hostName

string

主机名称。

HostIp

string

主机的 IP 地址。

EventType

string

事件类型。可能值：

• process — 进程已开始。
• process_terminate — 进程已终止。
• module — 模块已加载。
• connection — 远程连接。
• applock — 防御规则。
• blockdocument — 文档被阻止。
• filechange – 文件已修改。
• windowsevent — 系统事件日志。
• registry — 注册表已修改。
• portlisten — 监听的端口。
• driver — 驱动程序已加载。
• threatdetect — 警报。
• threatprocessingresult — 警报处理结果。
• amsiscan — AMSI 扫描。
• process_interpretated_file_run — 文件的已解释运行。
• process_console_interactive_input — 在控制台上交互式输入命令。

UserName

string

用户名称。

OsFamily

string

操作系统系列。

OsVersion

string

主机上使用的操作系统版本。

Ioa.Rules.Id

string

TAA (IOA) 规则 ID。

Ioa.Rules.Name

string

有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

Ioa.Rules.Techniques

string

MITRE 技术

Ioa.Rules.Tactics

string

MITRE tactic

Ioa.Severity

string

分配给使用此 TAA (IOA) 规则生成的事件的重要性级别。

可能值：

• 低
• 中
• 高

Ioa.Confidence

string

置信度取决于规则引起误报的可能性。

可能值：

• 低
• 中
• 高

FileCreationTime

integer

文件创建时间。

DllCreationTime

integer

DLL 创建时间。

DroppedCreationTime

integer

被修改文件的创建时间。

InterpretedFileCreationTime

integer

被解释文件的创建时间。

FileName

string

文件名。

DllName

string

DLL 名称。

DroppedName

string

被修改文件的名称。

BlockedName

string

被阻止文件的名称。

InterpretedFileName

string

被解释文件的名称。

FilePath

string

文件所在目录的路径。

DllPath

string

DLL 所在目录的路径。

DroppedPath

string

修改后的文件所在目录的路径。

BlockedPath

string

被阻止文件所在目录的路径。

InterpretedFilePath

string

被解释文件所在目录的路径。

FileFullName

string

文件的完整路径。包括目录路径和文件名。

DllFullName

string

DLL 的完整路径。包括目录路径和文件名。

DroppedFullName

string

被修改文件的完整路径。包括目录路径和文件名。

BlockedFullName

string

被阻止文件的完整路径。包括目录路径和文件名。

DetectedName

string

被检测文件的完整路径。包括目录路径和文件名。

OriginalFileName

string

原始文件的完整路径。包括目录路径和文件名。

InterpretedFileFullName

string

被解释文件的完整路径。包括目录路径和文件名。

FileModificationTime

integer

文件修改时间。

DllModificationTime

integer

DLL 修改时间。

DroppedModificationTime

integer

被修改时间的修改时间。

InterpretedFileModificationTime

integer

被解释时间的修改时间。

FileSize

integer

文件大小。

DllSize

integer

DLL 大小。

DroppedSize

integer

修改后的文件的大小。

InterpretedFileSize

integer

被解释文件的大小。

Md5

string

文件的 MD5 哈希。

DllMd5

string

DLL 的 MD5 哈希

DroppedMd5

string

被修改文件的 MD5 哈希。

InterpretedMd5

string

被解释文件的 MD5 哈希。

DetectedMd5

string

检测到的文件的 MD5 哈希。

Sha256

string

文件的 SHA256 哈希。

DLLSha256

string

DLL 的 SHA256 哈希

DroppedSha256

string

被修改文件的 SHA256 哈希。

BlockedSha256

string

被阻止文件的 SHA256 哈希。

InterpretedSha256

string

被解释文件的 SHA256 哈希。

DetectedSha256

string

检测到的文件的 SHA256 哈希。

HijackingPath

string

放置在标准搜索路径上的目录中的恶意 DLL，以使操作系统在原始 DLL 之前加载它。

LogonRemoteHost

string

发起远程访问的主机的 IP 地址。

RealUserName

string

用户在系统中注册时被分配的用户名称。

EffectiveUserName

string

用于登录系统的用户名。

Environment

string

环境变量。

ProcessType

integer

进程类型。可能值：

• 1 – exec
• 2 – fork
• 3 – vfork
• 4 – clone

LinuxOperationResult

string

操作结果。可能值：

• success。
• failed。

SystemPid。

integer

进程 ID。

ParentFileFullName。

string

父进程文件的路径。

ParentMd5

string

父进程文件的 MD5 哈希。

ParentSha256

string

父进程文件的 SHA256 哈希。

StartupParameters

string

进程启动选项。

ParentSystemPid

integer

父进程 ID。

ParentStartupParameters

string

父进程启动设置。

Method。

string

HTTP 请求方法。

Direction。

string

连接方向。可能值：

• inbound
• 出站

LocalIp

string

进行远程连接尝试的本地计算机的 IP 地址。

LocalPort

integer

尝试进行远程连接的本地计算机的端口。

RemoteHostName

string

作为远程连接尝试目标的计算机的名称。

RemoteIp

string

作为远程连接尝试目标的计算机的 IP 地址。

RemotePort

integer

作为远程连接尝试目标的计算机的端口。

URI

string

对其发出 HTTP 请求的资源的地址。

KeyName

string

注册表项路径。

ValueName

string

注册表值名称。

ValueData

string

注册表值数据。

