附錄 6。應用程式事件

有關每個 Kaspersky Endpoint Security 元件的操作、資料加密事件、每個掃描工作的完成、更新工作和完整性檢查工作以及應用程式的整體操作的資訊都記錄在卡巴斯基安全管理中心事件日誌和 Windows 事件日誌中。

Kaspersky Endpoint Security 可產生以下類型的事件：一般事件和具體事件。具體事件只能由 Kaspersky Endpoint Security for Windows 建立。具體事件具有簡單 ID，諸如000000cb。具體事件包含以下所需參數：

GNRL_EA_DESCRIPTION 是事件內容。
GNRL_EA_ID 是事件的服務 ID。
GNRL_EA_SEVERITY 是事件狀態。1 – 資訊訊息，2 – 警告，3 – 功能故障，4 – 嚴重。
EVENT_TYPE_DISPLAY_NAME 是事件標題。
TASK_DISPLAY_NAME 是發起事件的應用程式元件的名稱。

一般事件可以由 Kaspersky Endpoint Security for Windows 以及其它 Kaspersky 應用程式（例如，Kaspersky Security for Windows Server）建立。一般事件具有更複雜的 ID，諸如GNRL_EV_VIRUS_FOUND。除了所需設定，一般事件包含進階設定。

狀態
元件	系統稽核
Windows 事件 ID	`201`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_LICENSE_EXPIRATION`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	檔案威脅防護 Web 威脅防護郵件威脅防護 AMSI 防護主機入侵防禦行為偵測弱點利用防禦惡意軟體掃描
Windows 事件 ID	`302`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_VIRUS_FOUND`
事件參數	`GNRL_EA_PARAM_1` 是物件的雜湊 (SHA256)。 `GNRL_EA_PARAM_2` 是物件名稱。 `GNRL_EA_PARAM_5` 是根據 Kaspersky 分類的威脅名稱，例如，`EICAR-Test-File`。 `GNRL_EA_PARAM_7` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_8` 是威脅類型，例如，`Trojware`。 `GNRL_EA_PARAM_9` 是被偵測到物件的其它資訊：應用程式元件 (`引擎`)。 `1` – 檔案威脅防護。 `2` – 郵件威脅防護。 `3` – Web 威脅防護。 `6` – 主機入侵防禦。 `7` – 防火墻。 `8` – 行為偵測。 `9` – 弱點利用防禦。 `10` – 病毒掃描工作。 `11` – AMSI 防護。威脅偵測技術 (`方法`)。 `1` – 機器學習。 `2` – 卡巴斯基安全網路。 `3` – 專家分析。 `4` – 行為分析。 `5` – 自動分析。 `6` – Kaspersky Sandbox。私有 KSN 偵測到的威脅（`denylist`）：`true` 或者 `false`。 EDR 版本。 EDR 中的威脅識別符。物件的 MD5 雜湊。
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	檔案威脅防護郵件威脅防護主機入侵防禦惡意軟體掃描
Windows 事件 ID	`312`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_OBJECT_NOTCURED`
事件參數	`GNRL_EA_PARAM_1` 是物件的雜湊 (SHA256)。 `GNRL_EA_PARAM_2` 是物件名稱。 `GNRL_EA_PARAM_5` 是根據 Kaspersky 分類的威脅名稱，例如，`EICAR-Test-File`。 `GNRL_EA_PARAM_7` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_8` 是威脅類型，例如，`Trojware`。 `GNRL_EA_PARAM_9` 是被偵測到物件的其它資訊：應用程式元件 (`引擎`)。威脅偵測技術 (`方法`)。私有 KSN 偵測到的威脅（`denylist`）：`true` 或者 `false`。 EDR 版本。 EDR 中的威脅識別符。物件的 MD5 雜湊。
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	檔案威脅防護主機入侵防禦行為偵測惡意軟體掃描
Windows 事件 ID	`313`
卡巴斯基安全管理中心事件 ID	`00000139`
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	檔案威脅防護 Web 威脅防護郵件威脅防護主機入侵防禦 AMSI 防護惡意軟體掃描
Windows 事件 ID	`317`
卡巴斯基安全管理中心事件 ID	`0000013d`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	Web 威脅防護
Windows 事件 ID	`362`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_VIRUS_FOUND_AND_BLOCKED`
事件參數	`GNRL_EA_PARAM_2` 是物件路徑。 `GNRL_EA_PARAM_5` 是根據卡巴斯基分類的物件名稱。 `GNRL_EA_PARAM_7` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_8` 是威脅類型，例如，`Trojware`。 `GNRL_EA_PARAM_9` 是被偵測到物件的其它資訊：應用程式元件 (`引擎`)。威脅偵測技術 (`方法`)。私有 KSN 偵測到的威脅（`denylist`）：`true` 或者 `false`。
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	適應性異常控制
Windows 事件 ID	`2200`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_ADSEC_DETECT`
