S'applique À : WatchGuard Advanced Reporting Tool
WatchGuard EPDR et WatchGuard EDR envoient les données à Advanced Visualization Tool, qui les organise en tableaux de données faciles à lire. Chaque ligne d'un tableau de données correspond à un événement surveillé par WatchGuard EPDR ou WatchGuard EDR.
alert
Ce tableau de données comprend des informations sur les incidents affichés dans la mosaïque Activité du tableau de bord WatchGuard EPDR ou WatchGuard EDR.
| Nom | Explication | Valeurs | |||
|---|---|---|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|||
|
machineIP |
Adresse IP de l'ordinateur du client qui a déclenché l'alerte. |
Adresse IP |
|||
|
date |
Date sur l'ordinateur de l'utilisateur à laquelle l'événement a été généré. Les données sont conservées pendant un an. |
Date |
|||
|
alertType |
Catégorie de la menace ayant déclenché l'alerte. |
Logiciel Malveillant PPI |
|||
|
machineName |
Nom de l'ordinateur. |
Chaîne |
|||
|
executionStatus |
Indique si la menace a été exécutée. |
Executed Not Executed |
|||
|
dwellTimeSecs |
Temps en secondes à partir de la première fois que la menace a été détectée sur le réseau. |
Secondes |
|||
|
itemHash |
Hachage de la menace détectée. |
Chaîne |
|||
|
itemName |
Nom de la menace détectée. |
Chaîne |
|||
|
itenPath |
Chemin d'accès complet du fichier contenant la menace. |
Chaîne |
|||
|
sourceIP |
Si le logiciel malveillant provient de l'extérieur du réseau, cela indique l'adresse IP de l'ordinateur distant. |
Adresse IP |
|||
|
sourceMachineName |
Si le logiciel malveillant provient de l'extérieur du réseau, cela indique le nom de l'ordinateur distant. |
Chaîne |
|||
|
sourceUserName |
Si le logiciel malveillant provient de l'extérieur du réseau, cela indique l'utilisateur de l'ordinateur distant. |
Chaîne |
|||
|
urlList |
Liste des URL consultées si un exploit de navigateur est détecté. |
Chaîne |
|||
|
docList |
Liste des documents consultés si un exploit de fichier est détecté. |
Chaîne |
|||
|
version |
Contenu de l'attribut Version des métadonnées du processus. |
Chaîne |
|||
|
vulnerable |
Indique si l'application est considérée comme vulnérable. |
Booléen |
|||
install
Ce tableau de données enregistre toutes les informations générées lors de l'installation des agents d'endpoint sur les ordinateurs.
| Champ | Description | Valeurs |
|---|---|---|
|
eventDate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|
machine |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
machineIP1 |
Adresse IP d'une carte réseau supplémentaire si installée. |
Adresse IP |
|
machineIP2 |
Adresse IP d'une carte réseau supplémentaire si installée. |
Adresse IP |
|
op |
Opération effectuée. |
Installer Désinstaller Mettre à Niveau |
|
osVersion |
Version du système d'exploitation. |
Chaîne |
|
osServicePack |
Version du Service Pack. |
Chaîne |
|
osPlatform |
Plateforme du système d'exploitation installé :
|
Énumération |
monitoredopen
Ce tableau de données enregistre les tentatives d'accès aux fichiers de données exécutés sur l'ordinateur et les processus qui ont accédé aux données utilisateur. Ce tableau enregistre les tentatives d'accès aux fichiers sur les ordinateurs Windows uniquement.
Une tentative d'accès est classée comme atypique lorsque le processus qui interagit avec le fichier de données ne fait pas partie de l'ensemble des applications qui interagissent généralement avec ce type de fichier (par exemple, un fichier .DOC manipulé par un processus autre que word.exe).
Une tentative d'accès peut également être classée comme inhabituelle lorsque le processus qui accède au fichier n'est pas stocké dans le dossier défini par défaut lors de l'installation du programme, ou lorsque les fichiers de données sont stockés dans des dossiers temporaires ou inhabituels.