RegistryOperationType

integer

注册表操作的类型。可能值：

• 0 –注册表项已创建。
• 1 – 注册表项已删除。
• 2 – 注册表已修改。
• 3 – 注册表项被重命名。

PreviousKeyName

string

以前的注册表项路径。

PreviousValueData

string

注册表值的先前名称。

System.EventID.value

string

在 Windows 日志中的安全事件类型 ID。

LinuxEventType
（该字段被用于获取 Linux 和 macOS 操作系统的事件日志中记录的事件类型）

string

事件类型。可能值：

• MemberAddedToGroup — 用户账户已创建。
• UserAccountDeleted – 用户账户已删除。
• GroupCreated – 组已创建。
• GroupDeleted – 组已修改。
• MemberAddedToGroup — 用户账户已添加到组。
• UserPasswordChanged – 用户账户密码已更改。
• LinuxAuth – 在 Linux 或 macOS 中执行的身份验证。
• LinuxSessionStart – Linux 或 macOS 会话已启动。
• LinuxSessionEnd – Linux 或 macOS 会话已结束。
• ServiceStart – 服务已启动。
• ChangeAccountExpirationDate – 账户到期日期已更改。
• OperatingSystemShuttingDown — 操作系统已关闭。
• OperatingSystemStarted – 操作系统已启动。
• ModifyPromiscouslyMode – 混杂模式已修改。
• AuditdConfigurationChanged – 审核设置已修改。

System.Channel.value

string

日志名称。

System.EventRecordID.value

string

日志中的条目 ID。

System.Provider.Name.value

string

记录事件的系统的 ID。

EventData.Data.TargetDomainName.value

string

远程计算机的域名。

EventData.Data.ObjectName.value

string

发起事件的对象的名称。

EventData.Data.PackageName.value

string

启动事件的数据包的名称。

EventData.Data.ProcessName.value

string

启动事件的进程的名称。

VerdictName

string

检测到的对象的名称。

RecordId

integer

被触发的规则 ID。

ProcessingMode

string

扫描模式。可能值：

• Default – 默认。
• OnDemand — 按需。
• OnAccess — 访问时。
• OnExecute — 执行时。
• OnDownload – 下载时。
• OnStartup – 应用程序启动时。
• OnMail – 发送消息时。
• OnPostpone – 已推迟扫描。
• OnDisinfect – 清除时。
• OnVulnerability – 扫描漏洞时。
• OnFirstLaunch – 首次启动时。
• OnEngineLoad – 系统启动时。
• OnQuarantineRescan – 重新扫描存储中的对象时。
• OnWebRequest – 根据网络请求。
• OnAmsiScan – AMSI 扫描时。
• OnSystemWatcherScan – 分析应用程序行为时。

DetectedName

string

对象的名称。

DetectedObjectType

string

对象的类型。可能值：

• 未知。
• 文件。
• LogicalDrive — 逻辑驱动器。
• PhysicalDisk — 物理磁盘。
• SystemMemory — 系统内存。
• MemoryProcess — 进程内存。
• MemoryModule — 内存模块。
• MailMsgRef – 电子邮件消息的引用标头。
• MailMsgMime – MIME 附件。
• MailMsgBody – 电子邮件正文。
• MailMsgAttach – 电子邮件附件。
• StartUp — 启动对象。
• Folder – 目录。
• Script – 脚本。
• Url – URL 地址。
• AmsiStream – AMSI 扫描流。

ThreatStatus

string

发现模式。可能值：

• Untreated – 对象未处理。
• Untreatable – 对象无法被处理。
• NotFound – 对象未找到。
• Disinfected – 对象被清除。
• Deleted – 对象已删除。
• Quarantined – 对象被移至隔离区。
• AddByUser – 用户添加的对象。
• 未知。
• AddToExclude – 对象被添加到排除项。
• Terminated – 处理终止。
• Clear – 对象未受感染。
• FalseAlarm – 误报。
• RolledBack – 回滚到之前的状态。
• IpNotBlocked – IP 地址未被阻止。
• IpBlocked – IP 地址被阻止。
• IpCannotBeBlocked — 无法阻止 IP 地址。
• IpBlockIsNotRequired — 不需要 IP 地址阻止。

UntreatedReason

string

对象处理状态。可能值：

• None – 没有数据。
• NonCurable – 对象无法被清除。
• Locked – 对象被锁定。
• ReportOnly – 应用程序在仅报告模式下。
• NoRights – 无执行该操作的权利。
• Canceled – 处理已取消。
• WriteProtect – 对象受写入保护。
• TaskStopped – 处理任务中断。
• Postponed – 操作被推迟。
• NonOverwritable – 对象不能被覆写。
• CopyFailed – 无法创建对象的副本。
• WriteError – 数据写入错误。
• OutOfSpace – 磁盘空间不足。
• ReadError - 数据读取错误。
• DeviceNotReady – 设备未准备好。
• ObjectNotFound – 未找到对象。
• WriteNotSupported – 不支持数据写入。
• CannotBackup – 无法创建对象的备份。
• SystemCriticalObject – 对象对于系统至关重要。
• AlreadyProcessed – 对象已处理。

InteractiveInputText

string

解释器命令。

ObjectContent

string

被发送以进行扫描的脚本内容。

ObjectContentType

integer

脚本的内容类型。可能值：

• 1 – 文本
• 2 – 二进制代码

FileOperationType

integer

文件操作的类型。可能值：

• 1 – 文件已创建
• 2 – 文件已修改
• 3 – 文件已重命名
• 4 – 文件属性被修改
• 5 – 文件已删除
• 6 – 文件已读取

PreviousFileName

string

文件先前所在目录的路径。

PreviousFileFullName

string

文件的全名，包括文件先前所在目录的路径和/或先前的文件名。

DroppedFileType

integer

被修改文件的类型。可能值：

• 0 – 未知
• 1 – 其他文件
• 2 – PE 镜像
• 3 – PE DLL
• 4 – PE 资源
• 5 – .NET 资源文件
• 6 – ELF 文件