检查点字段

一些检查点模块

检查点

用于解析 Checkpoint Syslog 的模块。

checkpoint.confidence_level

ThreatCloud 确定的置信度。

类型: integer

checkpoint.calc_desc

日志描述。

类型: keyword

checkpoint.dst_country

目标国家/地区。

类型: keyword

checkpoint.dst_user_name

目标 IP 上连接的用户名。

类型: keyword

checkpoint.email_id

SMTP 连接中的电子邮件编号。

类型: keyword

checkpoint.email_subject

原始电子邮件主题。

类型: keyword

checkpoint.email_session_id

连接 UUID。

类型: keyword

checkpoint.event_count

与日志关联的事件数量。

类型: long

checkpoint.sys_message

系统消息

类型: keyword

checkpoint.logid

系统消息

类型: keyword

checkpoint.failure_impact

更新服务失败的影响。

类型: keyword

checkpoint.id

覆盖应用程序 ID。

类型: integer

checkpoint.identity_src

身份验证身份信息的来源。

类型: keyword

checkpoint.information

特定刀片的策略安装状态。

类型: keyword

checkpoint.layer_name

层名称。

类型: keyword

checkpoint.layer_uuid

层 UUID。

类型: keyword

checkpoint.log_id

日志的唯一标识。

类型: integer

checkpoint.malware_family

关于保护的附加信息。

类型: keyword

checkpoint.origin_sic_name

机器 SIC。

类型: keyword

checkpoint.policy_mgmt

管理此安全网关的管理服务器的名称。

类型: keyword

checkpoint.policy_name

此安全网关获取的最后一个策略的名称。

类型: keyword

checkpoint.protection_id

保护恶意软件 ID。

类型: keyword

checkpoint.protection_name

攻击的特定签名名称。

类型: keyword

checkpoint.protection_type

用于检测攻击的保护类型。

类型: keyword

checkpoint.protocol

在连接上检测到的协议。

类型: keyword

checkpoint.proxy_src_ip

发送方源 IP(即使在使用代理时)。

类型: ip

checkpoint.rule

匹配的规则编号。

类型: integer

checkpoint.rule_action

访问策略中匹配规则的操作。

类型: keyword

checkpoint.scan_direction

扫描方向。

类型: keyword

checkpoint.session_id

日志 UUID。

类型: keyword

checkpoint.source_os

生成攻击的操作系统。

类型: keyword

checkpoint.src_country

国家/地区名称,派生自连接源 IP 地址。

类型: keyword

checkpoint.src_user_name

连接到源 IP 的用户名

类型: keyword

checkpoint.ticket_id

每个文件的唯一 ID。

类型: keyword

checkpoint.tls_server_host_name

URLF 用于分类的加密 TLS 连接中的 SNI/CN。

类型: keyword

checkpoint.verdict

TE 引擎裁决。可能的值:恶意/良性/错误。

类型: keyword

checkpoint.user

源用户名。

类型: keyword

checkpoint.vendor_list

为恶意 URL 提供裁决的供应商名称。

类型: keyword

checkpoint.web_server_type

在 HTTP 响应中检测到的 Web 服务器。

类型: keyword

checkpoint.client_name

检测到事件的客户端应用程序或软件刀片。

类型: keyword

checkpoint.client_version

安装在计算机上的 SandBlast Agent 客户端的内部版本。

类型: keyword

checkpoint.extension_version

SandBlast Agent 浏览器扩展的内部版本。

类型: keyword

checkpoint.host_time

端点计算机上的本地时间。

类型: keyword

checkpoint.installed_products

已安装的端点软件刀片列表。

类型: keyword

checkpoint.cc

电子邮件的抄送地址。

类型: keyword

checkpoint.parent_process_username

触发攻击的进程的父进程的所有者用户名。

类型: keyword

checkpoint.process_username

触发攻击的进程的所有者用户名。

类型: keyword

checkpoint.audit_status

审核状态。可以是成功或失败。

类型: keyword

checkpoint.objecttable

受影响对象表。

类型: keyword

checkpoint.objecttype

受影响对象的类型。

类型: keyword

checkpoint.operation_number

操作编号。

类型: keyword

checkpoint.email_recipients_num

邮件发送到的收件人数量。

类型: integer

checkpoint.suppressed_logs

