IOA (攻撃の指標) イベント

accesstype

ファイル アクセス マスク：

• (54) WMI_CREATEPROC: Local WMI

その他すべての操作：

• https://docs.microsoft.com/en-us/windows/win32/ secauthz/access-mask
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-access-rights-constants
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-security-and-access-rights

accnube

顧客コンピュータにインストールされているエージェントから、WatchGuard Cloud にアクセスすることができます。

action

WatchGuard エージェント、ユーザー、または影響を受けたプロセスによって実行されるアクションの種類は、以下の通りです。

• 0 (Allow) — エージェントにより、プロセスの実行が許可された。
• 1 (Block) — エージェントにより、プロセスの実行がブロックされた。
• 2 (BlockTimeout) — エージェントにより、ユーザーにポップアップ メッセージが表示されたが、ユーザーが時間内に応答しなかった。
• 3 (AllowWL) — プロセスがローカルのグッドウェア許可リストに入っているため、エージェントにより、プロセスの実行が許可された。
• 4 (BlockBL) — プロセスがローカル マルウェア ブロックリストに入っているため、エージェントにより、プロセスの実行がブロックされた。
• 5 (Disinfect) — エージェントにより、プロセスが駆除された。
• 6 (Delete) — エージェントにより、プロセスがマルウェアとして分類され、駆除できなかったためにこれが削除された。
• 7 (Quarantine) — エージェントにより、プロセスがマルウェアとして分類され、これがコンピュータの検疫フォルダに移動された。
• 8 (AllowByUser) — エージェントにより、ユーザーにポップアップ メッセージが表示され、ユーザーが「実行を許可する」と応答した。

• 9 (Informed) — エージェントにより、ユーザーにポップアップ メッセージが表示された。
• 10 (Unquarantine) — エージェントにより、ファイルが検疫フォルダから削除された。
• 11 (Rename) — エージェントにより、ファイル名が変更された。このアクションは、テストにのみ使用される。

• 12 (BlockURL) — エージェントにより、URL がブロックされた。

• 13 (KillProcess) — エージェントにより、プロセスが閉じられた。

• 14 (BlockExploit) — エージェントにより、脆弱なプロセスを悪用する試みが阻止された。

• 15 (ExploitAllowByUser) — ユーザーが、悪用されたプロセスを閉じることを許可しなかった。

• 16 (RebootNeeded) — エージェントから、エクスプロイトの試みをブロックするためにコンピュータの再起動が要求された。

• 17 (ExploitInformed) — エージェントにより、脆弱なプロセスを悪用する試みが発生したことを通知するポップアップ メッセージがユーザーに表示された。

• 18 (AllowSonGWInstaller) — プロセスがグッドウェアとして分類されたインストール パッケージに属しているため、エージェントにより、プロセスの実行が許可された。

• 19 (EmbebedInformed) — 検出ルーチンを改善するために、エージェントから、内部操作情報がクラウドに送信された。

• 21 (SuspendProcess) — 監視対象プロセスで、ウイルス対策サービスを一時停止しようとする試みが発生した。

• 22 (ModifyDiskResource) — 監視対象プロセスで、エージェント シールドにより保護されているリソースを変更しようとする試みが発生した。

• 23 (ModifyRegistry) — 監視対象プロセスで、エージェント シールドにより保護されているレジストリ キーを変更しようとする試みが発生した。

• 24 (RenameRegistry) — 監視対象プロセスで、エージェント シールドにより保護されているレジストリ キーの名前を変更しようとする試みが発生した。

• 25 (ModifyMarkFile) — 監視対象プロセスで、エージェント シールドにより保護されているファイルを変更しようとする試みが発生した。

• 26 (Undefined) — プロセス操作の監視中にエラーが発生した。

• 28 (AllowFGW) — 操作がローカルのグッドウェア許可リストに入っているため、エージェントにより、監視対象プロセスにおける操作の実行が許可された。

• 29 (AllowSWAuthorized) — 管理者によりファイルが承認済みソフトウェアとしてマーク付けされているため、エージェントにより、監視対象プロセスにおける操作の実行が許可された。

• 30 (InformNewPE) — Data Control でドラッグ アンド ドロップ機能がオンになっているため、エージェントにより、コンピュータ上に新しいファイルが出現したことが報告された。

• 31 (ExploitAllowByAdmin) — ネットワーク管理者によりエクスプロイトが除外されているため、エージェントにより、監視対象プロセスにおける操作の実行が許可された。

