Gilt für: WatchGuard Advanced Reporting Tool
WatchGuard EPDR und WatchGuard EDR senden Daten an das Advanced Visualization Tool, das diese in übersichtlichen Datentabellen organisiert.Jede Zeile einer Datentabelle ist ein Ereignis, das von WatchGuard EPDR oder WatchGuard EDR überwacht wird.
alert
Diese Datentabelle enthält Informationen zu Vorfällen in der Kachel Activity (Aktivität) auf dem WatchGuard EPDR- oder WatchGuard EDR-Dashboard.
| Name | Erläuterung | Werte | |||
|---|---|---|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|||
|
machineIP |
IP-Adresse des Kundencomputers, der die Warnmeldung ausgelöst hat. |
IP-Adresse |
|||
|
date |
Zeitpunkt auf dem Benutzercomputer, an dem das Ereignis generiert wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. |
Datum |
|||
|
alertType |
Kategorie der Bedrohung, die die Warnmeldung ausgelöst hat. |
Malware PUP |
|||
|
machineName |
Name des Computers. |
Zeichenfolge |
|||
|
executionStatus |
Zeigt an, ob die Bedrohung ausgeführt wurde. |
Executed Not Executed |
|||
|
dwellTimeSecs |
Zeit in Sekunden seit der erstmaligen Erkennung der Bedrohung im Netzwerk. |
Sekunden |
|||
|
itemHash |
Hash der erkannten Bedrohung. |
Zeichenfolge |
|||
|
itemName |
Name der erkannten Bedrohung. |
Zeichenfolge |
|||
|
itenPath |
Vollständiger Pfad der Datei, die die Bedrohung enthält. |
Zeichenfolge |
|||
|
sourceIP |
Falls die Malware von außerhalb des Netzwerks stammt, wird hier die IP des entfernten Computers angezeigt. |
IP-Adresse |
|||
|
sourceMachineName |
Falls die Malware von außerhalb des Netzwerks stammt, wird hier der Name des entfernten Computers angezeigt. |
Zeichenfolge |
|||
|
sourceUserName |
Falls die Malware von außerhalb des Netzwerks stammt, wird hier der Benutzer des entfernten Computers angezeigt. |
Zeichenfolge |
|||
|
urlList |
Liste der aufgerufenen URLs, falls ein Browser-Exploit erkannt wird. |
Zeichenfolge |
|||
|
docList |
Liste der aufgerufenen Dokumente, falls ein Datei-Exploit erkannt wird. |
Zeichenfolge |
|||
|
version |
Inhalt des Version-Attributs der Prozess-Metadaten. |
Zeichenfolge |
|||
|
vulnerable |
Zeigt an, ob die Anwendung als gefährdet gilt. |
Boolesch |
|||
install
Diese Datentabelle protokolliert alle Informationen, die während der Installation des Endpoint Agent auf Computern erzeugt wurden.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventDate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|
machine |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
machineIP1 |
IP-Adresse einer zusätzlichen Netzwerkkarte, falls installiert. |
IP-Adresse |
|
machineIP2 |
IP-Adresse einer zusätzlichen Netzwerkkarte, falls installiert. |
IP-Adresse |
|
op |
Ausgeführter Vorgang. |
Installieren Deinstallieren Upgrade |
|
osVersion |
Version des Betriebssystems. |
Zeichenfolge |
|
osServicePack |
Version des Service Packs. |
Zeichenfolge |
|
osPlatform |
Plattform des installierten Betriebssystems:
|
Aufzählung |
monitoredopen
Diese Datentabelle protokolliert Zugriffsversuche auf Datendateien durch auf dem Computer ausgeführte Prozesse und Prozesse, die auf Benutzerdaten zugegriffen haben. Diese Tabelle protokolliert nur Zugriffsversuche auf Dateien auf Windows-Computern.
Ein Zugriffsversuch wird als untypisch klassifiziert, wenn der Prozess, der mit der Datendatei interagiert, nicht Teil der Reihe von Anwendungen ist, die normalerweise mit dieser Art Datei interagieren (beispielsweise eine .DOC-Datei, die von einem anderen Prozess als word.exe geändert wurde).