在相同的源、目标和端口上聚合的五分钟连接。

类型: integer

checkpoint.blade_name

刀片名称。

类型: keyword

checkpoint.status

确定/警告/错误。

类型: keyword

checkpoint.short_desc

执行的进程的简短描述。

类型: keyword

checkpoint.long_desc

有关进程的更多信息(通常在失败中描述错误原因)。

类型: keyword

checkpoint.scan_hosts_hour

过去一小时内的唯一主机数量。

类型: integer

checkpoint.scan_hosts_day

过去一天内的唯一主机数量。

类型: integer

checkpoint.scan_hosts_week

过去一周内的唯一主机数量。

类型: integer

checkpoint.unique_detected_hour

过去一小时内针对特定主机检测到的病毒。

类型: integer

checkpoint.unique_detected_day

过去一天内针对特定主机检测到的病毒。

类型: integer

checkpoint.unique_detected_week

过去一周内针对特定主机检测到的病毒。

类型: integer

checkpoint.scan_mail

被“AB 恶意活动”引擎扫描的电子邮件数量。

类型: integer

checkpoint.additional_ip

DNS 主机名。

类型: keyword

checkpoint.description

关于安全网关如何强制执行连接的附加说明。

类型: keyword

checkpoint.email_spam_category

电子邮件类别。可能的值:垃圾邮件/非垃圾邮件/网络钓鱼。

类型: keyword

checkpoint.email_control_analysis

从垃圾邮件供应商引擎收到的邮件分类。

类型: keyword

checkpoint.scan_results

“已感染”/失败描述。

类型: keyword

checkpoint.original_queue_id

原始的 Postfix 邮件队列 ID。

类型: keyword

checkpoint.risk

我们从引擎获得的风险级别。

类型: keyword

checkpoint.roles

身份的角色。

类型: keyword

checkpoint.observable_name

IOC 可观察签名名称。

类型: keyword

checkpoint.observable_id

IOC 可观察签名 ID。

类型: keyword

checkpoint.observable_comment

IOC 可观察签名描述。

类型: keyword

checkpoint.indicator_name

IOC 指示器名称。

类型: keyword

checkpoint.indicator_description

IOC 指示器描述。

类型: keyword

checkpoint.indicator_reference

IOC 指示器参考。

类型: keyword

checkpoint.indicator_uuid

IOC 指示器 UUID。

类型: keyword

checkpoint.app_desc

应用程序描述。

类型: keyword

checkpoint.app_id

应用程序 ID。

类型: integer

checkpoint.app_sig_id

IOC 指示器描述。

类型: keyword

checkpoint.certificate_resource

HTTPS 资源。可能的值:SNI 或域名 (DN)。

类型: keyword

checkpoint.certificate_validation

精确错误,描述“HTTPS 分类网站”功能下的 HTTPS 证书失败。

类型: keyword

checkpoint.browse_time

应用程序会话浏览时间。

类型: keyword

checkpoint.limit_requested

指示是否请求了会话的数据限制。

类型: integer

checkpoint.limit_applied

指示会话是否实际受到日期限制。

类型: integer

checkpoint.dropped_total

丢弃的数据包数量(包括传入和传出)。

类型: integer

checkpoint.client_type_os

在 HTTP 请求中检测到的客户端操作系统。

类型: keyword

checkpoint.name

应用程序名称。

类型: keyword

checkpoint.properties

应用程序类别。

类型: keyword

checkpoint.sig_id

应用程序的签名 ID,表明其检测方式。

类型: keyword

checkpoint.desc

覆盖应用程序描述。

类型: keyword

checkpoint.referrer_self_uid

当前日志的 UUID。

类型: keyword

checkpoint.referrer_parent_uid

引用的应用程序的日志 UUID。

类型: keyword

checkpoint.needs_browse_time

连接所需的浏览时间。

类型: integer

checkpoint.cluster_info

集群信息。可能的选项:故障转移原因/集群状态更改/CP 集群或第三方。

类型: keyword

checkpoint.sync

同步状态和原因(稳定,有风险)。

类型: keyword

checkpoint.file_direction

文件方向。可能的选项:上传/下载。

类型: keyword

checkpoint.invalid_file_size

仅当此字段设置为 0 时,file_size 字段才有效。

类型: integer

checkpoint.top_archive_file_name

如果是存档文件:已发送/接收的文件。

类型: keyword