• 32 (IPBlocked) — RDP (リモート デスクトップ プロトコル) 攻撃を軽減するために、エージェントにより、IP がブロックされた。

actiontype

セッションの種類：

• 0 (Login) — 顧客コンピュータにログインする。
• 1 (Logout) — 顧客コンピュータからログアウトする。
• -1 (Unknown) — セッションの種類を判別できない。

age

ファイルが最後に変更された日付：

blockreason

コンピュータにポップアップ メッセージが表示される理由：

• 0 — ファイルが不明であり、WatchGuard Advanced EPDR、EPDR と EDR の高度な保護モードが Hardening またはロックに設定されているため、ファイルがブロックされた。
• 1 — ローカル ルールにより、ファイルがブロックされた。
• 2 — 送信元が非信頼であるため、ファイルがブロックされた。
• 3 — コンテキスト ルールにより、ファイルがブロックされた。
• 4 — ファイルがエクスプロイトであるため、ファイルがブロックされた。
• 5 — ユーザーにプロセスを閉じるように要求した後、ファイルがブロックされた。

bytesreceived

監視対象プロセスで受信された合計バイト数。

bytessent

監視対象プロセスにより送信された合計バイト数。

callstack/sonsize

子ファイルのバイト単位のサイズ。

childattributes

子プロセスの属性：

• 0x0000000000000001 (ISINSTALLER) — 自己解凍 (SFX) ファイル。
• 0x0000000000000002 (ISDRIVER) — ドライバ タイプのファイル。
• 0x0000000000000008 (ISRESOURCESDLL) — リソース DLL タイプのファイル。
• 0x0000000000000010 (EXTERNAL) — コンピュータ外部からのファイル。

• 0x0000000000000020 (ISFRESHUNK) — WatchGuard ナレッジ ベースに最近追加されたファイル。

• 0x0000000000000040 (ISDISSINFECTABLE) — 駆除アクションが推奨されているファイル。

• 0x0000000000000080 (DETEVENT_DISCARD) — イベントベースのコンテキスト検出技術により、不審なものが検出されなかった。

• 0x0000000000000100 (WAITED_FOR_VINDEX) — 作成が登録されていないファイルが実行された。

• 0x0000000000000200 (ISACTIONSEND) — WatchGuard エージェントではファイルのマルウェアが検出されなかったが、分類のためにこれが WatchGuard に送信された。

• 0x0000000000000400 (ISLANSHARED) — ネットワーク ドライブに保存されているファイル。

• 0x0000000000000800 (USERALLOWUNK) — 不明な DLL をインポートすることが許可されているファイル。

• 0x0000000000001000 (ISSESIONREMOTE) — リモート セッションから発生したイベント。

• 0x0000000000002000 (LOADLIB_TIMEOUT) — 保護機能でライブラリのロードが傍受されてからスキャンされるまでの時間が 1 秒を超過した。その結果、パフォーマンスへの影響を回避するために、スキャンが同期から非同期に変更された。

• 0x0000000000004000 (ISPE) — 実行可能ファイル。

• 0x0000000000008000 (ISNOPE) — 非実行ファイル。

• 0x0000000000020000 (NOSHELL) — エージェントにより、システムにおけるシェル コマンドの実行が検出されなかった。

• 0x0000000000080000 (ISNETNATIVE) — NET ネイティブ ファイル。

• 0x0000000000100000 (ISSERIALIZER) — シリアライザ ファイル。

• 0x0000000000200000 (PANDEX) — パッチ管理によって作成されたプロセスのリストに含まれているファイル

• 0x0000000000400000 (SONOFGWINSTALLER) — グッドウェアとして分類されたインストーラにより作成されたファイル。

• 0x0000000000800000 (PROCESS_EXCLUDED) — WatchGuard EPDR で除外されているため、スキャンされなかったファイル。

• 0x0000000001000000 (INTERCEPTION_TXF) — 傍受された操作は、ディスクのイメージが変更されている実行可能ファイルによって開始された。

• 0x0000000002000000 (HASMACROS) — マクロが含まれている Microsoft Office ドキュメント。

• 0x0000000008000000 (ISPEARM) — ARM マイクロプロセッサの実行可能ファイル。

• 0x0000000010000000 (ISDYNFILTERED) — ファイルを分類する技術がないため、ファイルがコンピュータで許可された。

• 0x0000000020000000 (ISDISINFECTED) — ファイルが駆除された。

• 0x0000000040000000 (PROCESSLOST) — 操作がログに記録されなかった。

• 0x0000000080000000 (OPERATION_LOST) — スキャン後レポートがまだ受信されていないスキャン前レポートによる操作。

childblake

子ファイルの Blake2 署名。

childclassification

ログに記録されたアクションを実行した子プロセスの分類：

• 0 (Unknown) — 分類中のファイル
• 1 (Goodware) — グッドウェアとして分類されたファイル
• 2 (Malware) — マルウェアとして分類されたファイル
• 3 (Suspect) — 分類中で、マルウェアである可能性が高いファイル
• 4 (Compromised) — エクスプロイト攻撃によって侵害されたプロセス
• 5 (GWNotConfirmed) — 分類中で、マルウェアである可能性が非常に高いファイル
• 6 (Pup) — 迷惑なプログラムとして分類されたファイル
• 7 (GwUnwanted) — PUP に相当
• 8 (GwRanked) — グッドウェアとして分類されたプロセス
• -1 (Unknown)

