请在 Web 浏览器中启用 JavaScript!
事件搜索条件
您可以使用以下条件在构建器模式下搜索事件:
常规信息
:
Host 是主机名。
HostIP 是主机的 IP 地址。
EventType 是事件的类型。
UserName 是用户的名称。
OsFamily 是操作系统家族。
OsVersion 是主机上使用的操作系统的版本。
TAA 属性
:
IOAId 是 TAA (IOA) 规则 ID。
IOATag 是有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
IOATechnique 是 MITRE 技术。
IOATactics 是 MITRE 策略。
IOAImportance 是分配给使用此 TAA (IOA) 规则生成的事件的重要性级别。
IOAConfidence 是置信度,取决于规则引起误报的可能性。
文件属性
:
CreationTime 是事件创建时间。
FileName 是文件的名称。
FilePath 是文件所在目录的路径。
FileFullName 是文件的完整路径。包括目录路径和文件名。
ModificationTime 是文件修改时间。
FileSize 是文件的大小。
MD5 是文件的 MD5 哈希值。
SHA256 是文件的 SHA256 哈希值。
SimilarDLLPath 是放置在标准搜索路径上的目录中的恶意 DLL,使操作系统在原始 DLL 之前加载它。
Linux 进程
:
LogonRemoteHost 是发起远程访问的主机的 IP 地址。
RealUserName 是用户在系统中注册时分配的用户名。
EffectiveUserName 是用于登录系统的用户名。
FileOwnerUserName 是文件所有者的名称。
RealGroupName 是用户组的名称。
EffectiveGroupName 是用于操作的用户组的名称。
Environment 是系统环境变量。
ProcessType 是进程类型。
OperationResult 是操作结果。
进程已启动
:
PID 是进程 ID。
ParentFileFullName 是父进程文件的路径。
ParentMD5 是父进程文件的 MD5 哈希值。
ParentSHA256 是父进程文件的 SHA256 哈希值。
StartupParameters 是进程启动时使用的选项。
ParentPID 是父进程 ID。
ParentStartupParameters 是父进程的启动设置。
远程连接
:
HTTPMethod 是HTTP 请求方法。例如,Get、Post 或 Connect。
ConnectionDirection 是连接的方向(入站或出站)。
LocalIP 是从其进行远程连接尝试的本地计算机的 IP 地址。
LocalPort 是从其进行远程连接尝试的本地计算机的 IP 地址。
RemoteHostName 是远程连接尝试目标的计算机的名称。
RemoteIP 是远程连接尝试目标的计算机的 IP 地址。
RemotePort 是远程连接尝试目标的计算机的端口。
UR1 是向其发出 HTTP 请求的资源的地址。
TlsVersion 是协议的版本。
TlsSni 是服务器名称指示,即正在建立连接的资源的名称。
TlsCertificateMd5 是 TLS 证书的 MD5 哈希值。
TlsCertificateSha1 是 TLS 证书的 SHA1 哈希。
TlsCertificateSubjectNames 是主要和次要 DNS 名称。
TlsCertificateIssuerName 是证书所有者的组织名称。
TlsCertificateSerialNumber 是证书的序列号。
TlsCertificateCheckResult 是证书验证结果。
TlsCipherSuite 是证书的密码套件。
TlsCertificateValidFrom 是计算证书到期日期的日期。
TlsCertificateValidTo 是证书到期的日期。
DNS
:
DnsServerIpAddress 是 DNS 服务器的 IP 地址。
DnsQueryDomainName 是来自请求的域名。
DnsAnswerData 是响应数据。
DnsQueryTypeId 是记录类型 ID。
LDAP
:
LDAPSearchFilter 是搜索过滤器。
LDAPSearchDistinguishedName 是专有名称。
LDAPSearchAttributeList 是搜索属性的列表。
LDAPSearchScope 是搜索范围。
命名管道
:
PipeName 是命名管道。
PipeOperationType 是命名管道操作的类型。
WMI
:
WmiOperationType 是 WMI 操作类型:“
WMI 活动
”或者“
WMI 事件使用者名称
”。
WmiHostName 是机器的名称。
WmiUserName 是用户名。
WmiNamespaceName 是命名空间。
WmiQuery 是查询的文本。
WmiFilterName 是事件过滤器。
WmiConsumerName 是事件使用者的名称。
WmiConsumerText 是事件使用者的源代码。
注册表已修改
:
RegistryKey 是注册表项。
RegistryValueName 是注册表值的名称。
RegistrationValue 是注册表值的数据。
RegistryOperationType 是注册表操作的类型。
RegistryPreviousKey 是上一个注册表项。
RegistryPreviousValue 是注册表值的先前名称。
系统事件日志
:
WinLogEventID 是 Windows 日志中安全事件的类型 ID。
LinuxEventType 是事件的类型。此条件用于 Linux 和 macOS 操作系统。
WinLogName 是日志的名称。
WinLogEventRecordID 是日志条目 ID。
WinLogProviderName 是记录事件的系统的 ID。
WinLogTargetDomainName 是远程计算机的域名。
WinLogObjectName 是发起事件的对象的名称。
WinlogPackageName 是启动事件的软件包的名称。
WinLogProcessName 是启动事件的进程的名称。
检测和处理结果
:
DetectName 是检测到的对象的名称。
RecordID 是触发规则的ID。
ProcessingMode 是扫描模式。
ObjectName 是对象的名称。
ObjectType 是对象的类型。
ThreatStatus 是检测模式。
UntreatedReason 是事件处理状态。
ObjectContent(也适用于 AMSI 事件)是被发送进行扫描的脚本的内容。
ObjectContentType(也适用于 AMSI 事件)是脚本内容的类型。
控制台交互输入
:
InteractiveInputText 是在命令行中输入的文本。
InteractiveInputType 是输入类型(控制台或管道)。
文件修改时间
:
FileOperationType 是文件操作类型。
FilePreviousPath 是文件先前所在目录的路径。
FilePreviousName 是文件以前的名称。
FilePreviousFullName 是文件的全名,包括文件先前所在目录的路径和/或先前的文件名。
DroppedFileType 是修改后的文件的类型。
代码注入和进程访问
:
AccessMethod 是访问方法。
InjectAddress 是接收者进程的地址空间。
InjectedDllName 是注入的 DLL 的名称。
ModifiedStartupParameters 是修改后的启动参数。
InjectedDllPath 是注入的 DLL 的路径。
CallTrace 是调用跟踪。
TargetStartupParameters 是用于启动接收方进程的命令。
进程访问
:
AccessOperationType 是操作类型:“
进程访问已打开
”或者“
复制句柄
”。
ProccessAccessRights 是请求的进程访问权限。
HandleSourceStartupParameters 是启动源句柄的命令。
HandletargetStartupParameters 是启动目标句柄的命令。
其他
:
File type 是文件的类型。
TlsJa3Md5 包含客户端 hello 数据包中以下字段的十进制字节值:TLS 版本、密码套件、TLS 协议扩展列表、椭圆曲线和椭圆曲线格式。
TlsJa3sMd5 包含服务器 hello 数据包中以下字段的十进制字节值:TLS 版本、密码套件和 TLS 协议扩展列表。
DotNetAssemblyName 是 .NET 程序集的名称。
DotNetAssemblyFlags 包含 .NET 程序集标志。
要以源代码模式查看事件搜索字段列表,您可以
下载此文件
。
页面顶部