Ein Zugriffsversuch kann auch als ungewöhnlich klassifiziert werden, wenn der Prozess, der auf die Datei zugreift, nicht in dem standardmäßig bei der Programminstallation festgelegten Ordner gespeichert ist oder wenn die Datendateien in temporären oder ungewöhnlichen Ordnern gespeichert werden.
Zu den überwachten Datendateien gehören:
- Dateien, auf die durch untypische Anwendungen zugegriffen wird
- Dateien, auf die zugegriffen wurde und die sich in ungewöhnlichen Ordnern befinden
- Dateien, die automatisch ausgeführt werden, wenn das Betriebssystem hochfährt (unter anderem Run oder RunOnce Windows Registry-Schlüssel)
- Dateien, die vom Taskplaner ausgeführt werden
- Dateien, die Zertifikate beinhalten
- Dateien, die Kennwörter beinhalten
| Feld | Beschreibung | Werte | |||||
|---|---|---|---|---|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|||||
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|||||
|
date |
Zeitpunkt auf dem Benutzercomputer, an dem das Ereignis generiert wurde. |
Datum |
|||||
|
machine |
Name des Kundencomputers. |
Zeichenfolge |
|||||
|
machineIP |
IP-Adresse des Kundencomputers. |
IP-Adresse |
|||||
|
user |
Prozess-Benutzername. |
Zeichenfolge |
|||||
|
muid |
Interne ID des Kundencomputer. |
Zeichenfolge in diesem Format: xxxxxxxx-xxxx-xxxx- xxxxxxxxxxxxxxx |
|||||
|
parentHash |
Digest bzw. Hash der Datei, die auf die Daten zugegriffen hat. |
Zeichenfolge |
|||||
|
parentPath |
Pfad des Prozesses, der auf die Daten zugegriffen hat. |
Zeichenfolge |
|||||
|
parentValidSig |
Digital signierter Prozess, der auf Daten zugegriffen hat. |
Boolesch |
|||||
|
parentCompany |
Inhalt des Company-Attributs der Metadaten der Datei, die auf Daten zugegriffen hat. |
Zeichenfolge |
|||||
|
parentCat |
Kategorie der Datei, die auf Daten zugegriffen hat. |
Goodware Malware PUP Unbekannt Überwachen |
|||||
|
parentMWName |
Malware-Name, falls die Datei, die auf Daten zugegriffen hat, als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|||||
|
childpath |
Name der Datendatei, auf die der Prozess zugegriffen hat. Standardmäßig wird nur die Dateierweiterung angezeigt, um den Datenschutz der Kundendaten zu gewährleisten. |
Zeichenfolge |
|||||
|
loggedUser |
Benutzer, der zum Zeitpunkt des Dateizugriffs am Computer angemeldet war. |
Zeichenfolge |
|||||
|
firstParentCat |
Erstklassifikation der übergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
|||||
monitoredregistry
Diese Datentabelle protokolliert jeden Versuch, die Registry zu ändern sowie Fälle, in denen Software auf Registry-Berechtigungen, -Kennwörter, Zertifikatspeicher oder ähnliche Informationen zugreift.
| Name | Erläuterung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
date |
Zeitpunkt auf dem Benutzercomputer, an dem das Ereignis generiert wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. |
Datum |
|
machine |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
user |
Benutzername des Prozesses, der auf die Registry zugegriffen oder diese geändert hat. |
Zeichenfolge |
|
muid |
Interne ID des Kundencomputer. |
Zeichenfolge im folgenden Format: xxxxxxxx-xxxx-xxxx-xxxx- xxxxxxxxxxxx |
|
parentHash |
Digest bzw. Hash des Prozesses, der auf die Registry zugegriffen oder diese geändert hat. |
Zeichenfolge |
|
parentPath |
Pfad der Programmdatei, die auf die Registry zugegriffen oder diese geändert hat. |
Zeichenfolge |
|
parentValidSig |
Digital signierter Prozess, der auf die Registry zugegriffen hat. |
Boolesch |
|
parentCompany |
Inhalt des Company-Attributs der Metadaten des Prozesses, der auf die Registry zugegriffen hat. |
Zeichenfolge |
|
parentCat |
Prozesskategorie. |
Goodware Malware PUP Unbekannt Überwachen |
|
parentMwName |
Malware-Name, falls der Prozess als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|
regAction |
Auf die Registry des Computers ausgeführte Vorgänge. |
CreateKey CreateValue ModifyValue |
|
key |
Betroffener Registry-Zweig oder Schlüssel. |
Zeichenfolge |
|
value |
Name des betroffenen Wertes unter dem Registry-Schlüssel. |
Zeichenfolge |
|
valueData |
Inhalt des Werts. |
Zeichenfolge |
|
loggedUser |
Benutzer, der zum Zeitpunkt des Registry-Zugriffs am Computer angemeldet war. |
Zeichenfolge |
|
firstParentCat |
Erstklassifikation der übergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
notblocked
Diese Datentabelle protokolliert die Elemente, die WatchGuard EPDR oder WatchGuard EDR aufgrund von Ausnahmesituationen nicht scannt, wie z. B. Timeout von Diensten beim Hochfahren oder Konfigurationsänderungen.