childfiletime

エージェントで子ファイルがログ記録された日付

childfilesize

エージェントでログ記録された子ファイルのサイズ

childmd5

子ファイルのハッシュ

childpath

ログに記録された操作を実行した子ファイルのパス

ChildPID

子プロセスの ID

childurl

ファイルのダウンロード URL

childstatus

子プロセスのステータス：

• 0 (StatusOk) — ステータスが OK である。
• 1 (NotFound) — アイテムが見つからなかった。
• 2 (UnexpectedError) — 不明のエラーが発生した。
• 3 (StaticFiltered) — WatchGuard Advanced EPDR、EPDR と EDR 保護に含まれている静的情報を使用して、ファイルがマルウェアとして識別された。
• 4 (DynamicFiltered) — Advanced EPDR、EPDR と EDR に実装されているローカル技術を使用して、ファイルがマルウェアとして識別された。
• 5 (FileIsTooBig) — ファイルが大きすぎる。
• 6 (PEUploadNotAllowed) — ファイル送信が無効化された。
• 11 (FileWasUploaded) — 分析のためにファイルがクラウドに送信された。
• 12 (FiletypeFiltered) — リソース DLL、NET ネイティブ、またはシリアライザ タイプのファイルである。
• 13 (NotUploadGWLocal) — グッドウェア ファイルが WatchGuard Cloud に保存されていない。
• 14 (NotUploadMWdisinfect) — 駆除されたマルウェア ファイルが WatchGuard Cloud に保存されていない。

classname

プロセスが存在するデバイスの種類。これは、デバイスに関連付けられている .INF ファイルで指定されたクラスに対応する。

configstring

使用中の MVMF.xml ファイルのバージョン

commandline

WMI 経由で実行されるタスクとして構成されたコマンド ライン

confadvancedrules

WatchGuard EDR、EPDR または Advanced EPDR の高度なセキュリティ ポリシー設定。

copy

イベントをトリガーしたサービスの名前

details

イベントの関連フィールドのグループの形式で表示される概要

description

操作が実行された USB デバイスの説明

detectionid

検出の一意の識別子

devicetype

ログ記録された操作をトリガーしたプロセスまたはファイルが存在するドライブの種類：

• 0 (UNKNOWN) — 不明
• 1 (CD_DVD) — CD または DVD ドライブ
• 2 (USB_STORAGE) — USB ストレージ デバイス
• 3 (IMAGE) — イメージ ファイル
• 4 (BLUETOOTH) — Bluetooth デバイス
• 5 (MODEM) — モデム
• 6 (USB_PRINTER) — USB プリンタ
• 7 (PHONE) — 携帯電話
• 8 (KEYBOARD) — キーボード
• 9 (HID) — マウス

direction

ネットワーク接続の方向：

• 0 (UnKnown) — 不明
• 1 (Incoming) — ネットワークの外部から顧客ネットワークのコンピュータに対して確立された接続
• 2 (Outgoing) — 顧客ネットワークのコンピュータからネットワーク外のコンピュータに対して確立された接続
• 3 (Bidirectional) — 双方向