checkpoint.data_type_name

匹配的规则库中的数据类型。

类型: keyword

checkpoint.specific_data_type_name

复合/组方案,匹配的数据类型。

类型: keyword

checkpoint.word_list

数据类型匹配的单词。

类型: keyword

checkpoint.info

特殊日志消息。

类型: keyword

checkpoint.outgoing_url

与此日志相关的 URL (用于 HTTP)。

类型: keyword

checkpoint.dlp_rule_name

匹配的规则名称。

类型: keyword

checkpoint.dlp_recipients

邮件收件人。

类型: keyword

checkpoint.dlp_subject

邮件主题。

类型: keyword

checkpoint.dlp_word_list

数据类型匹配的短语。

类型: keyword

checkpoint.dlp_template_score

模板数据类型匹配分数。

类型: keyword

checkpoint.message_size

邮件/帖子大小。

类型: integer

checkpoint.dlp_incident_uid

匹配规则的唯一 ID。

类型: keyword

checkpoint.dlp_related_incident_uid

与此 ID 相关的其他 ID。

类型: keyword

checkpoint.dlp_data_type_name

匹配的数据类型。

类型: keyword

checkpoint.dlp_data_type_uid

匹配数据类型的唯一 ID。

类型: keyword

checkpoint.dlp_violation_description

规则库中描述的违规描述。

类型: keyword

checkpoint.dlp_relevant_data_types

如果是复合/组:匹配的内部数据类型。

类型: keyword

checkpoint.dlp_action_reason

选择操作的原因。

类型: keyword

checkpoint.dlp_categories

数据类型类别。

类型: keyword

checkpoint.dlp_transint

HTTP/SMTP/FTP。

类型: keyword

checkpoint.duplicate

当邮件被拆分且安全网关看到两次时,该日志被标记为重复。

类型: keyword

checkpoint.incident_extension

匹配的数据类型。

类型: keyword

checkpoint.matched_file

匹配数据类型的唯一 ID。

类型: keyword

checkpoint.matched_file_text_segments

指纹:此流量匹配的文本段数。

类型: integer

checkpoint.matched_file_percentage

指纹:流量的匹配百分比。

类型: integer

checkpoint.dlp_additional_action

水印/无。

类型: keyword

checkpoint.dlp_watermark_profile

已应用的水印。

类型: keyword

checkpoint.dlp_repository_id

扫描的存储库的 ID。

类型: keyword

checkpoint.dlp_repository_root_path

存储库路径。

类型: keyword

checkpoint.scan_id

扫描的顺序编号。

类型: keyword

checkpoint.special_properties

如果此字段设置为 _1_,则不会显示日志(用于监控扫描进度)。

类型: integer

checkpoint.dlp_repository_total_size

存储库大小。

类型: integer

checkpoint.dlp_repository_files_number

存储库中的文件数。

类型: integer

checkpoint.dlp_repository_scanned_files_number

存储库中扫描的文件数。

类型: integer

checkpoint.duration

扫描持续时间。

类型: keyword

checkpoint.dlp_fingerprint_long_status

扫描状态 - 长格式。

类型: keyword

checkpoint.dlp_fingerprint_short_status

扫描状态 - 短格式。

类型: keyword

checkpoint.dlp_repository_directories_number

存储库中的目录数。

类型: integer

checkpoint.dlp_repository_unreachable_directories_number

安全网关无法读取的目录数。

类型: integer

checkpoint.dlp_fingerprint_files_number

存储库中成功扫描的文件数。

类型: integer

checkpoint.dlp_repository_skipped_files_number

由于配置而跳过的文件数。

类型: integer

checkpoint.dlp_repository_scanned_directories_number

扫描的目录数。

类型: integer

checkpoint.number_of_errors

由于错误而未扫描的文件数。

类型: integer

checkpoint.next_scheduled_scan_date

根据时间对象安排的下次扫描时间。

类型: keyword

checkpoint.dlp_repository_scanned_total_size

已扫描的大小。

类型: integer

checkpoint.dlp_repository_reached_directories_number

存储库中扫描的目录数。

类型: integer

checkpoint.dlp_repository_not_scanned_directories_percentage

