本文介紹了 Endpoint Protection Platform 的系統事件類型(見下表)。
使用 Endpoint Protection Platform (EPP) 技術的系統事件類型
代碼 |
事件類型標題 |
註冊條件 |
|---|---|---|
4000005500 |
特定於網路攻擊的活動 |
Integration Server收到有關觸發 EPP 應用程式的網路威脅防護元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005501 |
連接不受信任的外部裝置 |
Integration Server 收到有關觸發 EPP 應用程式的裝置控制元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005502 |
嘗試運行未經授權或不受信任的應用程式 |
Integration Server 收到有關觸發 EPP 應用程式的裝置控制元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005503 |
指定監控範圍中被禁止的檔案操作 |
Integration Server 收到有關觸發 EPP 應用程式的檔案完整性監控元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005504 |
指定監控範圍內的檔案被修改 |
Integration Server 收到有關觸發 EPP 應用程式的基線檔案完整性監控元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005505 |
網路連線不被防火牆規則允許 |
Integration Server 收到有關觸發 EPP 應用程式的防火牆管理元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005506 |
指定監視範圍內的系統登錄修改 |
Integration Server 接收有關觸發 EPP 應用程式的登錄檔存取監視器元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005507 |
日誌分析規則被觸發 |
Integration Server 收到有關觸發 EPP 應用程式的日誌審查元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005508 |
嘗試利用受防護處理程序中的弱點 |
Integration Server 收到有關觸發 EPP 應用程式的弱點防護元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005509 |
嘗試惡意加密網路檔案資源 |
Integration Server 收到了有關觸發 EPP 應用程式的反加密勒索元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005510 |
嘗試連線到 Wi-Fi 網路 |
Integration Server 收到有關觸發 EPP 應用程式的 Wi-Fi 控制元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005512 |
偵測到受感染或可能受感染的物件 |
Integration Server 收到有關觸發 EPP 應用程式的即時檔案防護元件的資訊。 在事件類型的描述中,$epp_event_description 變數被用於來自 EPP 應用程式的資訊。 |
4000005513 |
Sigma 規則 $sigmaAlertTitle 已觸發 |
Integration Server 收到有關觸發 Endpoint Agent 元件 Sigma 規則的資料。 事件類型的標題和描述中使用了以下變數:
|