IOC 扫描结果

根据处理对象的类型，入侵指标搜索结果窗口指示器可能显示以下信息：

• ARP 协议：
  • ARP 表中的 IP 地址。
  • ARP 表中的物理地址。
• DNS 记录：
  • DNS 记录的类型和名称。
  • 受保护计算机的 IP 地址。
• Windows 日志事件：
  • 事件日志中的条目 ID。
  • 日志中的数据源名称。
  • 日志名称。
  • 用户账户。
  • 事件时间。
• 文件：
  • 文件的 MD5 哈希。
  • 文件的 SHA256 哈希。
  • 文件全名（包括路径）。
  • 文件大小。
• 端口：
  • 扫描时与其建立连接的远程 IP 地址。
  • 扫描时与其建立连接的远程端口。
  • 本地适配器的 IP 地址。
  • 本地适配器上打开的端口。
  • 作为数字的协议（根据 IANA 标准）。
• 进程：
  • 进程名称。
  • 进程参数。
  • 进程文件路径。
  • 进程的 Windows ID (PID)。
  • 父进程的 Windows ID (PID)。
  • 启动进程的用户账户名称。
  • 进程开始的日期和时间。
• 服务：
  • 服务名称。
  • 服务说明。
  • DLL 服务的路径和名称（对于 svchost）。
  • 服务的可执行文件的路径和名称。
  • 服务的 Windows ID (PID)。
  • 服务类型（例如，内核驱动程序或适配器）。
  • 服务状态。
  • 服务运行模式。
• 用户：
  • 用户账户名称。
• 卷：
  • 卷名。
  • 卷符。
  • 卷类型。
• 注册表：
  • Windows 注册表值。
  • 注册表配置单元值。
  • 注册表项的路径（没有配置单元或值名称）。
  • 注册表参数。
• 环境变量：
  • 受保护计算机的物理（MAC）地址。
  • 系统（环境）。
  • 操作系统名称和版本。
  • 受保护设备的网络名称。
  • 受保护计算机所属的域和组。

IOC部分显示 IOC 文件的结构。如果处理的对象与 IOC 规则的条件匹配，则该条件会突出显示。如果处理的对象匹配多个条件，则整个分支的文本会突出显示。

另请参阅 查看警报 查看警报详细信息 有关任何类型警报的一般信息 对象信息部分中的信息 “警报详情”部分中的信息 “有关使用 NDR 技术进行扫描的信息”部分中的信息 扫描结果部分中的信息 IDS 规则部分中的信息 URL 部分中的信息 “检测相关设备的 IP 地址”部分中的信息 网络事件部分中的信息 Sandbox 中的扫描结果 主机部分中的信息 “更改日志”部分中的信息 发送警报数据 查看警报关系

页面顶部