安全网关无法读取的目录百分比。

类型: integer

checkpoint.speed

当前扫描速度。

类型: integer

checkpoint.dlp_repository_scan_progress

扫描百分比。

类型: integer

checkpoint.sub_policy_name

层名称。

类型: keyword

checkpoint.sub_policy_uid

层 UID。

类型: keyword

checkpoint.fw_message

用于各种防火墙错误。

类型: keyword

checkpoint.message

ISP 链路已失败。

类型: keyword

checkpoint.isp_link

ISP 链路名称。

类型: keyword

checkpoint.fw_subproduct

可以是 vpn/非 vpn。

类型: keyword

checkpoint.sctp_error

错误信息,导致 sctp 在 out_of_state 状态下失败的原因。

类型: keyword

checkpoint.chunk_type

sctp 流的块。

类型: keyword

checkpoint.sctp_association_state

您尝试更新到的错误状态。

类型: keyword

checkpoint.tcp_packet_out_of_state

状态违规。

类型: keyword

checkpoint.tcp_flags

TCP 数据包标志(SYN、ACK 等)。

类型: keyword

checkpoint.connectivity_level

用于线模式下新连接的日志。

类型: keyword

checkpoint.ip_option

被丢弃的 IP 选项。

类型: integer

checkpoint.tcp_state

记录 TCP 状态更改的日志。

类型: keyword

checkpoint.expire_time

连接关闭时间。

类型: keyword

checkpoint.icmp_type

如果连接是 ICMP,则类型信息将添加到日志中。

类型: integer

checkpoint.icmp_code

如果连接是 ICMP,则代码信息将添加到日志中。

类型: integer

checkpoint.rpc_prog

新 RPC 状态的日志 - prog 值。

类型: integer

checkpoint.dce-rpc_interface_uuid

新 RPC 状态的日志 - UUID 值

类型: keyword

checkpoint.elapsed

自开始时间以来经过的时间。

类型: keyword

checkpoint.icmp

客户端接收的数据包数量。

类型: keyword

checkpoint.capture_uuid

为捕获生成的 UUID。在启用日志记录时启用捕获时使用。

类型: keyword

checkpoint.diameter_app_ID

Diameter 应用的 ID。

类型: integer

checkpoint.diameter_cmd_code

Diameter 不允许的应用程序命令 ID。

类型: integer

checkpoint.diameter_msg_type

Diameter 消息类型。

类型: keyword

checkpoint.cp_message

用于记录一般消息。

类型: integer

checkpoint.log_delay

删除模板前剩余的时间。

类型: integer

checkpoint.attack_status

在端点计算机上发生恶意事件的情况下,攻击的状态。

类型: keyword

checkpoint.impacted_files

在端点计算机上发生感染的情况下,恶意软件影响的文件列表。

类型: keyword

checkpoint.remediated_files

在发生感染并成功清除该感染的情况下,这是计算机上修复的文件列表。

类型: keyword

checkpoint.triggered_by

触发软件刀片实施保护的机制名称。

类型: keyword

checkpoint.https_inspection_rule_id

匹配规则的 ID。

类型: keyword

checkpoint.https_inspection_rule_name

匹配规则的名称。

类型: keyword

checkpoint.app_properties

所有找到的类别列表。

类型: keyword

checkpoint.https_validation

描述 HTTPS 检查失败的精确错误。

类型: keyword

checkpoint.https_inspection_action

HTTPS 检查操作(检查/绕过/错误)。

类型: keyword

checkpoint.icap_service_id

服务 ID,可以与多个服务器一起使用,被视为服务。

类型: integer

checkpoint.icap_server_name

服务器名称。

类型: keyword

checkpoint.internal_error

内部错误,用于故障排除

类型: keyword

checkpoint.icap_more_info

用于判决的自由文本。

类型: integer

checkpoint.reply_status

ICAP 回复状态代码,例如 200 或 204。

类型: integer

checkpoint.icap_server_service

服务名称,如 ICAP URI 中给出的。

类型: keyword

checkpoint.mirror_and_decrypt_type

有关解密和转发的信息。可能的值:仅镜像,解密和镜像,部分镜像(HTTPS 检查绕过)。

类型: keyword

checkpoint.interface_name

用于镜像和解密的指定接口。

类型: keyword

checkpoint.session_uid

HTTP 会话 ID。

类型: keyword