Les fichiers de données surveillés comprennent :
- Fichiers consultés par des applications atypiques
- Fichiers consultés qui résident dans des dossiers inhabituels
- Fichiers qui s'exécutent automatiquement au démarrage du système d'exploitation (clés de registre Windows Run ou RunOnce, entre autres)
- Fichiers exécutés à partir du planificateur de tâches
- Fichiers contenant des certificats
- Fichiers contenant des mots de passe
| Champ | Description | Valeurs | |||||
|---|---|---|---|---|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|||||
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|||||
|
date |
Date sur l'ordinateur de l'utilisateur à laquelle l'événement a été généré. |
Date |
|||||
|
machine |
Nom de l'ordinateur client. |
Chaîne |
|||||
|
machineIP |
Adresse IP de l'ordinateur client. |
Adresse IP |
|||||
|
user |
Nom d'utilisateur du processus. |
Chaîne |
|||||
|
muid |
Identifiant interne de l'ordinateur client. |
Chaîne au format : xxxxxxxx-xxxx-xxxx- xxxxxxxxxxxxxxx |
|||||
|
parentHash |
Prétraitement ou hachage du fichier qui a accédé aux données. |
Chaîne |
|||||
|
parentPath |
Chemin d'accès du processus qui a accédé aux données. |
Chaîne |
|||||
|
parentValidSig |
Processus signé numériquement qui a accédé aux données. |
Booléen |
|||||
|
parentCompany |
Contenu de l'attribut Company des métadonnées du fichier qui a accédé aux données. |
Chaîne |
|||||
|
parentCat |
Catégorie du fichier qui a accédé aux données. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|||||
|
parentMWName |
Nom du logiciel malveillant si le fichier qui a accédé aux données est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|||||
|
childPath |
Nom du fichier de données accédé par le processus. Par défaut, seule l'extension du fichier est indiquée pour préserver la confidentialité des données du client. |
Chaîne |
|||||
|
loggedUser |
Utilisateur connecté à l'ordinateur au moment de l'accès au fichier. |
Chaîne |
|||||
|
firstParentCat |
Classification initiale du fichier parent qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
|||||
monitoredregistry
Ce tableau de données journalise chaque tentative de modification du registre ainsi que le moment où le logiciel accède aux autorisations du registre, aux mots de passe, aux magasins de certificats et à des informations similaires.
| Nom | Explication | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
date |
Date de l'ordinateur de l'utilisateur à laquelle l'événement a été généré. Les données sont conservées pendant un an. |
Date |
|
machine |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
user |
Nom d'utilisateur du processus qui a accédé ou modifié le registre. |
Chaîne |
|
muid |
Identifiant interne de l'ordinateur client. |
Chaîne au format suivant : xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
|
parentHash |
Prétraitement ou hachage du processus qui a accédé ou modifié le registre. |
Chaîne |
|
parentPath |
Chemin d'accès de l'exécutable qui a accédé ou modifié le registre. |
Chaîne |
|
parentValidSig |
Processus signé numériquement qui a accédé au registre. |
Booléen |
|
parentCompany |
Contenu de l'attribut Company des métadonnées du processus qui a accédé au registre. |
Chaîne |
|
parentCat |
Catégorie de processus. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
parentMwName |
Nom du logiciel malveillant si le processus est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|
regAction |
Opération effectuée sur le registre de l'ordinateur. |
CreateKey CreateValue ModifyValue |
|
key |
Branche ou clé de registre concernée. |
Chaîne |
|
value |
Nom de la valeur affectée sous la clé de registre. |
Chaîne |
|
valueData |
Contenu de la valeur. |
Chaîne |
|
loggedUser |
Utilisateur connecté à l'ordinateur au moment de l'accès au registre. |
Chaîne |
|
firstParentCat |
Classification initiale du fichier parent qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
notblocked
Ce tableau de données enregistre les éléments que WatchGuard EPDR ou WatchGuard EDR n'ont pas analysés en raison de situations exceptionnelles, telles que l'expiration du délai de service au démarrage ou des modifications de configuration.