| Name | Beschreibung | Werte | |||
|---|---|---|---|---|---|
|
eventdate |
Datum, an dem das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. |
Datum |
|||
|
date |
Zeitpunkt auf dem Benutzercomputer, an dem das Ereignis generiert wurde. |
Datum |
|||
|
machine |
Name des Computers. |
Zeichenfolge |
|||
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|||
|
user |
Prozess-Benutzername. |
Zeichenfolge |
|||
|
muid |
Interne ID des Computers. |
Zeichenfolge im folgenden Format: xxxxxxxx-xxxx-xxxx-xxxx- xxxxxxxxxxxx |
|||
|
parentHash |
Digest bzw. Hash der übergeordneten Datei. |
Zeichenfolge |
|||
|
parentPath |
Pfad des übergeordneten Prozesses. |
Zeichenfolge |
|||
|
parentValidSig |
Digital signierter übergeordneter Prozess. |
Boolesch |
|||
|
parentCompany |
Inhalt des Company-Attributs der Metadaten des übergeordneten Prozesses. |
Zeichenfolge |
|||
|
parentCat |
Kategorie der übergeordneten Datei. |
Goodware Malware PUP Unbekannt Überwachen |
|||
|
ParentmwName |
Malware-Name, falls die übergeordnete Datei als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|||
|
childHash |
Digest bzw. Hash der untergeordneten Datei. |
Zeichenfolge |
|||
|
childpath |
Pfad des untergeordneten Prozesses. |
Zeichenfolge |
|||
|
childValidSig |
Digital signierter untergeordneter Prozess. |
Boolesch |
|||
|
childCompany |
Inhalt des Company-Attributs der Metadaten des untergeordneten Prozesses. |
Zeichenfolge |
|||
|
childCat |
Kategorie des untergeordneten Prozesses. |
Goodware Malware PUP Unbekannt Überwachen |
|||
|
childMWName |
Malware-Name, falls die untergeordnete Datei als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|||
|
firstParentCat |
Erstklassifikation der übergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
|||
|
firstChildCat |
Erstklassifikation der untergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
|||
ops
Diese Datentabelle protokolliert alle von den im Netzwerk erkannten Prozessen ausgeführten Vorgänge.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate
|
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum
|
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|
machine |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
user |
Prozess-Benutzername. |
Zeichenfolge |
|
op |
Ausgeführter Vorgang. |
CreateDir Exec CreatePE DeletePE LoadLib OpenCmp RenamePE CreateCmp |
|
muid |
Eindeutige ID des Computers. |
Zeichenfolge in diesem Format: xxxxxxxxxxxx-xxxx-xxxx- xxxxxxxxxxxx |
|
parentHash |
Digest bzw. Hash der übergeordneten Datei. |
Zeichenfolge |
|
parentDriveType |
Typ des Laufwerks, auf dem sich der übergeordnete Prozess befindet. |
Fest Remote Wechsel |
|
parentPath |
Pfad des übergeordneten Prozesses. |
Zeichenfolge |
|
parentValidSig |
Digital signierter übergeordneter Prozess. |
Boolesch |
|
parentCompany |
Inhalt des Company-Attributs der Metadaten der übergeordneten Datei. |
Zeichenfolge |
|
parentCat |
Kategorie der übergeordneten Datei. |
Goodware Malware PUP Unbekannt Überwachen |
|
parentMWName |
Name der in der übergeordneten Datei gefundenen Malware. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|
childHash |
Digest bzw. Hash der untergeordneten Datei. |
Zeichenfolge |
|
childDriveType |
Typ des Laufwerks, auf dem sich der untergeordnete Prozess befindet. |
Fest Remote Wechsel |
|
childpath |
Pfad des untergeordneten Prozesses. |
Zeichenfolge |
|
childValidSig |
Digital signierter untergeordneter Prozess. |
Boolesch |
|
childCompany |
