Поля события Service Create
Поле |
Тип |
Описание |
|---|---|---|
EventType |
string |
Тип события |
EventId |
string |
Уникальный идентификатор события |
EventTimestamp |
int |
Дата и время на хосте (клиенте), где произошло событие (дата указана в UTC) |
EventReceivedtimestamp |
int |
Дата и время получения события на сервере |
EventSequenceid |
int |
Номер последовательности отправленного события |
HostId |
string |
Уникальный идентификатор хоста |
HostKscId |
string |
Идентификатор защищаемого хоста для администрирования через KSC |
HostMdrId |
string |
Идентификатор защищаемого хоста в MDR-решении |
HostOsmpId |
string |
Список идентификаторов серверов OSMP Based XDR решений, к которым подключен защищаемый хост |
HostOsFamily |
string |
Тип операционной системы хоста (Windows, Linux, macOS) |
HostOsName |
string |
Название операционной системы хоста |
HostOsVersion |
string |
Версия операционной системы хоста |
HostName |
string |
Имя хоста, на котором было обнаружено событие |
HostIp |
string |
IP адрес хоста, на котором было обнаружено событие |
AgentVersion |
string |
Версия продукта, установленного на хосте |
AgentKdbTimestamp |
int |
Временная метка обновления компонентов KDB |
AgentSw2Timestamp |
int |
Временная метка обновления баз компонента SW2 |
AgentIndexTimestamp |
int |
Временная метка последнего обновления баз всех компонентов |
FileName |
string |
Имя файла (без пути) |
FilePath |
string |
Полный путь к файлу (без имени файла) |
FileFullname |
string |
Полный путь к файлу |
FileMd5 |
string |
MD5-хэш файла |
FileSha256 |
string |
SHA256 хэш содержимого файла |
FileSize |
int |
Размер файла в байтах |
FileCreationtime |
int |
Время создания файла |
FileModificationtime |
int |
Время последнего изменения файла |
FileType |
string |
Тип файла |
FileAttr |
int |
Атрибуты файловой системы |
FileProductname |
string |
Значение имени продукта из ресурса VERSIONINFO файла |
FileProductvendor |
string |
Значение имени компании из ресурса VERSIONINFO файла |
FileDescription |
string |
Описание из ресурса VERSIONINFO файла |
FileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO файла |
FileSignSubjectname |
string |
Информация об организации, подписавшей файл |
FileSignResult |
string |
Результат проверки подписи файла: пройдена - true, иначе - false |
ServiceTitle |
string |
Имя сервиса, уникальный идентификатор сервиса |
ServiceType |
string |
Тип сервиса |
ServiceStarttype |
string |
Тип запуска сервиса |
ServiceCmdline |
string |
Командная строка запускаемого сервиса |
ServiceLoadordergroup |
string |
Имя группы упорядочения загрузки, к которой принадлежит эта служба |
ServiceTagid |
uint |
Уникальное значение тега для этой службы в группе ServiceLoadOrderGroup |
ServiceDependencies |
string |
Имена сервисов или групп упорядочивания загрузки, которые должны начинаться перед этим сервисом |
ServiceStartname |
string |
Имя учетной записи от которой будет запускаться сервис |
ServiceDisplayname |
string |
Отображаемое имя сервиса |
ServiceDeletedelayed |
uint |
Флаг отложенного удаления. 1 - сервис будет удален, когда остановится; 0 - сервис удален сразу. Для "Service Create" данное поле опционально |
ProcessUniqueid |
int |
Уникальный идентификатор процесса |
ProcessId |
int |
Идентификатор процесса |
ProcessCmdline |
string |
Командная строка процесса |
ProcessProperties |
string |
Свойства аккаунта, из-под которого был запущен процесс |
ProcessIntegritylevel |
int |
Уровень целостности процесса |
ProcessUserName |
string |
Имя пользователя (с доменом), запустившего процесс |
ProcessFileName |
string |
Имя файла запущенного процесса (без пути) |
ProcessFilePath |
string |
Путь к файлу запущенного процесса (без имени файла) |
ProcessFileFullname |
string |
Полное имя файла запущенного процесса (включая полный путь к файлу) |
ProcessFileMd5 |
string |
MD5 хэш файла запущенного процесса |
ProcessFileSha256 |
string |
SHA256 хэш файла запущенного процесса |
ProcessFileProductname |
string |
Имя приложения, указанное в ресурсе VERSIONINFO |
ProcessFileProductversion |
string |
Версия приложения, указанная в ресурсе VERSIONINFO |
ProcessFileOriginalname |
string |
Оригинальное имя файла приложения указанное в ресурсе VERSIONINFO |
ProcessFileProductvendor |
string |
Имя компании, указанное в ресурсе VERSIONINFO |
ProcessFileDescription |
string |
Описание, указанное в ресурсе VERSIONINFO |
ProcessFileVersion |
string |
Версия файла, указанная в ресурсе VERSIONINFO |
ProcessLogonSessionId |
int |
Идентификатор сеанса входа из токена доступа процесса |
ParentProcessUniqueid |
int |
Уникальный идентификатор родительского процесса |
ParentProcessId |
int |
Идентификатор родительского процесса |
ParentProcessCmdline |
string |
Командная строка родительского процесса |
ParentProcessIntegritylevel |
int |
Уровень целостности родительского процесса |
ParentProcessUserName |
string |
Домен и имя пользователя, запустившего родительский процесс |
ParentProcessFileName |
string |
Имя исполняемого файла родительского процесса (без пути) |
ParentProcessFilePath |
string |
Полный путь к исполняемому файлу родительского процесса (без имени файла) |
ParentProcessFileFullname |
string |
Полный путь к исполняемому файлу родительского процесса |
ParentProcessFileMd5 |
string |
MD5-хэш исполняемого файла родительского процесса |
ParentProcessFileSha256 |
string |
SHA256-хэш исполняемого файла родительского процесса |
ParentProcessFileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO исполняемого файла родительского процесса |
ParentProcessProperties |
string |
Список свойств аккаунта, из-под которого был запущен родительский процесс |
GrandParentProcessUniqueid |
int |
Уникальный идентификатор прародительского процесса |
GrandParentProcessId |
int |
Идентификатор прародительского процесса |
GrandParentProcessCmdline |
string |
Командная строка прародительского процесса |
GrandParentProcessUserName |
string |
Имя пользователя (с доменом), запустившего прародительский процесс |
GrandParentProcessFileFullname |
string |
Полный путь к исполняемому файлу прародительского процесса |
GrandParentProcessFileMd5 |
string |
MD5-хэш исполняемого файла прародительского процесса |
GrandParentProcessFileSha256 |
string |
SHA256-хэш исполняемого файла прародительского процесса |
GrandParentProcessFileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO исполняемого файла прародительского процесса |
GrandParentProcessProperties |
string |
Список свойств аккаунта, из-под которого был запущен прародительский процесс |