| Nom | Description | Valeurs | |||
|---|---|---|---|---|---|
|
eventdate |
Date à laquelle l'événement a été reçu sur le serveur d' Advanced Reporting Tool. Les données sont conservées pendant un an. |
Date |
|||
|
date |
Date de l'ordinateur de l'utilisateur à laquelle l'événement a été généré. |
Date |
|||
|
machine |
Nom de l'ordinateur. |
Chaîne |
|||
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|||
|
user |
Nom d'utilisateur du processus. |
Chaîne |
|||
|
muid |
Identifiant interne de l'ordinateur. |
Chaîne au format suivant : xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
|||
|
parentHash |
Prétraitement ou hachage du fichier parent. |
Chaîne |
|||
|
parentPath |
Chemin du processus parent. |
Chaîne |
|||
|
parentValidSig |
Processus parent signé numériquement. |
Booléen |
|||
|
parentCompany |
Contenu de l'attribut Company des métadonnées du processus parent. |
Chaîne |
|||
|
parentCat |
Catégorie de fichier parent. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|||
|
ParentmwName |
Nom du logiciel malveillant si le fichier parent est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|||
|
childHash |
Résumé ou hachage du fichier enfant. |
Chaîne |
|||
|
childPath |
Chemin d'accès du processus enfant. |
Chaîne |
|||
|
childValidSig |
Processus enfant signé numériquement. |
Booléen |
|||
|
childCompany |
Contenu de l'attribut Company des métadonnées du processus enfant. |
Chaîne |
|||
|
childCat |
Catégorie du processus enfant. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|||
|
childMWName |
Nom du logiciel malveillant si le fichier enfant est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|||
|
firstParentCat |
Classification initiale du fichier parent qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
|||
|
firstChildCat |
Classification initiale du fichier enfant qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
|||
ops
Ce tableau de données journalise toutes les opérations effectuées par les processus détectés sur le réseau.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate
|
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date
|
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|
machine |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
user |
Nom d'utilisateur du processus. |
Chaîne |
|
op |
Opération effectuée. |
CreateDir Exec CreatePE DeletePE LoadLib OpenCmp RenamePE CreateCmp |
|
muid |
Identifiant unique de l'ordinateur. |
Chaîne au format : xxxxxxxxxxxx-xxxx-xxxx- xxxxxxxxxxxx |
|
parentHash |
Prétraitement ou hachage du fichier parent. |
Chaîne |
|
parentDriveType |
Type de lecteur sur lequel réside le processus parent. |
Fixed (Fixé) Remote (Distant) Removable (Amovible) |
|
parentPath |
Chemin du processus parent. |
Chaîne |
|
parentValidSig |
Processus parent signé numériquement. |
Booléen |
|
parentCompany |
Contenu de l'attribut Company des métadonnées du fichier parent. |
Chaîne |
|
parentCat |
Catégorie de fichier parent. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
parentMWName |
Nom du logiciel malveillant trouvé dans le fichier parent. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|
childHash |
Résumé ou hachage du fichier enfant. |
Chaîne |
|
childDriveType |
Type de lecteur sur lequel réside le processus enfant. |
Fixed (Fixé) Remote (Distant) Removable (Amovible) |
|
childPath |
Chemin d'accès du processus enfant. |
Chaîne |
|
childValidSig |
Processus enfant signé numériquement. |
Booléen |
|
childCompany |
Contenu de l'attribut Company des métadonnées du fichier enfant. |
Chaîne |
|
childCat |
Catégorie du fichier enfant. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
childMWName |
Nom du logiciel malveillant trouvé dans le fichier enfant. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|
Ocs_Exec |
Indique si un logiciel considéré comme vulnérable a été exécuté. |
Booléen |
|
Ocs_Name |
Nom du logiciel considéré comme vulnérable. |
Chaîne |
|
OcsVer |
Version du logiciel considéré comme vulnérable. |
Chaîne |
|
action |
Action effectuée. |
Autoriser Bloquer BlockTimeout |
|
serviceLevel |
Mode de l'agent :
|
Énumération |
|
params |
Paramètres d'exécution de la ligne de commande du processus exécuté. |
Chaîne de caractères |
|
firstParenCat |
Classification initiale du fichier parent qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
processnetbytes
Ce tableau de données journalise l'utilisation des données des processus détectés sur le réseau. ART génère un journal pour chaque processus environ toutes les quatre heures avec la quantité de données transférées depuis l'envoi du dernier journal.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|
machineName |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
version |
Version de WatchGuard Endpoint Agent. |
Chaîne |
|
user |
Nom d'utilisateur du processus. |
Chaîne |
|
muid |
Identifiant interne de l'ordinateur. |
Chaîne au format : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
|
hash |
Prétraitement ou hachage du processus. |
Chaîne |
|
path |
Nom et chemin du programme. |
Chaîne |
|
bytesSent |
Nombre d'octets envoyés par le processus depuis la génération du dernier événement. |
Numeric |
|
bytesReceived
|
Nombre d'octets reçus par le processus depuis la génération du dernier événement. |
Numeric |
registry
Ce tableau de données enregistre toutes les opérations effectuées sur les branches de registre utilisées par les programmes malveillants pour devenir persistantes et survivre aux redémarrages de l'ordinateur.
