事件搜索条件
以下搜索条件可用于搜索事件:
- 常规信息:
- 主机是主机名。
- HostIP 是主机的 IP 地址。
- EventType 是事件的类型。
- UserName 是用户的名称。
- OsFamily 是操作系统家族。
- OsVersion 是主机上使用的操作系统的版本。
- TAA 属性:
- IOAId 是 TAA (IOA) 规则 ID。
- IOATag 是有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
- IOATechnique 是 MITRE 技术。
- IOATactics 是 MITRE 策略。
- IOAImportance 是分配给使用此 TAA (IOA) 规则生成的事件的重要性级别。
- IOAConfidence 是置信度,取决于规则引起误报的可能性。
- 文件属性:
- CreationTime 是事件创建时间。
- FileName 是文件的名称。
- FilePath 是文件所在目录的路径。
- FileFullName 是文件的完整路径。包括目录路径和文件名。
- ModificationTime 是文件修改时间。
- FileSize 是文件的大小。
- MD5 是文件的 MD5 哈希值。
- SHA256 是文件的 SHA256 哈希值。
- LikeDLLPath — 放置在标准搜索路径上的目录中的恶意 DLL,以使操作系统在原始 DLL 之前加载它。
- Linux 进程:
- LogonRemoteHost 是发起远程访问的主机的 IP 地址。
- RealUserName 是用户在系统中注册时分配的用户名。
- EffectiveUserName 是用于登录系统的用户名。
- Environment 是系统环境变量。
- ProcessType 是进程类型。
- OperationResult 是操作结果。
- FileOwnerUserName 是文件所有者的名称。
- RealGroupName 是用户组的名称。
- EffectiveGroupName 是用于操作的用户组的名称。
- 进程已启动:
- PID 是进程 ID。
- ParentFileFullName 是父进程文件的路径。
- ParentMD5 是父进程文件的 MD5 哈希值。
- ParentSHA256 是父进程文件的 SHA256 哈希值。
- StartupParameters 是进程启动时使用的选项。
- ParentPID 是父进程 ID。
- ParentStartupParameters 是父进程的启动设置。
- 远程连接:
- HTTPMethod 是HTTP 请求方法。例如,Get、Post 或 Connect。
- ConnectionDirection 是连接的方向(入站或出站)。
- LocalIP 是从其进行远程连接尝试的本地计算机的 IP 地址。
- LocalPort 是从其进行远程连接尝试的本地计算机的 IP 地址。
- RemoteHostName 是远程连接尝试目标的计算机的名称。
- RemoteIP 是远程连接尝试目标的计算机的 IP 地址。
- RemotePort 是远程连接尝试目标的计算机的端口。
- UR1 是向其发出 HTTP 请求的资源的地址。
- 注册表已修改:
- RegistryKey 是注册表项。
- RegistryValueName 是注册表值的名称。
- RegistrationValue 是注册表值的数据。
- RegistryOperationType 是注册表操作的类型。
- RegistryPreviousKey 是上一个注册表项。
- RegistryPreviousValue 是注册表值的先前名称。
- 系统事件日志:
- WinLogEventID 是 Windows 日志中安全事件的类型 ID。
- LinuxEventType 是事件的类型。此标准用于 Linux 和 macOS 操作系统。
- WinLogName 是日志的名称。
- WinLogEventRecordID 是日志条目 ID。
- WinLogProviderName 是记录事件的系统的 ID。
- WinLogTargetDomainName 是远程计算机的域名。
- WinLogObjectName 是发起事件的对象的名称。
- WinlogPackageName 是启动事件的软件包的名称。
- WinLogProcessName 是启动事件的进程的名称。
- 检测和处理结果:
- DetectName 是检测到的对象的名称。
- RecordID 是触发规则的ID。
- ProcessingMode 是扫描模式。
- ObjectName 是对象的名称。
- ObjectType 是对象的类型。
- ThreatStatus 是检测模式。
- UntreatedReason 是事件处理状态。
- ObjectContent(也适用于 AMSI 事件)是被发送进行扫描的脚本的内容。
- ObjectContentType(也适用于 AMSI 事件)是脚本内容的类型。
- 控制台交互输入:
- InteractiveInputText 是在命令行中输入的文本。
- InteractiveInputType 是输入类型(控制台或管道)。
- 文件已修改:
- FileOperationType 是文件操作类型。
- FilePreviousPath 是文件先前所在目录的路径。
- FilePreviousName 是文件以前的名称。
- FilePreviousFullName 是文件的全名,包括文件先前所在目录的路径和/或先前的文件名。
- DroppedFileType 是修改后的文件的类型。
页面顶部