domainlist

解決のためにプロセスで DNS サーバーに送信されたドメインのリストとドメインごとの解決の数

domainname

プロセスでアクセス/解決が試みられたドメインの名前

errorcode

ログイン試行の失敗が発生した際にオペレーティング システムから返されるエラー コード：

• 1073740781 (ファイアウォールの保護対象) — ログインしているコンピュータが認証ファイアウォールにより保護されている。指定されたアカウントはマシンで認証を受けることが許可されていない。
• 1073741074 (セッション開始エラー) — ログイン中にエラーが発生した。
• 1073741260 (ブロックされたアカウント) — アクセスがブロックされた。
• 1073741275 (Windows エラー［リスクなし］) — リスクではなく、Windows のバグ。
• 1073741276 (再起動時にパスワードの変更が必要) — 次回の起動時にユーザー パスワードを変更する必要がある。
• 1073741477 (無効な権限) — ユーザーが許可されていない種類のログインを要求した。
• 1073741421 (アカウントの有効期限切れ) — アカウントの有効期限が切れた。
• 1073741422 (Netlogon が初期化されていない状態) — ログインの試みが発生したが、Netlogon サービスが開始されていなかった。
• 1073741428 (ドメインの信頼確立の失敗) — プライマリ ドメインと信頼済みドメイン間の信頼関係が失敗したため、ログイン要求が失敗した。
• 1073741517 (クロック差が大きすぎる状態) — 接続されているコンピュータのクロックが大きくずれている。
• 1073741604 (無効なサム サーバー) — 検証サーバーに障害が発生した。操作を実行できない。
• 1073741710 (無効なアカウント) — アカウントが無効化されている。
• 1073741711 (パスワードの有効期限切れ) — パスワードの有効期限が切れた。
• 1073741712 (ログインが許可されていないワークステーション) — 未承認のコンピュータからのログイン試行が発生した。
• 1073741713 (ユーザー アカウントの時間的制限) — 制限されている時間にログイン試行が発生した。
• 1073741714 (無効なユーザー名またはパスワード) — 不明なユーザー名または間違ったパスワードが使用された。
• 1073741715 (無効なユーザー名または認証情報) — ユーザー名または認証情報が間違っている。
• 1073741718 (無効なパスワード) — ユーザー名は正しいが、パスワードが間違っている。
• 1073741724 (無効なユーザー名) — ユーザー名が存在しない。
• 1073741730 (使用不可なログイン サーバー) — ログインの検証に必要なサーバーが使用できない。

errorstring

セキュリティ製品の設定に関するデバッグ情報が含まれた文字列

eventtype

エージェントによりログに記録されるイベントの種類：

• 1 (ProcessOps) — コンピュータ ハード ディスクで操作が実行されたプロセス
• 14 (Download) — データがダウンロードされたプロセス
• 22 (NetworkOps) — ネットワーク操作が実行されたプロセス
• 26 (DataAccess) — 内部マス ストレージ デバイスでホストされているデータ ファイルへのアクセスが発生したプロセス
• 27 (RegistryOps) — Windows レジストリへのアクセスが発生したプロセス
• 30 (ScriptOps) — スクリプト タイプのプロセスで実行された操作
• 31 (ScriptOps) — スクリプト タイプのプロセスで実行された操作
• 40 (Detection) — WatchGuard Endpoint Security アクティブ保護によって行われた検出
• 42 (BandwidthUsage) — プロセスで実行される各データ転送操作で処理される情報の量
• 45 (SystemOps) — Windows オペレーティング システムの WMI エンジンにより実行された操作
• 46 (DnsOps) — DNS ネーム サーバーにアクセスしたプロセス
• 47 (DeviceOps) — 外部デバイスにアクセスしたプロセス
• 50 (UserNotification) — ユーザーに表示される通知と応答 (存在する場合)
• 52 (LoginOutOps) — ユーザーが実行したログインまたはログアウト操作
• 99 (RemediationOps) — WatchGuard エージェント における検出、ブロック、駆除イベント
• 100 (HeaderEvent) — 保護ソフトウェアの設定とバージョンに関する情報およびコンピュータと顧客の情報が含まれている管理イベント
• 199 (HiddenAction) — アラートがトリガーされなかった検出イベント

exploitorigin

エクスプロイト プロセスの試みの発信元：

• 1 (URL) — URL アドレス
• 2 (FILE) — ファイル

extendedinfo

Type イベントに関する追加情報：

• 0 (コマンド ライン イベントの作成) — 空
• 1 (アクティブなスクリプト イベントの作成) — スクリプト ファイル名
• 2 (コンシューマをフィルタリングするイベント コンシューマ) — 空
• 3 (クエリをフィルタリングするイベント コンシューマ) — 空
• 4 (ユーザーの作成) — 空
• 5 (ユーザーの削除) — 空
• 6 (ユーザー グループの追加) — グループ SID
• 7 (ユーザー グループの削除) — グループ SID
• 8 (ユーザー グループ管理者) — グループ SID
• 9 (ユーザー グループ RDP) — グループ SID

failedqueries

過去 1 時間以内にプロセスにより送信された DNS 解決要求の中で失敗した数

friendlyname

読みやすいデバイス名

firstseen

ファイルが最初に認識された日付

hostname

プロセスが実行されたコンピュータの名前

infodiscard

検疫ファイルの内部情報

ipv4status

IP アドレスの種類：

• 0 (Private)
• 1 (Public)