| Champ | Description | Valeurs | |||||||
|---|---|---|---|---|---|---|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|||||||
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|||||||
|
machine |
Nom de l'ordinateur. |
Chaîne |
|||||||
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|||||||
|
user |
Nom d'utilisateur du processus qui a modifié le registre. |
Chaîne |
|||||||
|
op |
Opération effectuée sur le registre de l'ordinateur. |
ModifyExeKey CreateExeKey |
|||||||
|
hash |
Prétraitement/hachage du processus qui a modifié le registre. |
Chaîne |
|||||||
|
muid |
Identifiant unique de l'ordinateur. |
Chaîne au format suivant : xxxxxxxx-xxxx-xxxx- xxxx-xxxxxxxxxxxx |
|||||||
|
targetPath |
Chemin de l'exécutable vers lequel pointe la clé de registre. |
Type de lecteur sur lequel réside le processus qui a accédé au registre |
|||||||
|
regKey |
Clé de registre. |
Chaîne |
|||||||
|
driveType |
Type de lecteur sur lequel réside le processus qui a accédé au registre. |
Chaîne |
|||||||
|
path |
Chemin d'accès du processus qui a modifié le registre. |
Chaîne |
|||||||
|
validSig |
Clé de registre. |
Booléen |
|||||||
|
company |
Clé de registre. |
Chaîne |
|||||||
|
Cat
|
Catégorie de processus. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|||||||
|
mwName |
Nom du logiciel malveillant si le processus est classé comme menace |
Chaîne Nul si l'élément n'est pas un logiciel malveillant. |
|||||||
|
firstCat |
Catégorie du processus lors de sa première classification |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|||||||
socket
Ce tableau de données journalise toutes les connexions réseau établies par les processus détectés sur le réseau.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|
machine |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
user |
Nom d'utilisateur du processus. |
Chaîne |
|
hash |
Prétraitement ou hachage du processus qui a établi la connexion. |
Chaîne |
|
driveType |
Type de lecteur sur lequel réside le processus qui a établi la connexion. |
Fixed (Fixé) Remote (Distant) Removable (Amovible) |
|
path |
Chemin d'accès du processus qui a établi la connexion. |
Chaîne |
|
protocole |
Protocole de communication utilisé par le processus. |
TCP UDP ICMP ICMPv6 IGMP RF |
|
remotePort |
Port de destination avec lequel le processus communique. |
0-65535 |
|
direction |
Sens des communications. |
Charger Télécharger Bidirectionnel Inconnu |
|
remoteIP |
Adresse IP de destination. |
Adresse IP |
|
localPort |
Adresse IP source. |
0-65535 |
|
localIP |
Adresse de destination IPv6. |
Adresse IP |
|
validSig |
Fichier signé numériquement qui a établi la connexion. |
Booléen |
|
company |
Contenu de l'attribut Company des métadonnées du fichier qui a établi la connexion. |
Chaîne |
|
catégorie |
Catégorie actuelle du processus qui a établi la connexion. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
mwName |
Nom du logiciel malveillant si le processus qui a établi la connexion est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|
firstCategory |
Catégorie du processus lors de sa première classification. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
times |
Nombre de fois où un événement de communication donné est survenu au cours de la dernière heure. Pour que deux événements de communication soient considérés comme identiques, ces paramètres ainsi que le sens de la communication doivent être identiques :
La première fois qu'une communication est détectée, un événement est envoyé avec le champ d'heure défini sur 1. Plus tard, pour chaque heure qui s'écoule après le premier événement, le champ d'heures indique le nombre d'événements de communication égaux survenus au cours de cette période moins 1, ainsi que la date du dernier événement enregistré. |
Numeric |
toastblocked
Ce tableau de données contient un enregistrement pour chaque processus bloqué car WatchGuard EPDR ou WatchGuard EDR n'a pas encore renvoyé la classification appropriée.
