用于筛选事件的字段
下表列出了用于筛选事件的字段。
如果字段值包含特殊字符,则必须使用 URL 编码或
请求中的--data-urlencode
选项。
用于筛选事件的字段列表
字段名称 | 类型 | 描述 |
---|---|---|
hostName | string | 主机名称。 |
HostIp | string | 主机的 IP 地址。 |
EventType | string | 事件类型。可能值:
|
UserName | string | 用户名称。 |
OsFamily | string | 操作系统系列。 |
OsVersion | string | 主机上使用的操作系统版本。 |
Ioa.Rules.Id | string | TAA (IOA) 规则 ID。 |
Ioa.Rules.Name | string | 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。 |
Ioa.Rules.Techniques | string | MITRE 技术 |
Ioa.Rules.Tactics | string | MITRE tactic |
Ioa.Severity | string | 分配给使用此 TAA (IOA) 规则生成的事件的重要性级别。 可能值:
|
Ioa.Confidence | string | 置信度取决于规则引起误报的可能性。 可能值:
|
FileCreationTime | 整数 | 文件创建时间。 |
DllCreationTime | 整数 | DLL creation time. |
DroppedCreationTime | 整数 | 被修改文件的创建时间。 |
InterpretedFileCreationTime | 整数 | 被解释文件的创建时间。 |
FileName | string | 文件名。 |
DllName | string | DLL 名称。 |
DroppedName | string | 被修改文件的名称。 |
BlockedName | string | 被阻止文件的名称。 |
InterpretedFileName | string | 被解释文件的名称。 |
FilePath | string | 文件所在目录的路径。 |
DllPath | string | DLL 所在目录的路径。 |
DroppedPath | string | 修改后的文件所在目录的路径。 |
BlockedPath | string | 被阻止文件所在目录的路径。 |
InterpretedFilePath | string | 被解释文件所在目录的路径。 |
FileFullName | string | 文件的完整路径。包括目录路径和文件名。 |
DllFullName | string | DLL 的完整路径。包括目录路径和文件名。 |
DroppedFullName | string | 被修改文件的完整路径。包括目录路径和文件名。 |
BlockedFullName | string | 被阻止文件的完整路径。包括目录路径和文件名。 |
DetectedName | string | 被检测文件的完整路径。包括目录路径和文件名。 |
OriginalFileName | string | 原始文件的完整路径。包括目录路径和文件名。 |
InterpretedFileFullName | string | 被解释文件的完整路径。包括目录路径和文件名。 |
FileModificationTime | 整数 | 文件修改时间。 |
DllModificationTime | 整数 | DLL 修改时间。 |
DroppedModificationTime | 整数 | 被修改时间的修改时间。 |
InterpretedFileModificationTime | 整数 | 被解释时间的修改时间。 |
FileSize | 整数 | 文件大小。 |
DllSize | 整数 | DLL 大小。 |
DroppedSize | 整数 | 修改后的文件的大小。 |
InterpretedFileSize | 整数 | 被解释文件的大小。 |
Md5 | string | 文件的 MD5 哈希。 |
DllMd5 | string | DLL 的 MD5 哈希 |
DroppedMd5 | string | 被修改文件的 MD5 哈希。 |
InterpretedMd5 | string | 被解释文件的 MD5 哈希。 |
DetectedMd5 | string | 检测到的文件的 MD5 哈希。 |
Sha256 | string | 文件的 SHA256 哈希。 |
DLLSha256 | string | DLL 的 SHA256 哈希 |
DroppedSha256 | string | 被修改文件的 SHA256 哈希。 |
BlockedSha256 | string | 被阻止文件的 SHA256 哈希。 |
InterpretedSha256 | string | 被解释文件的 SHA256 哈希。 |
DetectedSha256 | string | 检测到的文件的 SHA256 哈希。 |
HijackingPath | string | 放置在标准搜索路径上的目录中的恶意 DLL,以使操作系统在原始 DLL 之前加载它。 |
LogonRemoteHost | string | 发起远程访问的主机的 IP 地址。 |
RealUserName | string | 用户在系统中注册时被分配的用户名称。 |
EffectiveUserName | string | 用于登录系统的用户名。 |
Environment | string | 环境变量。 |
ProcessType | 整数 | 进程类型。可能值:
|
LinuxOperationResult | string | 操作结果。可能值:
|
SystemPid。 | 整数 | 进程 ID。 |
ParentFileFullName。 | string | 父进程文件的路径。 |
ParentMd5 | string | 父进程文件的 MD5 哈希。 |
ParentSha256 | string | 父进程文件的 SHA256 哈希。 |
StartupParameters | string | 进程启动选项。 |
ParentSystemPid | 整数 | 父进程 ID。 |
ParentStartupParameters | string | 父进程启动设置。 |
Method。 | string | HTTP 请求方法。 |
Direction。 | string | 连接方向。可能值:
|
LocalIp | string | 进行远程连接尝试的本地计算机的 IP 地址。 |
LocalPort | 整数 | 尝试进行远程连接的本地计算机的端口。 |
RemoteHostName | string | 作为远程连接尝试目标的计算机的名称。 |
RemoteIp | string | 作为远程连接尝试目标的计算机的 IP 地址。 |
RemotePort | 整数 | 作为远程连接尝试目标的计算机的端口。 |
URI | string | 对其发出 HTTP 请求的资源的地址。 |
KeyName | string | 注册表项路径。 |
ValueName | string | 注册表值名称。 |
ValueData | string | 注册表值数据。 |
RegistryOperationType | 整数 | 注册表操作的类型。可能值:
|
PreviousKeyName | string | 以前的注册表项路径。 |
PreviousValueData | string | 注册表值的先前名称。 |
System.EventID.value | string | 在 Windows 日志中的安全事件类型 ID。 |
LinuxEventType | string | 事件类型。可能值:
|
System.Channel.value | string | 日志名称。 |
System.EventRecordID.value | string | 日志中的条目 ID。 |
System.Provider.Name.value | string | 记录事件的系统的 ID。 |
EventData.Data.TargetDomainName.value | string | 远程计算机的域名。 |
EventData.Data.ObjectName.value | string | 发起事件的对象的名称。 |
EventData.Data.PackageName.value | string | 启动事件的数据包的名称。 |
EventData.Data.ProcessName.value | string | 启动事件的进程的名称。 |
VerdictName | string | 检测到的对象的名称。 |
RecordId | 整数 | 被触发的规则 ID。 |
ProcessingMode | string | 扫描模式。可能值:
|
DetectedName | string | 对象的名称。 |
DetectedObjectType | string | 对象的类型。可能值:
|
ThreatStatus | string | 发现模式。可能值:
|
UntreatedReason | string | 对象处理状态。可能值:
|
InteractiveInputText | string | 解释器命令。 |
ObjectContent | string | 被发送以进行扫描的脚本内容。 |
ObjectContentType | 整数 | 脚本的内容类型。可能值:
|
FileOperationType | 整数 | 文件操作的类型。可能值:
|
PreviousFileName | string | 文件先前所在目录的路径。 |
PreviousFileFullName | string | 文件的全名,包括文件先前所在目录的路径和/或先前的文件名。 |
DroppedFileType | 整数 | 被修改文件的类型。可能值:
|