可能性。
• 文件属性：
  • CreationTime 是事件创建时间。
  • FileName 是文件的名称。
  • FilePath 是文件所在目录的路径。
  • FileFullName 是文件的完整路径。包括目录路径和文件名。
  • ModificationTime 是文件修改时间。
  • FileSize 是文件的大小。
  • MD5 是文件的 MD5 哈希值。
  • SHA256 是文件的 SHA256 哈希值。
  • LikeDLLPath — 放置在标准搜索路径上的目录中的恶意 DLL，以使操作系统在原始 DLL 之前加载它。
• Linux 进程：
  • LogonRemoteHost 是发起远程访问的主机的 IP 地址。
  • RealUserName 是用户在系统中注册时分配的用户名。
  • EffectiveUserName 是用于登录系统的用户名。
  • Environment 是系统环境变量。
  • ProcessType 是进程类型。
  • OperationResult 是操作结果。
  • FileOwnerUserName 是文件所有者的名称。
  • RealGroupName 是用户组的名称。
  • EffectiveGroupName 是用于操作的用户组的名称。
• 进程已启动：
  • PID 是进程 ID。
  • ParentFileFullName 是父进程文件的路径。
  • ParentMD5 是父进程文件的 MD5 哈希值。
  • ParentSHA256 是父进程文件的 SHA256 哈希值。
  • StartupParameters 是进程启动时使用的选项。
  • ParentPID 是父进程 ID。
  • ParentStartupParameters 是父进程的启动设置。
• 远程连接：
  • HTTPMethod 是HTTP 请求方法。例如，Get、Post 或 Connect。
  • ConnectionDirection 是连接的方向（入站或出站）。
  • LocalIP 是从其进行远程连接尝试的本地计算机的 IP 地址。
  • LocalPort 是从其进行远程连接尝试的本地计算机的 IP 地址。
  • RemoteHostName 是远程连接尝试目标的计算机的名称。
  • RemoteIP 是远程连接尝试目标的计算机的 IP 地址。
  • RemotePort 是远程连接尝试目标的计算机的端口。
  • UR1 是向其发出 HTTP 请求的资源的地址。
• 注册表已修改：
  • RegistryKey 是注册表项。
  • RegistryValueName 是注册表值的名称。
  • RegistrationValue 是注册表值的数据。
  • RegistryOperationType 是注册表操作的类型。
  • RegistryPreviousKey 是上一个注册表项。
  • RegistryPreviousValue 是注册表值的先前名称。
• 系统事件日志：
  • WinLogEventID 是 Windows 日志中安全事件的类型 ID。
  • LinuxEventType 是事件的类型。此标准用于 Linux 和 macOS 操作系统。
  • WinLogName 是日志的名称。
  • WinLogEventRecordID 是日志条目 ID。
  • WinLogProviderName 是记录事件的系统的 ID。
  • WinLogTargetDomainName 是远程计算机的域名。
  • WinLogObjectName 是发起事件的对象的名称。
  • WinlogPackageName 是启动事件的软件包的名称。
  • WinLogProcessName 是启动事件的进程的名称。
• 检测和处理结果：
  • DetectName 是检测到的对象的名称。
  • RecordID 是触发规则的ID。
  • ProcessingMode 是扫描模式。
  • ObjectName 是对象的名称。
  • ObjectType 是对象的类型。
  • ThreatStatus 是检测模式。
  • UntreatedReason 是事件处理状态。
  • ObjectContent（也适用于 AMSI 事件）是被发送进行扫描的脚本的内容。
  • ObjectContentType（也适用于 AMSI 事件）是脚本内容的类型。
• 控制台交互输入：
  • InteractiveInputText 是在命令行中输入的文本。
  • InteractiveInputType 是输入类型（控制台或管道）。
• 文件已修改：
  • FileOperationType 是文件操作类型。
  • FilePreviousPath 是文件先前所在目录的路径。
  • FilePreviousName 是文件以前的名称。
  • FilePreviousFullName 是文件的全名，包括文件先前所在目录的路径和/或先前的文件名。
  • DroppedFileType 是修改后的文件的类型。

页面顶部