isdenied

報告されたアクションが拒否されたかどうかを示す

islocal

タスクがローカル コンピュータで作成されたか、リモート コンピュータで作成されたかを示す

Interactive

ログインがインタラクティブ ログインであるかどうかを示す

idname

デバイス名

key

影響を受けたレジストリ ブランチまたはキー

lastquery

WatchGuard Endpoints Agent によりクラウドに送信された最後のクエリ。

localip

プロセスのローカル IP アドレス

localport

方向フィールドによって異なる：

• 送信 — WatchGuard EDR、EPDR および Advanced EPDR の保護対象コンピュータで実行されたプロセスのポート.
• 受信 — リモート コンピュータで実行されたプロセスのポート

localdatetime

ログ記録されたイベント発生時のコンピュータの日付 (UTC 形式)。この日付はコンピュータの設定によって異なるため、正しくない可能性がある。

loggeduser

イベントの生成時にコンピュータにログインしていたユーザー

machinename

プロセスが実行されたコンピュータの名前

manufacturer

デバイス メーカー

MUID

顧客のコンピュータの内部 ID。

objectname

WMI 階層内のオブジェクトの一意の名前

opentstamp

WMI_CREATEPROC (54) イベントの WMI 通知の日付

operation

プロセスで実行された操作の種類：

• 0 (CreateProc) — プロセスが作成された。
• 1 (PECreat) — 実行可能プログラムが作成された。
• 2 (PEModif) — 実行可能プログラムが変更された。
• 3 (LibraryLoad) — ライブラリがロードされた。
• 4 (SvcInst) — サービスがインストールされた。
• 5 (PEMapWrite) — 実行可能プログラムが書き込みアクセスにマッピングされた。
• 6 (PEDelet) — 実行可能プログラムが削除された。
• 7 (PERenam) — 実行可能プログラムの名前が変更された。
• 8 (DirCreate) — フォルダが作成された。
• 9 (CMPCreat) — 圧縮ファイルが作成された。
• 10 (CMOpened) — 圧縮ファイルが開かれた。
• 11 (RegKExeCreat) — 実行可能ファイルをポイントするレジストリ ブランチが作成された。
• 12 (RegKExeModif) — レジストリ ブランチが変更され、実行可能ファイルをポイントするようになった。
• 15 (PENeverSeen) — WatchGuard EPDR でこれまでに認知されたことのない実行可能プログラム。
• 17 (RemoteThreadCreated): リモート スレッドが作成された。
• 18 (ProcessKilled) — プロセスが強制終了された。
• 25 (SamAccess) — コンピュータ SAM へのアクセス。
• 30 (ExploitSniffer) — スニッフィング エクスプロイト手法が検出された。
• 31 (ExploitWSAStartup) — WSAStartup エクスプロイト手法が検出された。
• 32 (ExploitInternetReadFile) — InternetReadFile エクスプロイト手法が検出された。
• 34 (ExploitCMD) — CMD エクスプロイト手法が検出された。

• 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — ntvdm.exe により 16 ビットファイルがロードされた。

• 43 (Heuhooks) — エクスプロイト対策技術が検出された。

• 54 (Create process by WMI) — 変更された WMI によりプロセスが作成された。

• 55 (AttackProduct) — エージェント サービス、ファイル、レジストリ キーで攻撃が検出された。

• 61 (OpenProcess LSASS) — LSASS プロセスが開始された。

operationflags/integrityLevel

Windows からアイテムに割り当てられた整合性レベルを示す：

• 0x0000 非信頼レベル
• 0x1000 低整合性レベル
• 0x2000 中程度の整合性レベル
• 0x3000 高整合性レベル
• 0x4000 システム整合性レベル
• 0x5000 保護対象

operationstatus

イベントを Advanced Reporting Tool に送信する必要性の有無を示す：

• 0 — 送信する
• 1 — エージェントでフィルタリング済み
• 2 — 送信しない

origusername

操作を実行したコンピュータのユーザー

pandaid

顧客 ID

pandaorionstatus

WatchGuard Cloud のクロックと比較した顧客コンピュータの時間設定のステータスを示す：

• 0 (サポートされていないバージョン) — 顧客コンピュータで、時間設定と WatchGuard 設定の同期がサポートされていない。
• 1 (再計算された WatchGuard 時間) — 顧客がコンピュータの時間設定を修正して、WatchGuard 設定に同期した。
• 2 (WatchGuard 時間が OK) — 顧客コンピュータの時間設定が正しい。
• 3 (WatchGuard 時間計算エラー) — コンピュータの時間設定の修正中にエラーが発生した。

pandatimestatus

DateTime、Date、LocalDateTime フィールドのコンテンツ

parentattributes

親プロセスの属性：

• 0x0000000000000001 (ISINSTALLER) — 自己解凍 (SFX) ファイル。
• 0x0000000000000002 (ISDRIVER) — ドライバ タイプのファイル。
• 0x0000000000000008 (ISRESOURCESDLL) — リソース DLL タイプのファイル。
• 0x0000000000000010 (EXTERNAL) — コンピュータ外部からのファイル。
• 0x0000000000000020 (ISFRESHUNK) — ナレッジ ベースに最近追加されたファイル。
• 0x0000000000000040 (ISDISSINFECTABLE) — 駆除アクションが推奨されているファイル。

