Поля для фильтрации событий
12 августа 2024
ID 249086
Список полей для фильтрации событий приведен в таблице ниже.
Если значения полей содержат специальные символы, вам необходимо в запросах использовать кодирование URL или команду --data-urlencode
.
Список полей для фильтрации событий
Название поля | Тип | Описание |
---|---|---|
HostName | string | Имя хоста. |
HostIp | string | IP-адрес хоста. |
EventType | string | Тип события. Может иметь следующие значения:
|
UserName | string | Имя пользователя. |
OsFamily | string | Семейство операционной системы. |
OsVersion | string | Версия операционной системы, используемой на хосте. |
Ioa.Rules.Id | string | Идентификатор правила TAA (IOA). |
Ioa.Rules.Name | string | Информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение. |
Ioa.Rules.Techniques | string | Техника MITRE. |
Ioa.Rules.Tactics | string | Тактика MITRE. |
Ioa.Severity | string | Степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA). Может иметь следующие значения:
|
Ioa.Confidence | string | Уровень надежности в зависимости от вероятности ложных срабатываний правила. Может иметь следующие значения:
|
FileCreationTime | integer | Время создания файла. |
DllCreationTime | integer | Время создания библиотеки DLL. |
DroppedCreationTime | integer | Время создания измененного файла. |
InterpretedFileCreationTime | integer | Время создания интерпретируемого файла. |
FileName | string | Имя файла. |
DllName | string | Имя библиотеки DLL. |
DroppedName | string | Имя измененного файла. |
BlockedName | string | Имя заблокированного файла. |
InterpretedFileName | string | Имя интерпретируемого файла. |
FilePath | string | Путь к директории, в которой располагается файл. |
DllPath | string | Путь к директории, в которой располагается библиотека DLL. |
DroppedPath | string | Путь к директории, в которой располагается измененный файл. |
BlockedPath | string | Путь к директории, в которой располагается заблокированный файл. |
InterpretedFilePath | string | Путь к директории, в которой располагается интерпретируемый файл. |
FileFullName | string | Полный путь к файлу. Включает путь к директории и имя файла. |
DllFullName | string | Полный путь к библиотеке DLL. Включает путь к директории и имя файла. |
DroppedFullName | string | Полный путь к измененному файлу. Включает путь к директории и имя файла. |
BlockedFullName | string | Полный путь к заблокированному файлу. Включает путь к директории и имя файла. |
DetectedName | string | Полный путь к обнаруженному файлу. Включает путь к директории и имя файла. |
OriginalFileName | string | Полный путь к исходному файлу. Включает путь к директории и имя файла. |
InterpretedFileFullName | string | Полный путь к интерпретируемому файлу. Включает путь к директории и имя файла. |
FileModificationTime | integer | Время изменения файла. |
DllModificationTime | integer | Время изменения библиотеки DLL. |
DroppedModificationTime | integer | Время изменения измененного файла. |
InterpretedFileModificationTime | integer | Время изменения интерпретируемого файла. |
FileSize | integer | Размер файла. |
DllSize | integer | Размер библиотеки DLL. |
DroppedSize | integer | Размер измененного файла. |
InterpretedFileSize | integer | Размер интерпретируемого файла. |
Md5 | string | MD5-хеш файла. |
DllMd5 | string | MD5-хеш библиотеки DLL |
DroppedMd5 | string | MD5-хеш измененного файла. |
InterpretedMd5 | string | MD5-хеш интерпретируемого файла. |
DetectedMd5 | string | MD5-хеш обнаруженного файла. |
Sha256 | string | SHA256-хеш файла. |
DllSha256 | string | SHA256-хеш библиотеки DLL. |
DroppedSha256 | string | SHA256-хеш измененного файла. |
BlockedSha256 | string | SHA256-хеш заблокированного файла. |
InterpretedSha256 | string | SHA256-хеш интерпретируемого файла. |
DetectedSha256 | string | SHA256-хеш обнаруженного файла. |
HijackingPath | string | Вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL. |
LogonRemoteHost | string | IP-адрес хоста, с которого был выполнен удаленный вход. |
RealUserName | string | Имя пользователя, назначенное ему при регистрации в системе. |
EffectiveUserName | string | Имя пользователя, которое было использовано для входа в систему. |
Environment | string | Переменные окружения. |
ProcessType | integer | Тип процесса. Может иметь следующие значения:
|
LinuxOperationResult | string | Результат операции. Может иметь следующие значения:
|
SystemPid | integer | Идентификатор процесса. |
ParentFileFullName | string | Путь к файлу родительского процесса. |
ParentMd5 | string | MD5-хеш файла родительского процесса. |
ParentSha256 | string | SHA256-хеш файла родительского процесса. |
StartupParameters | string | Параметры запуска процесса. |
ParentSystemPid | integer | Идентификатор родительского процесса. |
ParentStartupParameters | string | Параметры запуска родительского процесса. |
Method | string | Метод HTTP-запроса. |
Direction | string | Направление соединения. Может иметь следующие значения:
|
LocalIp | string | IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения. |
LocalPort | integer | Порт локального компьютера, с которого была произведена попытка удаленного соединения. |
RemoteHostName | string | Имя компьютера, на который была произведена попытка удаленного соединения. |
RemoteIp | string | IP-адрес компьютера, на который была произведена попытка удаленного соединения. |
RemotePort | integer | Порт компьютера, на который была произведена попытка удаленного соединения. |
URI | string | Адрес ресурса, к которому произведен запрос HTTP. |
KeyName | string | Путь к ключу реестра. |
ValueName | string | Имя параметра реестра. |
ValueData | string | Значение параметра реестра. |
RegistryOperationType | integer | Тип операции с реестром. Может иметь следующие значения:
|
PreviousKeyName | string | Предыдущий путь к ключу реестра. |
PreviousValueData | string | Предыдущее имя параметра реестра. |
System.EventID.value | string | Идентификатор типа события безопасности в журнале Windows. |
LinuxEventType | string | Тип события. Может иметь следующие значения:
|
System.Channel.value | string | Имя журнала. |
System.EventRecordID.value | string | Идентификатор записи в журнале |
System.Provider.Name.value | string | Идентификатор системы, записавшей событие в журнал. |
EventData.Data.TargetDomainName.value | string | Доменное имя удаленного компьютера. |
EventData.Data.ObjectName.value | string | Имя объекта, инициировавшего событие. |
EventData.Data.PackageName.value | string | Имя пакета, инициировавшего событие. |
EventData.Data.ProcessName.value | string | Имя процесса, инициировавшего событие. |
VerdictName | string | Имя обнаруженного объекта. |
RecordId | integer | Идентификатор сработавшего правила. |
ProcessingMode | string | Режим проверки. Может иметь следующие значения:
|
DetectedName | string | Имя объекта. |
DetectedObjectType | string | Тип объекта. Может иметь следующие значения:
|
ThreatStatus | string | Режим обнаружения. Может иметь следующие значения:
|
UntreatedReason | string | Статус обработки объекта. Может иметь следующие значения:
|
InteractiveInputText | string | Команда интерпретатора. |
ObjectContent | string | Содержание скрипта, переданного на проверку. |
ObjectContentType | integer | Тип содержимого скрипта. Может иметь следующие значения:
|
FileOperationType | integer | Тип операции с файлом. Может иметь следующие значения:
|
PreviousFileName | string | Путь к директории, в которой файл располагался ранее. |
PreviousFileFullName | string | Полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла. |
DroppedFileType | integer | Тип измененного файла. Может иметь следующие значения:
|