本文介绍了 Endpoint Protection Platform 的系统事件类型(见下表)。
使用 Endpoint Protection Platform (EPP) 技术的系统事件类型
代码 |
事件类型标题 |
注册条件 |
|---|---|---|
4000005500 |
特定于网络攻击的活动 |
集成服务器收到有关触发 EPP 应用程序的网络威胁防护组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005501 |
连接不受信任的外部设备 |
集成服务器收到有关触发 EPP 应用程序的设备控制组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005502 |
尝试运行未经授权或不受信任的应用程序 |
集成服务器收到有关触发 EPP 应用程序的设备控制组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005503 |
指定监控范围中被禁止的文件操作 |
集成服务器收到有关触发 EPP 应用程序的文件完整性监控组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005504 |
指定监控范围内的文件被修改 |
集成服务器收到有关触发 EPP 应用程序的基线文件完整性监控组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005505 |
网络连接不被防火墙规则允许 |
集成服务器收到有关触发 EPP 应用程序的防火墙管理组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005506 |
指定监视范围内的系统注册表修改 |
集成服务器接收到有关触发 EPP 应用程序的注册表访问监视器组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005507 |
日志分析规则被触发 |
集成服务器收到有关触发 EPP 应用程序的日志审查组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005508 |
尝试利用受保护进程中的漏洞 |
集成服务器收到有关触发 EPP 应用程序的漏洞保护组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005509 |
尝试恶意加密网络文件资源 |
集成服务器收到了有关触发 EPP 应用程序的反加密勒索组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005510 |
尝试连接到 Wi-Fi 网络 |
集成服务器收到有关触发 EPP 应用程序的 Wi-Fi 控制组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005512 |
检测到受感染或可能受感染的对象 |
集成服务器收到有关触发 EPP 应用程序的实时文件保护组件的信息。 在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。 |
4000005513 |
Sigma 规则 $sigmaAlertTitle 已触发 |
集成服务器收到有关触发 Endpoint Agent 组件 Sigma 规则的数据。 事件类型的标题和描述中使用了以下变量:
|