• 0x0000000000000080 (DETEVENT_DISCARD) — イベントベースのコンテキスト検出技術により、不審なものが検出されなかった。

• 0x0000000000000100 (WAITED_FOR_VINDEX) — 作成が登録されていないファイルが実行された。

• 0x0000000000000200 (ISACTIONSEND) — ローカル技術ではファイルのマルウェアが検出されなかったが、分類のためにこれが WatchGuard に送信された。

• 0x0000000000000400 (ISLANSHARED) — ネットワーク ドライブに保存されているファイル。

• 0x0000000000000800 (USERALLOWUNK) — 不明な DLL をインポートすることが許可されているファイル。

• 0x0000000000001000 (ISSESIONREMOTE) — リモート セッションから発生したイベント。

• 0x0000000000002000 (LOADLIB_TIMEOUT) — 保護機能でライブラリのロードが傍受されてからスキャンされるまでの時間が 1 秒を超過した。その結果、パフォーマンスへの影響を回避するために、スキャンが同期から非同期に変更された。

• 0x0000000000004000 (ISPE) — 実行可能ファイル。

• 0x0000000000008000 (ISNOPE) — 非実行ファイル。

• 0x0000000000020000 (NOSHELL) — エージェントにより、システムにおけるシェル コマンドの実行が検出されなかった。

• 0x0000000000080000 (ISNETNATIVE) — NET ネイティブ ファイル。

• 0x0000000000100000 (ISSERIALIZER) — シリアライザ ファイル。

• 0x0000000000400000 (SONOFGWINSTALLER) — グッドウェアとして分類されたインストーラにより作成されたファイル。

• 0x0000000001000000 (INTERCEPTION_TXF) — 傍受された操作は、ディスクのイメージが変更されている実行可能ファイルによって開始された。

• 0x0000000002000000 (HASMACROS) — マクロが含まれている Microsoft Office ドキュメント。

• 0x0000000008000000 (ISPEARM) — ARM マイクロプロセッサの実行可能ファイル。

• 0x0000000010000000 (ISDYNFILTERED) — ファイルを分類する技術がないため、ファイルがコンピュータで許可された。

• 0x0000000020000000 (ISDISINFECTED) — ファイルが駆除された。

• 0x0000000040000000 (PROCESSLOST) — 操作がログに記録されなかった。

• 0x0000000080000000 (OPERATION_LOST) — スキャン後レポートがまだ受信されていないスキャン前レポートによる操作。

parentblake

操作を実行した親ファイルの Blake2 署名

parentcount

DNS 失敗が発生したプロセスの数

parentmd5

親ファイルのハッシュ

parentpath

ログ記録された操作を実行した親ファイルのパス

parentpid

親プロセス ID

parentstatus

親プロセスのステータス：

• 0 (StatusOk) — ステータスが OK である。
• 1 (NotFound) — アイテムが見つからなかった。
• 2 (UnexpectedError) — 不明のエラーが発生した。
• 3 (StaticFiltered) — WatchGuard Endpoint Security に含まれている静的情報を使用して、ファイルがマルウェアとして識別された。
• 4 (DynamicFiltered) — WatchGuard EDR、EPDR と Advanced EPDR に実装されているローカル技術を使用して、ファイルがマルウェアとして識別された。
• 5 (FileIsTooBig) — ファイルが大きすぎる。
• 6 (PEUploadNotAllowed) — ファイル送信が無効化された。
• 11 (FileWasUploaded) — ファイルがクラウドに送信された。
• 12 (FiletypeFiltered) — リソース DLL、NET ネイティブ、またはシリアライザ タイプのファイルである。
• 13 (NotUploadGWLocal) — グッドウェア ファイルがクラウドに保存されていない。
• 14 (NotUploadMWdisinfect) — 駆除されたマルウェア ファイルがクラウドに保存されていない。

pecreationsource

プロセスが作成されたドライブの種類：

• (0) 不明 — デバイスの種類を特定できない。
• (1) ルート ディレクトリ以外 — デバイス パスが無効である。たとえば、外部ストレージ メディアが抽出されている。
• (2) リムーバブル メディア — リムーバブル ストレージ メディア。
• (3) 固定メディア — 内部ストレージ メディア。
• (4) リモート ドライブ — リモート ストレージ メディア (ネットワーク ドライブなど)。
• (5) CD-ROM ドライブ。
• (6) RAM ディスク。

phonedescription

操作にこの種類のデバイスが関与しているかどうかの電話の説明

protocol

プロセスで使用された通信プロトコル：

• 1 (ICMP)
• 2 (IGMP)
• 3 (RFCOMM)
• 6 (TCP)
• 12 (RDP)
• 17 (UDP)
• 58 (ICMPV6)
• 113 (RM)

querieddomaincount

過去 1 時間に DNS 解決に失敗したプロセスから送信された異なるドメインの数

regaction

コンピュータの Windows レジストリで実行された操作の種類：

• 0 (CreateKey) — 新しいレジストリ ブランチが作成された。
• 1 (CreateValue) — レジストリ ブランチに値が割り当てられた。
• 2 (ModifyValue) — レジストリ ブランチの値が変更された。

remediationresult

WatchGuard Advanced EPDR、EPDR または EDR により表示されたポップアップ メッセージに対するユーザーの応答：

• 0 (Ok) — 顧客がメッセージを受け入れた。
• 1 (Timeout) — ユーザーのアクションの欠如により、ポップアップ メッセージが消失した。
• 2 (Angry) — ポップアップ メッセージに表示されたアイテムをブロックしないオプションをユーザーが選択した。
• 3 (Block) — ユーザーがポップアップ メッセージに応答しなかったため、アイテムがブロックされた。
• 4 (Allow) — ユーザーが解決策を受け入れた。
• -1 (Unknown)

remoteip

リモート セッションが開始されたコンピュータの IP アドレス

remotemachinename

リモート セッションが開始されたコンピュータの名前

remoteport

方向フィールドによって異なる：

• 受信 — WatchGuard EDR、EPDR または Advanced EPDR の保護対象コンピュータで実行されたプロセスのポート
• 送信 — リモート コンピュータで実行されたプロセスのポート

remoteusername

リモート セッションが開始されたコンピュータの名前

sessiondate

前回にウイルス対策サービスが開始された日付、または前回の更新以降に開始された前回の日付

sessiontype

ログインの種類：

• 0 (System Only) — システム アカウントからセッションが開始された。
• 2 (Local) — キーボードまたは KVM over IP 経由でセッションが物理的に作成された。
• 3 (Remote) — 共有フォルダまたはプリンタでリモートにセッションが作成された。このログインの種類では、安全な認証が使用されている。
• 4 (Scheduled) — Windows タスク スケジューラによりセッションが作成された。
• -1 (Unknown)
• 5 (Service) — ユーザー セッションで実行される必要のあるサービスの起動時にセッションが作成された。サービスが停止すると、セッションは削除される。
• 7 (Blocked) — 以前にブロックされたセッションにユーザーがアクセスを試みた際にセッションが作成された。
• 8 (Remote Unsecure) — 3 の種類と同様だが、パスワードはプレーン テキストで送信される。
• 9 (RunAs) — ログインに使用されたアカウント以外のアカウントで「RunAs」コマンドが使用され、「/netonly」パラメータが指定された際にセッションが作成された。「/netonly」パラメータが指定されていない場合は、2 の種類のセッションが作成される。
• 10 (TsClient) — 「Terminal Service」、「Remote Desktop」、または「Remote Assistance」経由でのアクセス時にセッションが作成された。これにより、リモート ユーザー接続が識別される。
• 11 (Domain Cached) — マシンにキャッシュされたドメイン認証でユーザー セッションが作成されたが、ドメイン コントローラには接続されていない。

servicelevel

エージェント実行モード：

• 0 (Learning) — エージェントではアイテムはブロックされないが、実行中のすべてのプロセスが監視される。
• 1 (Hardening) — 非信頼の送信元からの未分類プログラムおよびマルウェアとして分類されたアイテムがすべてエージェントでブロックされる。
• 2 (Block) — マルウェアとして分類されたすべての未分類の実行可能ファイルとアイテムがエージェントでブロックされる。
• -1 (N/A)