Inhalt des Company-Attributs der Metadaten der untergeordneten Datei. |
Zeichenfolge |
|
childCat |
Kategorie der untergeordneten Datei. |
Goodware Malware PUP Unbekannt Überwachen |
|
childMWName |
Name der in der untergeordneten Datei gefundenen Malware. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|
Ocs_Exec |
Zeigt an, ob eine als gefährdet geltende Software ausgeführt wurde. |
Boolesch |
|
Ocs_Name |
Name der als gefährdet geltenden Software. |
Zeichenfolge |
|
OcsVer |
Version der als gefährdet geltenden Software. |
Zeichenfolge |
|
action |
Aktion ausgeführt. |
Zulassen Blockieren BlockTimeout |
|
serviceLevel |
Agent-Modus:
|
Aufzählung |
|
params |
Befehlszeilenparameter für die Prozessausführung. |
Zeichenkette |
|
firstParenCat |
Erstklassifikation der übergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
processnetbytes
Diese Datentabelle protokolliert den Datenverbrauch der im Netzwerk erkannten Prozesse. ART generiert ungefähr alle vier Stunden ein Protokoll für jeden Prozess mit der Menge der seit dem Senden des letzten Protokolls übertragenen Daten.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|
machineName |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
version |
Version des WatchGuard Endpoint Agent. |
Zeichenfolge |
|
user |
Prozess-Benutzername. |
Zeichenfolge |
|
muid |
Interne ID des Computers. |
String in diesem Format: xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
|
hash |
Digest bzw. Hash des Prozesses. |
Zeichenfolge |
|
path |
Programmname oder -pfad. |
Zeichenfolge |
|
bytesSent |
Anzahl der vom Prozess gesendeten Bytes seit Generierung des letzten Ereignisses. |
Numerisch |
|
bytesReceived
|
Anzahl der vom Prozess empfangenen Bytes seit Generierung des letzten Ereignisses. |
Numerisch |
registry
Diese Datentabelle protokolliert alle auf den Registry-Zweigen ausgeführten Vorgänge, die von böswilligen Programmen verwendet werden, um persistent zu werden, d. h. sie werden mit dem Neustart von Computern wieder neu geladen.
| Feld | Beschreibung | Werte | |||||||
|---|---|---|---|---|---|---|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|||||||
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|||||||
|
machine |
Name des Computers. |
Zeichenfolge |
|||||||
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|||||||
|
user |
Benutzername des Prozesses, der die Registry geändert hat. |
Zeichenfolge |
|||||||
|
op |
Auf die Registry des Computers ausgeführte Vorgänge. |
ModifyExeKey CreateExeKey |
|||||||
|
hash |
Digest/Hash des Prozesses, der die Registry geändert hat. |
Zeichenfolge |
|||||||
|
muid |
Eindeutige ID des Computers. |
String im folgenden Format: xxxxxxxx-xxxx-xxxx-xxxx- xxxxxxxxxxxx |
|||||||
|
targetPath |
Pfad der Programmdatei, auf die der Registry-Schlüssel zeigt. |
Typ des Laufwerks, auf dem sich der Prozess befindet, der auf die Registry zugegriffen hat |
|||||||
|
regKey |
Registry-Schlüssel. |
Zeichenfolge |
|||||||
|
driveType |
Typ des Laufwerks, auf dem sich der Prozess befindet, der auf die Registry zugegriffen hat. |
Zeichenfolge |
|||||||
|
path |
Pfad des Prozesses, der die Registry geändert hat. |
Zeichenfolge |
|||||||
|
validSig |
Registry-Schlüssel. |
Boolesch |
|||||||
|
Firma |
Registry-Schlüssel. |
Zeichenfolge |
|||||||
|
Cat
|
Prozesskategorie. |
Goodware Malware PUP Unbekannt Überwachen |
|||||||
|
mwName |
Malware-Name, falls der Prozess als Bedrohung klassifiziert ist |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt. |
|||||||
|
firstCat |