事件參數	`GNRL_EA_PARAM_1` 是適應性異常控制規則的名稱。 `GNRL_EA_PARAM_2` 是啟發式規則的 ID。 `GNRL_EA_PARAM_3` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_4` 是來源處理程序。 `GNRL_EA_PARAM_5` 是來源物件。 `GNRL_EA_PARAM_6` 是目標處理程序。 `GNRL_EA_PARAM_7` 是目標物件。 `GNRL_EA_PARAM_8` 是被偵測到物件的其它資訊：來源處理程序 / 物件和目標處理程序 / 物件的雜湊。處理程序被封鎖 (`verdict_type`): `true` 或 `false`。使用者安全 ID (SID)。
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	BadUSB 攻擊防護
Windows 事件 ID	`2051`
卡巴斯基安全管理中心事件 ID	`00000803`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	AMSI 防護
Windows 事件 ID	`2200`
卡巴斯基安全管理中心事件 ID	`00000898`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	防火牆
Windows 事件 ID	`602`
卡巴斯基安全管理中心事件 ID	`00000329`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	網路威脅防護
Windows 事件 ID	`651`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_ATTACK_DETECTED`
事件參數	`GNRL_EA_PARAM_1` 是攻擊名稱。 `GNRL_EA_PARAM_2` 是通訊協定。 `GNRL_EA_PARAM_3` 是作為網路攻擊來源的電腦的 IP 位址。IP 位址按照主機的位元順序指明。例如，`2886729929` 對 `172.16.0.201`。 `GNRL_EA_PARAM_4` 是連接埠號。 `GNRL_EA_PARAM_5` 是 IPv6 位址，例如，`12B012B012B012B012B012B012B012B0`。 `GNRL_EA_PARAM_6` 是被網路攻擊針對的電腦的 IP 位址。IP 位址按照主機的位元順序指明。例如，`2886729929` 對 `172.16.0.201`。
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	應用程式控制
Windows 事件 ID	`702`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_APPLICATION_LAUNCH_DENIED`
事件參數	`GNRL_EA_PARAM_2` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_3` 是手動建立的類別識別符。 `GNRL_EA_PARAM_4` 是應用程式類別 ID。 `GNRL_EA_PARAM_5` 是有關應用程式的數位簽章的資訊。 `GNRL_EA_PARAM_6` 是應用程式的可執行檔（例如，chrome.exe）。 `GNRL_EA_PARAM_7` 是可執行檔路徑。 `GNRL_EA_PARAM_8` 是物件的雜湊 (SHA256)。 `GNRL_EA_PARAM_9` 是使用者努力執行的應用程式的版本。
Windows 事件日誌（預設）	`–`
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	Web 控制
Windows 事件 ID	`752`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_WEB_URL_BLOCKED`
事件參數	`GNRL_EA_PARAM_1` 是網址。 `GNRL_EA_PARAM_2` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_3` 是網頁控制規則的名稱。
Windows 事件日誌（預設）	`–`
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	裝置控制
Windows 事件 ID	`802`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_DEVCTRL_DEV_PLUG_DENIED`
事件參數	`GNRL_EA_PARAM_1` 是硬體 ID (HWID)。 `GNRL_EA_PARAM_2` 是工作階段使用者的名稱。
Windows 事件日誌（預設）	`–`
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	資料庫更新
Windows 事件 ID	`1011`
卡巴斯基安全管理中心事件 ID	`000003f3`
Windows 事件日誌（預設）	`–`
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	資料加密
Windows 事件 ID	`904`
卡巴斯基安全管理中心事件 ID	`00000388`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	端點感應器
Windows 事件 ID	`2100`
卡巴斯基安全管理中心事件 ID	`00000834`
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	Kaspersky Sandbox
Windows 事件 ID	`2252`
卡巴斯基安全管理中心事件 ID	`000008cc`
Windows 事件日誌（預設）	`–`
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	Endpoint Detection and Response
Windows 事件 ID	`2651`
卡巴斯基安全管理中心事件 ID	`00000a5b`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	記錄檢查
Windows 事件 ID	`2800`
卡巴斯基安全管理中心事件 ID	`00000af0`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	行為偵測弱點利用防禦 Web 威脅防護
Windows 事件 ID	`331`
卡巴斯基安全管理中心事件 ID	–
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）	–