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|
machineName |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
user |
Nom d'utilisateur du processus bloqué. |
Chaîne |
|
muid |
Identifiant unique de l'ordinateur. |
Chaîne au format : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
|
hash |
Prétraitement ou hachage du processus bloqué. |
Chaîne |
|
path |
Chemin d'accès du processus bloqué. |
Chaîne |
|
toastBlockReason |
0 OK: L'utilisateur accepte le message. 1 Timeout: Le message contextuel disparaît en l'absence d'action de l'utilisateur. 2 Angry: L'utilisateur rejette l'action de blocage. 3 Block 4 Allow 5 BadCall |
Recenseur |
|
toastResult |
Résultat du message contextuel :
|
Recenseur |
URLdownload
Ce tableau de données contient des informations sur les téléchargements HTTP effectués par les processus vus sur le réseau (tels que les URL, les données de fichiers téléchargés, les ordinateurs qui ont téléchargé des données).
| Champ | Description | Valeurs |
|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
|
Machine |
Nom de l'ordinateur. |
Chaîne |
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
|
Utilisateur |
Nom d'utilisateur du processus. |
Chaîne |
|
muid |
Identifiant interne de l'ordinateur client. |
Chaîne au format : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
|
url |
URL de téléchargement. |
URL stem |
|
parentHash |
Prétraitement ou hachage du processus qui a téléchargé le fichier. |
Chaîne |
|
parentDriveType |
Type de lecteur sur lequel réside le processus qui a téléchargé le fichier. |
Fixed (Fixé) Remote (Distant) Removable (Amovible) |
|
parentPath |
Chemin d'accès du processus qui a téléchargé le fichier. |
Chaîne |
|
parentValidSig |
Processus signé numériquement qui a téléchargé le fichier. |
Booléen |
|
parentCompany |
Contenu de l'attribut Company des métadonnées du processus qui a téléchargé le fichier. |
Chaîne |
|
parentCat |
Catégorie du processus qui a téléchargé le fichier. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
parentMwname |
Nom du logiciel malveillant si le processus qui a téléchargé le fichier est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|
childHash |
Prétraitement ou hachage du fichier téléchargé. |
Chaîne |
|
childDriveType |
Type de lecteur sur lequel réside le processus qui a téléchargé le fichier. |
Fixed (Fixé) Remote (Distant) Removable (Amovible) |
|
childPath |
Chemin d'accès du fichier téléchargé. |
Chaîne |
|
childValidSig |
Fichier téléchargé signé numériquement. |
Booléen |
|
childCompany |
Contenu de l'attribut Company des métadonnées du fichier téléchargé. |
Chaîne |
|
childCat |
Catégorie du fichier téléchargé. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance |
|
childMWname |
Nom du logiciel malveillant si le fichier téléchargé est classé comme menace. |
Chaîne Nul si l'élément n'est pas un logiciel malveillant |
|
firstParentCat |
Classification initiale du fichier parent qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
|
firstChildCat |
Classification initiale du fichier enfant qui a effectué l'opération journalisée. |
Logiciel Légitime Logiciel Malveillant PPI Inconnu Surveillance Nul |
vulnerableappsfound
Ce tableau de données journalise chaque application vulnérable détectée sur les ordinateurs du réseau.
| Champ | Description | Valeurs | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
eventdate |
Date et heure auxquelles l'événement a été reçu sur le serveur d'Advanced Reporting Tool. Les données sont conservées pendant un an. La valeur dans l'UI de gestion dépend du fuseau horaire configuré sur l'ordinateur. |
Date |
||||||||
|
serverdate |
Date et heure auxquelles l'événement a été enregistré sur l'ordinateur de l'utilisateur (au format UTC). |
Date |
||||||||
|
muid |
Identifiant interne de l'ordinateur. |
Chaîne au format : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx |
||||||||
|
machineName |
Nom de l'ordinateur. |
Chaîne |
||||||||
|
machineIP |
Adresse IP de l'ordinateur. |
Adresse IP |
||||||||
|
criticalSoftEventType |
Indique l'existence d'un logiciel vulnérable. |
Actuel |
||||||||
|
itemHash |
Prétraitement du programme vulnérable trouvé sur l'ordinateur. |
Chaîne |
||||||||
|
fileName |
Nom du fichier vulnérable. |
Chaîne |
||||||||
|
filePath |
Chemin d'accès complet du fichier vulnérable. |
Chaîne |
||||||||
|
internalName |
Contenu de l'attribut Name des métadonnées du fichier vulnérable. |
Chaîne |
||||||||
|
companyName |
Contenu de l'attribut Company des métadonnées du fichier vulnérable. |
Chaîne |
||||||||
|
fileVersion |
Contenu de l'attribut Version des métadonnées du fichier vulnérable. |
Chaîne |
||||||||
|
productVersion |
Contenu de l'attribut ProductVersion des métadonnées du fichier vulnérable. |
Chaîne |
||||||||