有关“远程连接”事件的信息
显示“到远程主机的连接”事件信息的窗口包含以下详细信息:
- 事件树。
- 处理事件时可以执行的操作。
- 到远程主机的连接部分:
- “TLS”部分:
- 版本 — 协议的版本。
- SNI — 要连接的网站的名称。
- 加密 SNI — 网站的加密名称。
- 证书 MD5 — 证书文件的 MD5 哈希。
- 证书 SHA1 — 证书文件的 SHA1 哈希。
- 证书颁发者名称 — 签署证书的组织的名称。
- 序列号 — 证书的唯一号码。
- 证书验证结果 — 证书验证的结果。
- 证书有效期自 — 证书有效的日期。
- 证书有效期至 — 证书过期的日期。
- JA3 — 客户端 hello 数据包中以下字段的十进制字节值:TLS 版本、密码套件、TLS 协议扩展列表、椭圆曲线和椭圆曲线格式。要分隔字段,请使用“ ,”字符;要分隔每个字段中的值,请使用“-”字符。
- JA3S — 服务器 hello 数据包中以下字段的十进制字节值:TLS 版本、密码套件和 TLS 协议扩展列表。要分隔字段,请使用“ ,”字符;要分隔每个字段中的值,请使用“-”字符。
- JA3 MD5 — JA3 指纹。
- JA3S MD5 — JA3S 指纹。
- 事件发起者部分:
- 文件 — 父进程文件的名称。
- MD5 — 父进程文件的 MD5 哈希。
- SHA256 — 父进程文件的 SHA256 哈希。
- 系统信息部分:
单击到远程主机的连接部分中包含文件名或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
单击事件发起者部分中包含文件名或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
单击具有主机名的链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 运行以下任务:
- 获取数据 → 文件、取证、磁盘镜像、内存转储。
- 杀死进程。
- 删除文件。
- 隔离文件。
- 运行应用程序。
- 复制值到剪贴板。
单击 MD5 链接将打开一个列表,您可以从其中选择以下操作之一:
单击 SHA256 链接将打开一个列表,您可以从其中选择以下操作之一:
页面顶部