事件类型
|
事件名称和说明
|
关键及其价值描述
|
alerts
|
在警报上执行的用户操作
警报操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <分配了警报的用户>。externalId = <警报 ID>。
|
ep
|
管理具有 Endpoint Agent 组件的主机
对安装了 Endpoint Agent 组件的主机进行的操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <具有 Endpoint Agent 组件的主机的名称>。
|
storage
|
管理存储和隔离区中的对象
对存储区和隔离区中对象进行的操作
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <放置在存储区或隔离区中的文件的名称>。
|
sensors
|
管理 Sensor 组件
将 Sensor 组件连接到 Central Node 服务器,修改组件设置。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
sb
|
配置与 Sandbox 组件的集成
将 Sandbox 组件连接到 Central Node 服务器。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
ex_integration
|
配置与外部系统的集成
配置与外部系统的集成。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
ksn_kpsn_mdr
|
参与 KSN、KPSN 和 MDR
配置参与卡巴斯基安全网络、启用或禁用卡巴斯基私人安全网络的使用以及配置与 Kaspersky Managed Detection and Response 的集成。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
yara
|
管理 YARA 规则
YARA 规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <被上传文件的名称>。
|
ioc
|
管理入侵指标
IOC 规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
ids
|
管理 IDS 规则
IDS 规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
taa
|
管理 TAA 规则
TAA (IOA) 规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
sb_rules
|
管理 Sandbox 规则
Sandbox 规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
prevention
|
管理防御规则
防御规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
exclusions
|
管理扫描排除项
扫描排除规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
tasks
|
管理任务
任务操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
network_isolation
|
Endpoint Agent 主机的网络隔离
Endpoint Agent 主机的网络隔离。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
settings
|
设置
修改 Central Node 服务器设置
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
vip
|
管理分配 VIP 状态的规则
为警报分配 VIP 状态的规则操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
report
|
管理报告
报告操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <报告或报告模板的名称>。
|
mt
|
管理 CN、PCN 和 SCN 服务器
修改分布式和下主 Central Node 和从属 Central Node 服务器的设置。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
user_account
|
管理用户账户
对户账户的操作。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <创建或编辑其账户的用户的名称>。cn1 = <失败的授权尝试次数>。
|
授权尝试失败次数已超出
授权尝试失败次数超出限制。
|
notifications
|
发送通知
配置电子邮件通知。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
license
|
授权许可
管理授权许可密钥。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。
|
system_health
|
系统健康
检查应用程序组件的健康状况。
|
dvchost = <Central Node 的主机名>。eventId = <事件 ID>。rt = <事件日期和时间>。src = <用户的 IP 地址>。suser = <用户名称>。cs1 = <事件类型>。cs1label = <组件对象>。msg = <检查结果>。
|
