檢視事件表
事件表在事件資料庫中的威脅搜尋完成後顯示在應用程式 Web 介面視窗中的威脅搜尋部分。您可以按事件時間、事件類型、主機和使用者名稱列對表中的事件進行排序。
如果您使用分佈式解決方案和多租戶模式,表中的事件將按所選伺服器和租戶的主機進行分組。
事件表包含以下資訊:
- 事件時間— 偵測到事件的日期和時間。
- 事件類型,例如,處理程序已啟動。
- 主機名稱— 產生警示的主機名稱。
- 詳細資訊— 有關事件的資訊。
- 使用者名稱— 具有 Endpoint Agent 元件的電腦上的使用者名稱,其使用者帳戶被用來偵測事件。
在事件表中,詳細資訊列在事件類型列中顯示每種類型事件的資料集(請參閱下表)。
事件類型列中每個事件類型的詳細資訊列中的資料集
事件類型 |
詳細資訊 |
|---|---|
處理程序已啟動 |
已啟動的處理程序檔案的名稱。SHA256 和 MD5 雜湊。 |
模組已載入 |
已載入的動態函式庫的名稱。SHA256 和 MD5 雜湊。 |
到遠端主機的連線 |
進行遠端連線嘗試的 URL。嘗試建立遠端連線的檔案的名稱。 |
阻止的應用程式(阻止規則) |
阻止啟動的應用程式檔案的名稱。SHA256 和 MD5 雜湊。 |
檔案已封鎖 |
阻止啟動的檔案的名稱。SHA256 和 MD5 雜湊。 |
檔案已變更 |
建立的檔案的名稱。SHA256 和 MD5 雜湊。 |
系統事件日誌 |
用於在系統日誌中記錄事件的通道。事件類型 ID。 |
登錄檔已修改 |
登錄檔中鍵的名稱。 |
監聽的連接埠 |
伺服器位址和連接埠。監聽連接埠的處理程序檔案的名稱。 |
驅動程式已載入 |
載入的驅動程式的檔案名稱。SHA256 和 MD5 雜湊。 |
偵測 |
偵測到物件的檔案的名稱。偵測到的物件的名稱。SHA256 和 MD5 雜湊。 |
偵測處理結果 |
偵測到物件的檔案的名稱。偵測到的物件的名稱。SHA256 和 MD5 雜湊。 |
AMSI 掃描 |
掃描物件的名稱。指令碼的類型。被傳送以進行掃描的指令碼文字。 |
處理程序:解釋檔案執行 |
執行的檔案的名稱。SHA256 和 MD5 雜湊。 |
處理程序:主控台互動式輸入 |
命令文字。 |
處理程序已終止 |
已停止處理程序的檔案名稱。SHA256 和 MD5 雜湊。 |
DNS |
正在尋找的網域名稱。資源記錄類型 ID。 |
LDAP |
搜尋範圍和篩選器。 |
命名管道 |
管道名稱。管道操作類型。 |
WMI |
WMI 操作類型。事件消費者原始碼。 |
代碼注入 |
包含鉤子過程的目標處理程序的檔案名稱或動態連結庫的名稱以及注入後傳遞控制權的函數的名稱。存取目標處理程序檔案的方法。目標處理程序檔案的 SHA256 和 MD5 雜湊。 |
處理程序存取 |
接收者處理程序檔案的名稱。事件的重要性。對流程檔案執行的操作類型。處理程序存取權限。 |
USB 裝置 |
所連線裝置的類型。所連線裝置的名稱。對所連線裝置的操作類型。系統磁碟指示器(如果連線的裝置是系統磁碟,則顯示此欄位)。 |
點擊包含事件類型名稱、資料、其他資訊和使用者名稱的連結將開啟一個清單,您可以從其中選擇要在物件上執行的操作。根據儲存格中的值,您可以執行下列操作之一:
- 對於單元格中的所有值:
- 新增到篩選器。
- 從篩選器中排除。
- 複製值到剪貼簿。
- 主機名稱:
- 檔案名稱:
- MD5 雜湊:
- SHA256 雜湊值: