file_web

偵測到來自 Web 的檔案

在網路流量中偵測到檔案。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <偵測的日期和時間，UTC>。
• dst = <目標 IP 位址>。
• dpt = <目標連接埠>。
• src = <來源 IP 位址>。
• spt = <來源連接埠>。
• shost = <偵測到檔案的主機的名稱>。
• suser = <使用者名稱>。
• fName = <復合物件内檔案的路徑>。
• fsize = <復合物件中檔案的大小（以位元組為單位）>。
• fileType = <復合物件中檔案的格式>。
• fileHash = <復合物件中檔案的 MD5 雜湊>。
• KasperskyLabKATAcompositeFilePath = <復合物件的名稱>。
• KasperskyLabKATAcompositeFileSize = <復合物件的總大小（以位元組為單位）>。
• KasperskyLabKATAcompositeFileHash = <復合物件的 MD5 雜湊>。
• KasperskyLabKATAfileSHA256 = <復合物件的 SHA256 雜湊>。
• cs2 = <用於偵測檔案的技術>。
• cs3Label = <偵測到檔案的虛擬機的名稱（僅限 Sandbox 元件）。
• cs1 = <根據卡巴斯基實驗室類別偵測到的物件的名稱>。
• cs3 = <用於掃描檔案的資料庫的版本>。
• app = <應用程式層協議名稱> (HTTP(S) 或 FTP)。
• requestMethod = <HTTP 請求方法>（僅適用於 HTTP(S) 協定）。
• requestClientApplication = <用戶端電腦的使用者代理>（僅適用於 HTTP(S) 協定）。
• request = <偵測到的物件的 URL>（僅適用於 HTTP(S) 協定）。
• requestContext = <HTTP Referrer 頭>（僅適用於 HTTP(S) 協定）。

file_mail

偵測到郵件的檔案

在郵件流量中偵測到檔案。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <警示的日期和時間，UTC>。
• fName = <復合物件内檔案的路徑>。
• fsize = <復合物件中檔案的大小（以位元組為單位）>。
• fileType = <復合物件中檔案的格式>。
• fileHash = <復合物件中檔案的 MD5 雜湊>。
• KasperskyLabKATAcompositeFilePath = <復合物件的名稱>。
• KasperskyLabKATAcompositeFileSize = <復合物件的總大小（以位元組為單位）>。
• KasperskyLabKATAcompositeFileHash = <復合物件的 MD5 雜湊>。
• KasperskyLabKATAfileSHA256 = <復合物件的 SHA256 雜湊>。
• KasperskyLabKATAmailEnvelopeFrom = <寄件者電子郵件信箱>（來自“已接收”標題）。
• KasperskyLabKATAmailFor = <收件者電子郵件信箱>（來自“已接收”標題）。
• KasperskyLabKATAmailRecievedFromIp = <郵件傳遞鏈中第一台伺服器的 IP 位址>（來自“已接收”標題）。
• cs2 = <用於偵測檔案的技術>。
• cs3Label = <偵測到檔案的虛擬機的名稱（僅限 Sandbox 元件）。
• cs1 = <根據卡巴斯基實驗室類別偵測到的物件的名稱>。
• cs3 = <用於掃描檔案的資料庫的版本>。
• externalId = <郵件訊息 ID>。
• suser = <寄件者的電子郵件信箱>。
• duser = <寄件者的電子郵件信箱>。
• msg = <郵件主旨>。

ids

偵測到的 IDS 事件

偵測由入侵偵測系統模組產生。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• requestMethod = <HTTP 請求方法>（僅適用於 HTTP(S) 協定）。
• requestClientApplication = <用戶端電腦的使用者代理>（僅適用於 HTTP(S) 協定）。
• rt = <警示的日期和時間，UTC>。
• dst = <目標 IP 位址>。
• dpt = <目標連接埠>。
• src = <來源 IP 位址>。
• spt = <來源連接埠>。
• proto =（TCP 或 UDP）。
• cs1 = <根據卡巴斯基實驗室類別偵測到的物件的類型>。
• cs2Label = <IDS 規則的名稱>。
• cs2 = <IDS 規則的編號>。
• cs3 = <入侵偵測系統模組資料庫版本>。
• requestMethod = <HTTP 請求方法>（僅適用於 HTTP(S) 協定）。
• requestClientApplication = <用戶端電腦的使用者代理>（僅適用於 HTTP(S) 協定）。
• request = <偵測到的物件的 URL>。

url_web

偵測到 Web 的 URL

網路流量中的 URL 信譽技術或 Sandbox 產生了一條警示。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <偵測的日期和時間，UTC>。
• dst = <目標 IP 位址>。
• dpt = <目標連接埠>。
• src = <來源 IP 位址>。
• spt = <來源連接埠>。
• shost = <偵測到檔案的主機的名稱>。
• suser = <使用者名稱>。
• cs1 = <偵測到的物件的 URL 所属的分類清單>。
• requestMethod = <HTTP 請求方法>。
• requestClientApplication = <用戶端電腦的使用者代理>。
• request = <偵測到的物件的 URL>。
• requestContext = <HTTP Referer 標頭>。
• reason = <HTTP 回應代碼>。

url_mail

偵測到郵件的 URL

郵件流量中的 URL 信譽技術或 Sandbox 產生了一條警示。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <警示的日期和時間，UTC>。
• externalId = <郵件訊息 ID>。
• suser = <寄件者的電子郵件信箱>。
• duser = <寄件者的電子郵件信箱>。
• KasperskyLabKATAmailEnvelopeFrom = <寄件者電子郵件信箱>（來自“已接收”標題）。
• KasperskyLabKATAmailFor = <收件者地址>（來自“已接收”標題）。
• KasperskyLabKATAmailRecievedFromIp = <郵件傳遞鏈中第一台伺服器的 IP 位址>（來自“已接收”標題）。
• msg = <郵件主旨>。
• request = <偵測到的物件的 URL>。
• cs2 =（Sandbox 或 URL信譽）。
• cs3Label = <偵測到檔案的虛擬機的名稱（僅限 Sandbox）。
• cs1 = <根據卡巴斯基實驗室分類偵測到的物件類型清單>（適用於 Sandbox 元件）或<類別清單>（適用於 URL 信譽）。
• cs3 = <用於掃描檔案的資料庫的版本>（僅適用於 Sandbox）。

dns

偵測到 DNS 請求

DNS 流量中的 URL 信譽技術產生了一則警示。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <偵測的日期和時間，UTC>。
• dst = <目標 IP 位址>。
• dpt = <目標連接埠>。
• src = <來源 IP 位址>。
• spt = <來源連接埠>。
• shost = <偵測到檔案的主機的名稱>。
• suser = <使用者名稱>。
• cs2 = <網域名稱所属的 URL 類別清單>。
• requestMethod = <DNS 資訊類型>（請求或回應）。
• flexString1 = <來自 DNS 請求的記錄類型>。
• dhost = <來自 DNS 請求的主機名稱>。
• cs1 = <DNS 回應中的網域名稱清單>。

file_endpoint

偵測到端點的檔案

使用者電腦上的 Endpoint Agent 元件產生了一條警示，並且該警示包含檔案。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <警示的日期和時間，UTC>。
• src = <來源 IP 位址>。
• shost = <偵測到檔案的主機的名稱>。
• fName = <復合物件内檔案的路徑>。
• fsize = <復合物件中檔案的大小（以位元組為單位）>。
• fileType = <復合物件中檔案的格式>。
• fileHash = <復合物件中檔案的 MD5 雜湊>。
• KasperskyLabKATAcompositeFilePath = <復合物件的名稱>。
• KasperskyLabKATAcompositeFileSize = <復合物件的總大小（以位元組為單位）>。
• KasperskyLabKATAcompositeFileHash = <復合物件的 MD5 雜湊>。
• KasperskyLabKATAfileSHA256 = <復合物件的 SHA256 雜湊>。
• cs2 = <用於偵測檔案的技術>。
• cs3Label = <偵測到檔案的虛擬機的名稱（僅限 Sandbox 元件）。
• cs1 = <根據卡巴斯基實驗室類別偵測到的物件的名稱>。
• cs3 = <用於掃描檔案的資料庫的版本>。
• app = <應用程式級協議>（HTTP(S) 或 FTP）。
• 檔案路徑= <Endpoint Agent 電腦上檔案的路徑>。

iocScanning

IOC 在端點上絆倒

此警示是在使用 Windows Endpoint Agent 元件對主機執行 IOC 掃描時產生的。

如果您使用 KEDR 功能，則可以使用此類警示。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <警示的日期和時間，UTC>。
• src = <來源 IP 位址>。
• shost = <偵測到檔案的主機的名稱>。
• cs1 = <產生警示的 IOC 檔案的名稱>。

taaScanning

TAA 在事件資料庫上絆倒

IOA 事件分析產生的偵測。

如果您使用 KEDR 功能，則可以使用此類偵測。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <警示的日期和時間，UTC>。
• shost = <產生偵測的主機名稱>。
• cs1 = <產生警示的 IOA 規則的名稱>。

yaraScanningEP

YARA 在端點上絆倒

此警示是在使用 Windows Endpoint Agent 元件對主機執行YARA 掃描時產生的。

如果您使用 KEDR 功能，則可以使用此類警示。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• eventId = <偵測 ID>。
• rt = <警示的日期和時間，UTC>。
• src = <來源 IP 位址>。
• shost= <產生警示的主機名稱>。
• cs1 = <產生警示的 YARA 規則的名稱>。

心跳

包含元件狀態的定期訊息。

• dvchost = <具有 Central Node 元件的伺服器名稱>。
• rt = <事件的日期和時間，UTC>。
• KasperskyLabKATAcomponentName = <元件的名稱>。
• KasperskyLabKATAcomponentState = <元件的狀態>（0 – OK, >0 – 錯誤）。