端点保护平台技术的系统事件类型

本文介绍了 Endpoint Protection Platform 的系统事件类型(见下表)。

使用 Endpoint Protection Platform (EPP) 技术的系统事件类型

代码

事件类型标题

注册条件

4000005500

特定于网络攻击的活动

集成服务器收到有关触发 EPP 应用程序的网络威胁防护组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005501

连接不受信任的外部设备

集成服务器收到有关触发 EPP 应用程序的设备控制组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005502

尝试运行未经授权或不受信任的应用程序

集成服务器收到有关触发 EPP 应用程序的设备控制组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005503

指定监控范围中被禁止的文件操作

集成服务器收到有关触发 EPP 应用程序的文件完整性监控组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005504

指定监控范围内的文件被修改

集成服务器收到有关触发 EPP 应用程序的基线文件完整性监控组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005505

网络连接不被防火墙规则允许

集成服务器收到有关触发 EPP 应用程序的防火墙管理组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005506

指定监视范围内的系统注册表修改

集成服务器接收到有关触发 EPP 应用程序的注册表访问监视器组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005507

日志分析规则被触发

集成服务器收到有关触发 EPP 应用程序的日志审查组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005508

尝试利用受保护进程中的漏洞

集成服务器收到有关触发 EPP 应用程序的漏洞保护组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005509

尝试恶意加密网络文件资源

集成服务器收到了有关触发 EPP 应用程序的反加密勒索组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005510

尝试连接到 Wi-Fi 网络

集成服务器收到有关触发 EPP 应用程序的 Wi-Fi 控制组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005512

检测到受感染或可能受感染的对象

集成服务器收到有关触发 EPP 应用程序的实时文件保护组件的信息。

在事件类型的描述中,$epp_event_description 变量被用于来自 EPP 应用程序的信息。

4000005513

Sigma 规则 $sigmaAlertTitle 已触发

集成服务器收到有关触发 Endpoint Agent 组件 Sigma 规则的数据。

事件类型的标题和描述中使用了以下变量:

  • $sigmaAlertTitle – Sigma 规则名称
  • $sigma_detection_type – 检测技术
  • $sigma_object_type – 触发 Sigma 规则的对象类型
  • $sigma_object_name – 触发 Sigma 规则的对象名称或第一个触发的 Sigma 规则的名称
  • $sigma_status – 检测状态

页面顶部