IOC 掃描結果

根據處理物件的類型，入侵指標搜尋結果視窗指示器可能顯示以下資訊：

• ARP 協議：
  • ARP 表中的 IP 位址。
  • ARP 表中的物理位址。
• DNS 記錄：
  • DNS 記錄的類型和名稱。
  • 受防護電腦的 IP 位址。
• Windows 日誌事件：
  • 事件日誌中的條目 ID。
  • 日誌中的資料來源名稱。
  • 日誌名稱。
  • 使用者帳戶。
  • 事件時間。
• 檔案：
  • 檔案的 MD5 雜湊。
  • 檔案的 SHA256 雜湊。
  • 檔案完整名稱（包括路徑）。
  • 檔案大小。
• 連接埠：
  • 掃描時與其建立連線的遠端 IP 位址。
  • 掃描時與其建立連線的遠端連接埠。
  • 本機介面卡的 IP 位址。
  • 本機介面卡上開啟的連接埠。
  • 作為數字的協議（根據 IANA 標準）。
• 處理程序：
  • 處理程序名稱。
  • 處理程序參數。
  • 處理程序檔案路徑。
  • 處理程序的 Windows ID (PID)。
  • 父處理程序的 Windows ID (PID)。
  • 啟動處理程序的使用者帳戶名稱。
  • 處理程序開始的日期和時間。
• 服務：
  • 服務名稱。
  • 服務說明。
  • DLL 服務的路徑和名稱（對於 Svchost）。
  • 服務的可執行檔的路徑和名稱。
  • 服務的 Windows ID (PID)。
  • 服務類型（例如，核心驅動程式或介面卡）。
  • 服務狀態。
  • 服務運作模式。
• 使用者：
  • 使用者帳戶名稱。
• 卷：
  • 卷名。
  • 卷符。
  • 卷類型。
• 登錄檔：
  • Windows 登錄機碼。
  • 登錄檔配置單元值。
  • 登錄機碼的路徑（沒有組態單元或值名稱）。
  • 登錄檔參數。
• 環境變量：
  • 受防護電腦的實體（MAC）位址。
  • 系統（環境）。
  • 作業系統名稱和版本。
  • 受防護裝置的網路名稱。
  • 受防護電腦所屬的網域和群組。

IOC部分顯示 IOC 檔案的結構。如果處理的物件與 IOC 規則的條件匹配，則該條件會反白顯示。如果處理的物件符合多個條件，則整個分支的文字會被反白顯示。

另請參閱 檢視警示 檢視警示詳細資訊 有關任何類型警示的一般資訊 物件資訊部分中的資訊 “警示詳情”部分的資訊 “有關使用 NDR 技術進行掃描的資訊”部分中的資訊 掃描結果部分的資訊 IDS 規則部分中的資訊 URL 部分的資訊 “偵測相關裝置的 IP 位址”部分的資訊 網路事件部分的資訊 Sandbox 中的掃描結果 主機部分中的資訊 “變更日誌”部分中的資訊 傳送警示資料 檢視警示關係

頁面頂部