狀態
元件	檔案威脅防護行為偵測主機入侵防禦惡意軟體掃描
Windows 事件 ID	`310`
卡巴斯基安全管理中心事件 ID	`00000136`
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	檔案威脅防護郵件威脅防護主機入侵防禦 AMSI 防護惡意軟體掃描
Windows 事件 ID	`314`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_OBJECT_REPORTED`
事件參數	`GNRL_EA_PARAM_1` 是物件的雜湊 (SHA256)。 `GNRL_EA_PARAM_2` 是物件名稱。 `GNRL_EA_PARAM_5` 是根據 Kaspersky 分類的威脅名稱，例如，`EICAR-Test-File`。 `GNRL_EA_PARAM_7` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_8` 是威脅類型，例如，`Trojware`。 `GNRL_EA_PARAM_9` 是被偵測到物件的其它資訊：應用程式元件 (`引擎`)。威脅偵測技術 (`方法`)。私有 KSN 偵測到的威脅（`denylist`）：`true` 或者 `false`。 EDR 版本。 EDR 中的威脅識別符。物件的 MD5 雜湊。
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	主機入侵防禦
Windows 事件 ID	`320`
卡巴斯基安全管理中心事件 ID	`00000140`
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）	–

狀態
元件	檔案威脅防護郵件威脅防護主機入侵防禦弱點利用防禦行為偵測惡意軟體掃描
Windows 事件 ID	`307`
卡巴斯基安全管理中心事件 ID	`GNRL_EV_OBJECT_DELETED`
事件參數	`GNRL_EA_PARAM_1` 是物件的雜湊 (SHA256)。 `GNRL_EA_PARAM_2` 是物件名稱。 `GNRL_EA_PARAM_5` 是根據 Kaspersky 分類的威脅名稱，例如，`EICAR-Test-File`。 `GNRL_EA_PARAM_7` 是工作階段使用者的名稱。 `GNRL_EA_PARAM_8` 是威脅類型，例如，`Trojware`。 `GNRL_EA_PARAM_9` 是被偵測到物件的其它資訊：應用程式元件 (`引擎`)。威脅偵測技術 (`方法`)。私有 KSN 偵測到的威脅（`denylist`）：`true` 或者 `false`。 EDR 版本。 EDR 中的威脅識別符。物件的 MD5 雜湊。
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	主機入侵防禦檔案威脅防護惡意軟體掃描
Windows 事件 ID	`324`
卡巴斯基安全管理中心事件 ID	–
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）	–

狀態
元件	行為偵測弱點利用防禦主機入侵防禦檔案威脅防護惡意軟體掃描
Windows 事件 ID	`323`
卡巴斯基安全管理中心事件 ID	–
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）	–

狀態
元件	郵件威脅防護
Windows 事件 ID	`342`
卡巴斯基安全管理中心事件 ID	–
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）	–

狀態
元件	檔案威脅防護行為偵測弱點利用防禦惡意軟體掃描
Windows 事件 ID	`455`
卡巴斯基安全管理中心事件 ID	`000001c7`
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	完整性檢查
Windows 事件 ID	`2002`
卡巴斯基安全管理中心事件 ID	`000007d2`
Windows 事件日誌（預設）	–
卡巴斯基安全管理中心事件日誌（預設）

狀態
元件	檔案完整性監控
Windows 事件 ID	`2900`
卡巴斯基安全管理中心事件 ID	`00000b54`
Windows 事件日誌（預設）
卡巴斯基安全管理中心事件日誌（預設）