timeout

ローカル スキャンの完了に時間がかかりすぎたため、プロセスがパフォーマンスに影響を与えない他のメカニズムに委任された状態

times

過去 1 時間以内に同じ通信イベントが発生した回数

timestamp

インジケータが生成された顧客コンピュータで検出されたアクションのタイムスタンプ

totalresolutiontime

クラウドの応答にかかった時間およびエラー コード クエリの成否を示す：

• 0 — クラウドへのクエリなし
• >0 — クラウドからクエリの応答にかかった時間 (ミリ秒単位)
• <0 — クラウド クエリのエラー コード

type

プロセスで実行された WMI 操作の種類：

• 0 (コマンド ライン イベントの作成) — データベースの変更に応じて WMI でコマンド ラインが起動された。
• 1 (アクティブなスクリプト イベントの作成) — イベントの受信に応答してスクリプトが実行された。
• 2 (コンシューマをフィルタリングするイベント コンシューマ) — このイベントは、プロセスで通知の受信が登録されるたびに生成される。作成されたフィルタの名前が受信される。
• 3 (クエリをフィルタリングするイベント コンシューマ) — このイベントは、プロセスで通知の受信が登録されるたびに生成される。登録のプロセスによって実行されたクエリが受信される。
• 4 (ユーザーの作成) — ユーザー アカウントがオペレーティング システムに追加された。
• 5 (ユーザーの削除) — ユーザー アカウントがオペレーティング システムから削除された。
• 6 (ユーザー グループの追加) — グループがオペレーティング システムに追加された。
• 7 (ユーザー グループの削除) — グループがオペレーティング システムから削除された。
• 8 (ユーザー グループ管理者) — ユーザーが管理者グループに追加された。
• 9 (ユーザー グループ RDP)：ユーザーが RDP グループに追加された。

uniqueid

デバイスの一意の ID

url

ログ記録されたイベントが生成されたプロセスにより起動されたダウンロード URL

value

コンピュータの Windows レジストリで実行された操作の種類：

• 0 (CreateKey) — 新しいレジストリ ブランチが作成された。
• 1 (CreateValue) — レジストリ ブランチに値が割り当てられた。
• 2 (ModifyValue) — レジストリ ブランチの値が変更された。

valuedata

レジストリ ブランチに含まれている値のデータ型：

• 00 (REG_NONE)
• 01 (REG_SZ)
• 02 (REG_EXPAND_SZ)
• 03 (REG_BINARY)
• 04 (REG_DWORD)
• 05 (REG_DWORD_BIG_ENDIAN)
• 06 (REG_LINK)
• 07 (REG_MULTI_SZ)
• 08 (REG_RESOURCE_LIST)
• 09 (REG_FULL_RESOURCE_DESCRIPTOR)
• 0A (REG_RESOURCE_REQUIREMENTS_LIST)
• 0B (REG_QWORD)
• 0C (REG_QWORD_LITTLE_ENDIAN)

vdetevent

Deteven.dll DLL のバージョン

version

脆弱なソフトウェアが実行されたコンピュータのオペレーティング システムのバージョン

versionagent

インストールされているエージェントのバージョン

versioncontroller

Psnmvctrl.dll DLL のバージョン

vtabledetevent

TblEven.dll DLL のバージョン

vtableramsomevent

TblRansomEven.dll DLL のバージョン

vramsomevent

RansomEvent.dll DLL のバージョン

vantiexploit

エクスプロイト対策技術のバージョン

vtfilteraxtiexploit

エクスプロイト対策技術フィルタのバージョン

versionproduct

インストールされている保護製品のバージョン

winningtech

イベントを発生させた WatchGuard エージェント

• 0 (Unknown)
• 1 (Cache) — ローカルにキャッシュされた分類。
• 2 (Cloud) — クラウドからダウンロードされた分類。
• 3 (Context) — ローカル コンテキスト ルール。
• 4 (Serializer) — バイナリ型。
• 5 (User) — 実行するアクションについて、ユーザーに質問が表示された。
• 6 (LegacyUser) — 実行するアクションについて、ユーザーに質問が表示された。
• 7 (NetNative) — バイナリ型。
• 8 (CertifUA) — デジタル証明書による検出。
• 9 (LocalSignature) — ローカル署名。
• 10 (ContextMinerva) — クラウドでホストされているコンテキスト ルール。
• 11 (Blockmode) — プロセスで実行がブロックされた際、エージェントがハードニング モードまたはロックモードになっていた。
• 12 (Metasploit) — Metasploit フレームワークで攻撃が作成された。
• 13 (DLP) — データ漏洩防止技術。
• 14 (AntiExploit) — 脆弱なプロセスを悪用する試みを特定する技術。
• 15 (GWFilter) — グッドウェア プロセスを特定する技術。
• 16 (Policy) — WatchGuard EPDR の高度なセキュリティ ポリシー。
• 17 (SecAppControl) — セキュリティ アプリ制御技術。
• 18 (ProdAppControl) — 生産性アプリ制御技術。
• 19 (EVTContext) — Linux コンテキスト技術。
• 20 (RDP) — RDP (リモート デスクトップ プロトコル) 侵入と攻撃を検出/ブロックする技術。
• 21 (AMSI) — AMSI 通知のマルウェアを検出する技術。
• -1 (Unknown)