請在您的網頁瀏覽器中啟用 JavaScript!
事件搜尋條件
您可以使用下列條件在建構器模式下搜尋事件:
一般資訊
:
Host 是主機名稱。
HostIP 是主機的 IP 位址。
EventType 是事件的類型。
UserName 是使用者的名稱。
OsFamily 是作業系統家族。
OsVersion 是主機上使用的作業系統的版本。
TAA 屬性
:
IOAId 是 TAA (IOA) 規則 ID。
IOATag 是有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊:用於建立警示的 TAA (IOA) 規則的名稱。
IOATechnique 是 MITRE 技術。
IOATactics 是 MITRE 政策。
IOAImportance 是指派給使用此 TAA (IOA) 規則產生的事件的重要性等級。
IOAConfidence 是置信度,取決於規則引起誤報的可能性。
檔案屬性
:
CreationTime 是事件建立時間。
FileName 是檔案的名稱。
FilePath 是檔案所在目錄的路徑。
FileFullName 是檔案的完整路徑。包括目錄路徑和檔案名稱。
ModificationTime 是檔案修改時間。
FileSize 是檔案的大小。
MD5 是檔案的 MD5 雜湊值。
SHA256 是檔案的 SHA256 雜湊。
SimilarDLLPath 是放置在標準搜尋路徑上的目錄中的惡意 DLL,使作業系統在原始 DLL 之前載入它。
Linux 處理程序
:
LogonRemoteHost 是發起遠端存取的主機的 IP 位址。
RealUserName 是使用者在系統中註冊時指派的使用者名稱。
EffectiveUserName 是用來登入系統的使用者名稱。
FileOwnerUserName 是檔案擁有者的名稱。
RealGroupName 是使用者群組的名稱。
EffectiveGroupName 是用於操作的使用者群組的名稱。
Environment 是系統環境變數。
ProcessType 是處理程序類型。
OperationResult 是操作結果。
處理程序已啟動
:
PID 是處理程序 ID。
ParentFileFullName 是父處理程序檔案的路徑。
ParentMD5 是父處理程序檔案的 MD5 雜湊值。
ParentSHA256 是父處理程序檔案的 SHA256 雜湊值。
StartupParameters 是處理程序啟動時使用的選項。
ParentPID 是父處理程序 ID。
ParentStartupParameters 是父處理程序的啟動設定。
遠端連線
:
HTTPMethod 是 HTTP 請求方法。例如,Get、Post 或 Connect。
ConnectionDirection 是連線的方向(傳入或傳出)。
LocalIP 是從其進行遠端連線嘗試的本機的 IP 位址。
LocalPort 是從其進行遠端連線嘗試的本機的 IP 位址。
RemoteHostName 是遠端連線嘗試目標的電腦的名稱。
RemoteIP 是遠端連線嘗試目標的電腦的 IP 位址。
RemotePort 是遠端連線嘗試目標的電腦的連接埠。
UR1 是向其發出 HTTP 請求的資源的位址。
TlsVersion 是協定的版本。
TlsSni 是伺服器名稱指示,也就是正在建立連線的資源的名稱。
TlsCertificateMd5 是 TLS 憑證的 MD5 雜湊值。
TlsCertificateSha1 是 TLS 憑證的 SHA1 雜湊。
TlsCertificateSubjectNames 是主要和次要 DNS 名稱。
TlsCertificateIssuerName 是憑證擁有者的組織名稱。
TlsCertificateSerialNumber 是憑證的序號。
TlsCertificateCheckResult 是憑證驗證結果。
TlsCipherSuite 是憑證的密碼套件。
TlsCertificateValidFrom 是計算憑證到期日的日期。
TlsCertificateValidTo 是憑證到期的日期。
DNS
:
DnsServerIpAddress 是DNS 伺服器的 IP 位址。
DnsQueryDomainName 是來自請求的網域。
DnsAnswerData 是回應資料。
DnsQueryTypeId 是記錄類型 ID。
LDAP
:
LDAPSearchFilter 是搜尋篩選器。
LDAPSearchDistinguishedName 是專有名稱。
