事件類型
|
事件名稱和說明
|
關鍵及其價值描述
|
alerts
|
在警示上執行的使用者操作
警示操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <指派了警示的使用者>。externalId = <警示 ID>。
|
ep
|
管理具有 Endpoint Agent 元件的主機
對安裝了 Endpoint Agent 元件的主機所進行的操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <具有 Endpoint Agent 元件的主機的名稱>。
|
storage
|
管理儲存和隔離區中的物件
對儲存區和隔離區中物件進行的操作
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <放置在儲存區或隔離區中的檔案的名稱>。
|
sensors
|
管理 Sensor 元件
將 Sensor 元件連線到 Central Node 伺服器,修改元件設定。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
sb
|
配置與 Sandbox 元件的整合
將 Sandbox 元件連線到 Central Node 伺服器。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
ex_integration
|
配置與外部系統的整合
配置與外部系統的整合。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
ksn_kpsn_mdr
|
參與 KSN、KPSN 和 MDR
配置參與卡巴斯基安全網路、啟用或停用卡巴斯基私人安全網路的使用以及配置與 Kaspersky Managed Detection and Response 的整合。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
yara
|
管理 YARA 規則
YARA 規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <被上傳檔案的名稱>。
|
ioc
|
管理入侵指標
IOC 規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
ids
|
管理 IDS 規則
IDS 規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
taa
|
管理 TAA 規則
TAA (IOA) 規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
sb_rules
|
管理 Sandbox 規則
Sandbox 規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
prevention
|
管理防禦規則
防禦規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
exclusions
|
管理掃描排除項目
掃描排除規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
tasks
|
管理工作
工作操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
network_isolation
|
Endpoint Agent 主機的網路隔離
Endpoint Agent 主機的網路隔離。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
settings
|
設定
修改 Central Node 伺服器設定
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
vip
|
管理分配 VIP 狀態的規則
為警示指派 VIP 狀態的規則操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
report
|
管理報告
報告操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <報告或報告範本的名稱>。
|
mt
|
管理 CN、PCN 和 SCN 伺服器
修改分佈式和下主 Central Node 和從屬 Central Node 伺服器的設定。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
user_account
|
管理使用者帳戶
對使用者帳戶的操作。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <建立或編輯其帳戶的使用者的名稱>。cn1 = <失敗的授權嘗試次數>。
|
授權嘗試失敗次數已超出
授權嘗試失敗次數超出限制。
|
notifications
|
傳送通知
配置電子郵件通知。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
license
|
產品授權
管理產品授權金鑰。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。
|
system_health
|
系統健康
檢查應用程式元件的健康狀況。
|
dvchost = <Central Node 的主機名稱>。eventId = 事件 ID>。rt = <事件日期和時間>。src =<使用者的 IP 位址>。suser = <使用者名稱>。cs1 = <事件類型>。cs1label = <元件物件>。msg = <檢查結果>。
|