Kategorie des Prozesses bei der Erstklassifizierung |
Goodware Malware PUP Unbekannt Überwachen |
|||||||
socket
Diese Datentabelle protokolliert alle von den im Netzwerk erkannten Prozessen hergestellten Netzwerkverbindungen.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|
machine |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
user |
Prozess-Benutzername. |
Zeichenfolge |
|
hash |
Digest bzw. Hash des Prozesses, der die Verbindung hergestellt hat. |
Zeichenfolge |
|
driveType |
Typ des Laufwerks, auf dem sich der Prozess befindet, der die Verbindung hergestellt hat. |
Fest Remote Wechsel |
|
path |
Pfad des Prozesses, der die Verbindung hergestellt hat. |
Zeichenfolge |
|
protocol |
Vom Prozess verwendetes Kommunikationsprotokoll. |
TCP UDP ICMP ICMPv6 IGMP RF |
|
remotePort |
Ziel-Port, mit dem der Prozess kommuniziert. |
0-65535 |
|
direction |
Kommunikationsrichtung. |
Upload Download Bidirektional Unbekannt |
|
remoteIP |
Ziel-IP-Adresse. |
IP-Adresse |
|
localPort |
Quell-IP-Adresse. |
0-65535 |
|
localIP |
IPv6-Zieladresse. |
IP-Adresse |
|
validSig |
Digital signierte Datei, die die Verbindung hergestellt hat. |
Boolesch |
|
Firma |
Inhalt des Company-Attributs der Metadaten der Datei, die die Verbindung hergestellt hat. |
Zeichenfolge |
|
category |
Aktuelle Kategorie des Prozesses, der die Verbindung hergestellt hat. |
Goodware Malware PUP Unbekannt Überwachen |
|
mwName |
Malware-Name, falls der Prozess, der die Verbindung hergestellt hat, als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|
firstCategory |
Kategorie des Prozesses bei der Erstklassifizierung. |
Goodware Malware PUP Unbekannt Überwachen |
|
times |
Anzahl der Vorkommen desselben Kommunikationsereignisses während der letzten Stunde. Damit zwei Kommunikationsereignisse als identisch gelten, müssen die folgenden Parameter sowie die Kommunikationsrichtung übereinstimmen:
Wenn eine Kommunikation das erste Mal erkannt wird, wird ein Ereignis gesendet mit dem Male-Feld auf 1 gesetzt. Dann wird jede Stunde nach dem Erstereignis die im Feld Male angezeigte Anzahl gleichartiger Kommunikationsereignisse, die in dieser Zeitspanne aufgetreten sind, um 1 erniedrigt, ebenso wie das Datum des letzten protokollierten Ereignisses. |
Numerisch |
toastblocked
Diese Datentabelle enthält einen Datensatz für jeden Prozess, der blockiert wurde, weil WatchGuard EPDR oder WatchGuard EDR noch keine relevante Klassifizierung zurückgegeben hat.
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|
machineName |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
user |
Benutzername des blockierten Prozesses. |
Zeichenfolge |
|
muid |
Eindeutige ID des Computers. |
Zeichenfolge in diesem Format: xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
|
hash |
Digest bzw. Hash des blockierten Prozesses. |
Zeichenfolge |
|
path |
Pfad des blockierten Prozesses. |
Zeichenfolge |
|
toastBlockReason |
0 OK: Der Benutzer akzeptiert die Meldung. 1 Timeout: Die Pop-up-Meldung wird aufgrund Untätigkeit des Benutzers nicht weiter angezeigt. 2 Angry: Der Benutzer verweigert die Aktion Blockieren. 3 Block (Blockieren) 4 Allow (Zulassen) 5 BadCall (fehlerhafter Aufruf) |
Aufzählungskonstante |
|
toastResult |
Ergebnis der Pop-up-Meldung:
|
Aufzählungskonstante |
URLdownload
Diese Datentabelle enthält Informationen zu den von im Netzwerk erkannten Prozessen ausgeführten HTTP-Downloads (wie z. B. URLs, heruntergeladene Dateidaten, Computer, die die Daten heruntergeladen haben).