LDAPSearchAttributeList 是搜尋屬性的清單。
LDAPSearchScope 是搜尋範圍。
命名管道
:
PipeName 是命名管道。
PipeOperationType 是命名管道操作的類型。
WMI
:
WmiOperationType 是WMI 操作類型:“
WMI 活動
”或者“
WMI 事件使用者名稱
”。
WmiHostName 是機器的名稱。
WmiUserName 是使用者名稱。
WmiNamespaceName 是命名空間。
WmiQuery 是查詢的文字。
WmiFilterName 是事件篩選器。
WmiConsumerName 是事件使用者的名稱。
WmiConsumerText 是事件使用者的原始碼。
登錄檔已修改
:
RegistryKey 是登錄機碼。
RegistryValueName 是登錄機碼的名稱。
RegistrationValue 是登錄機碼的資料。
RegistryOperationType 是登錄機碼操作的類型。
RegistryPreviousKey 是上一個登錄機碼。
RegistryPreviousValue 是登錄機碼的先前名稱。
系統事件日誌
:
WinLogEventID 是Windows 日誌中安全事件的類型 ID。
LinuxEventType 是事件的類型。此條件用於 Linux 和 MacOS 作業系統。
WinLogName 是日誌的名稱。
WinLogEventRecordID 是日誌條目 ID。
WinLogProviderName 是記錄事件的系統的 ID。
WinLogTargetDomainName 是遠端電腦的網域名稱。
WinLogObjectName 是發起事件的物件的名稱。
WinlogPackageName 是啟動事件的軟體套件的名稱。
WinLogProcessName 是啟動事件的處理程序的名稱。
偵測和處理結果
:
DetectName 是偵測到的物件的名稱。
RecordID 是觸發規則的 ID。
ProcessingMode 是掃描模式。
ObjectName 是物件的名稱。
ObjectType 是物件的類型。
ThreatStatus 是偵測模式。
UntreatedReason 是事件處理狀態。
ObjectContent(也適用於 AMSI 事件)是被傳送進行掃描的指令碼的內容。
ObjectContentType(也適用於 AMSI 事件)是指令碼內容的類型。
主控台互動輸入
:
InteractiveInputText 是在命令列中輸入的文字。
InteractiveInputType 是輸入類型(主控台或管道)。
檔案修改時間
:
FileOperationType 是檔案操作類型。
FilePreviousPath 是檔案先前所在目錄的路徑。
FilePreviousName 是檔案先前的名稱。
FilePreviousFullName 是檔案的完整名稱,包括檔案先前所在目錄的路徑和/或先前的檔案名稱。
DroppedFileType 是修改後的檔案的類型。
代碼注入和處理程序存取
:
AccessMethod 是存取方法。
InjectAddress 是接收者程序的位址空間。
InjectedDllName 是注入的 DLL 的名稱。
ModifiedStartupParameters 是修改後的啟動參數。
InjectedDllPath 是注入的 DLL 的路徑。
CallTrace 是呼叫追蹤。
TargetStartupParameters 是用於啟動接收方程序的命令。
處理程序存取
:
AccessOperationType 是操作類型:“
處理程序存取已開啟
”或者“
複製句柄
”。
ProccessAccessRights 是請求的處理程序存取權限。
HandleSourceStartupParameters 是啟動來源句柄的指令。
HandletargetStartupParameters 是啟動目標句柄的指令。
其他
:
File type 是檔案的類型。
TlsJa3Md5 包含用戶端hello 封包中以下欄位的十進位位元組值:TLS 版本、密碼套件、TLS 協定延伸清單、橢圓曲線和橢圓曲線格式。
TlsJa3sMd5 包含伺服器 hello 封包中以下欄位的十進位位元組值:TLS 版本、密碼套件和 TLS 協定延伸清單。
DotNetAssemblyName 是.NET 程式集的名稱。
DotNetAssemblyFlags 包含 .NET 組合語言標誌。
若要以原始碼模式檢視事件搜尋欄位清單,您可以
下載此檔案
。
頁面頂部