| Feld | Beschreibung | Werte |
|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
|
Gerät |
Name des Computers. |
Zeichenfolge |
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
|
Benutzer |
Prozess-Benutzername. |
Zeichenfolge |
|
muid |
Interne ID des Kundencomputer. |
Zeichenfolge in diesem Format: xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
|
url |
Download-URL. |
URL-Stamm |
|
parentHash |
Digest bzw. Hash des Prozesses, der die Datei heruntergeladen hat. |
Zeichenfolge |
|
parentDriveType |
Typ des Laufwerks, auf dem sich der Prozess befindet, der die Datei heruntergeladen hat. |
Fest Remote Wechsel |
|
parentPath |
Pfad des Prozesses, der die Datei heruntergeladen hat. |
Zeichenfolge |
|
parentValidSig |
Digital signierter Prozess, der die Datei heruntergeladen hat. |
Boolesch |
|
parentCompany |
Inhalt des Company-Attributs der Metadaten des Prozesses, der die Datei heruntergeladen hat. |
Zeichenfolge |
|
parentCat |
Kategorie des Prozesses, der die Datei heruntergeladen hat. |
Goodware Malware PUP Unbekannt Überwachen |
|
parentMwname |
Malware-Name, falls der Prozess, der die Datei heruntergeladen hat, als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|
childHash |
Digest bzw. Hash der heruntergeladenen Datei. |
Zeichenfolge |
|
childDriveType |
Typ des Laufwerks, auf dem sich der Prozess befindet, der die Datei heruntergeladen hat. |
Fest Remote Wechsel |
|
childpath |
Pfad der heruntergeladenen Datei. |
Zeichenfolge |
|
childValidSig |
Digital signierte heruntergeladene Datei. |
Boolesch |
|
childCompany |
Inhalt des Company-Attributs der Metadaten der heruntergeladenen Datei. |
Zeichenfolge |
|
childCat |
Kategorie der heruntergeladenen Datei. |
Goodware Malware PUP Unbekannt Überwachen |
|
childMwname |
Malware-Name, falls die heruntergeladene Datei als Bedrohung klassifiziert ist. |
Zeichenfolge Null, falls es sich bei dem Element nicht um Malware handelt |
|
firstParentCat |
Erstklassifikation der übergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
|
firstChildCat |
Erstklassifikation der untergeordneten Datei, die den protokollierten Vorgang ausgeführt hat. |
Goodware Malware PUP Unbekannt Überwachen Null |
vulnerableappsfound
Diese Datentabelle protokolliert alle auf allen Computern im Netzwerk gefundenen gefährdeten Anwendungen.
| Feld | Beschreibung | Werte | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
eventdate |
Datum und Uhrzeit, als das Ereignis vom Advanced Reporting Tool-Server empfangen wurde. Die Daten werden bis zu einem Jahr lang aufbewahrt. Der Wert in der Verwaltungsoberfläche hängt von der auf dem Computer konfigurierten Zeitzone ab. |
Datum |
||||||||
|
serverdate |
Datum und Uhrzeit, als das Ereignis auf dem Benutzer-Computer protokolliert wurde (im Format UTC). |
Datum |
||||||||
|
muid |
Interne ID des Computers. |
Zeichenfolge in diesem Format: xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
||||||||
|
machineName |
Name des Computers. |
Zeichenfolge |
||||||||
|
machineIP |
IP-Adresse des Computers. |
IP-Adresse |
||||||||
|
criticalSoftEventType |
Zeigt das Vorhandensein gefährdeter Software an. |
Zurzeit |
||||||||
|
itemHash |
Digest des auf dem Computer gefundenen gefährdeten Programms. |
Zeichenfolge |
||||||||
|
fileName |
Name der gefährdeten Datei. |
Zeichenfolge |
||||||||
|
filePath |
Vollständiger Pfad der gefährdeten Datei. |
Zeichenfolge |
||||||||
|
internalName |
Inhalts des Namen-Attributs der Metadaten der gefährdeten Datei. |
Zeichenfolge |
||||||||
|
companyName |
Inhalts des Company-Attributs der Metadaten der gefährdeten Datei. |
Zeichenfolge |
||||||||
|
fileVersion |
Inhalts des Version-Attributs der Metadaten der gefährdeten Datei. |
Zeichenfolge |
||||||||
|
productVersion |
Inhalt des ProductVersion-Attributs der Metadaten der gefährdeten Datei. |
Zeichenfolge |
||||||||