checkpoint.broker_publisher

共享会话信息的代理发布者的 IP 地址。

类型: ip

checkpoint.src_user_dn

与源 IP 连接的用户专有名称。

类型: keyword

checkpoint.proxy_user_name

与代理 IP 连接的用户名。

类型: keyword

checkpoint.proxy_machine_name

与代理 IP 连接的机器名称。

类型: integer

checkpoint.proxy_user_dn

与代理 IP 连接的用户专有名称。

类型: keyword

checkpoint.query

DNS 查询。

类型: keyword

checkpoint.dns_query

DNS 查询。

类型: keyword

checkpoint.inspection_item

执行检查的刀片元素。

类型: keyword

checkpoint.performance_impact

保护性能影响。

类型: integer

checkpoint.inspection_category

检查类别:协议异常、签名等。

类型: keyword

checkpoint.inspection_profile

激活的保护所属的配置文件。

类型: keyword

checkpoint.summary

不符合 DNS 流量丢弃或检测的摘要消息。

类型: keyword

checkpoint.question_rdata

问题记录域列表。

类型: keyword

checkpoint.answer_rdata

问题域的答案资源记录列表。

类型: keyword

checkpoint.authority_rdata

权威服务器列表。

类型: keyword

checkpoint.additional_rdata

附加资源记录列表。

类型: keyword

checkpoint.files_names

FTP 请求的文件列表。

类型: keyword

checkpoint.ftp_user

FTP 用户名。

类型: keyword

checkpoint.mime_from

发件人的地址。

类型: keyword

checkpoint.mime_to

收件人地址列表。

类型: keyword

checkpoint.bcc

密件抄送地址列表。

类型: keyword

checkpoint.content_type

邮件内容类型。可能的值:application/msword、text/html、image/gif 等。

类型: keyword

checkpoint.user_agent

标识请求软件用户代理的字符串。

类型: keyword

checkpoint.referrer

引荐 HTTP 请求标头,以前的网页地址。

类型: keyword

checkpoint.http_location

响应标头,指示将页面重定向到的 URL。

类型: keyword

checkpoint.content_disposition

指示内容应如何在浏览器中内联显示。

类型: keyword

checkpoint.via

Via 标头由代理添加,用于跟踪目的,以避免在循环中发送请求。

类型: keyword

checkpoint.http_server

服务器 HTTP 标头值,包含有关处理请求的原始服务器使用的软件的信息。

类型: keyword

checkpoint.content_length

指示 HTTP 标头实体主体的大小。

类型: keyword

checkpoint.authorization

授权 HTTP 标头值。

类型: keyword

checkpoint.http_host

发送 HTTP 请求的服务器的域名。

类型: keyword

checkpoint.inspection_settings_log

指示日志是由检查设置发布的。

类型: keyword

checkpoint.cvpn_resource

移动访问应用程序。

类型: keyword

checkpoint.cvpn_category

移动访问应用程序类型。

类型: keyword

checkpoint.url

已翻译的 URL。

类型: keyword

checkpoint.reject_id

与移动访问错误页面中显示的 ID 相对应的拒绝 ID。

类型: keyword

checkpoint.fs-proto

在移动访问文件共享应用程序中使用的文件共享协议。

类型: keyword

checkpoint.app_package

受保护移动设备上应用程序的唯一标识符。

类型: keyword

checkpoint.appi_name

在受保护的移动设备上下载的应用程序的名称。

类型: keyword

checkpoint.app_repackaged

指示原始应用程序是否不是由官方开发者重新打包的。

类型: keyword

checkpoint.app_sid_id

移动应用程序的唯一 SHA 标识符。

类型: keyword

checkpoint.app_version

在受保护的移动设备上下载的应用程序的版本。

类型: keyword

checkpoint.developer_certificate_name

用于签署移动应用程序的开发者证书的名称。

类型: keyword

checkpoint.email_control

引擎名称。

类型: keyword

checkpoint.email_message_id

电子邮件会话 ID(邮件的唯一 ID)。

类型: keyword

checkpoint.email_queue_id

Postfix 电子邮件队列 ID。

类型: keyword

checkpoint.email_queue_name

Postfix 电子邮件队列名称。

类型: keyword

checkpoint.file_name

恶意文件名。

类型: keyword

checkpoint.failure_reason

MTA 失败描述。

类型: keyword

checkpoint.email_headers

包含所有电子邮件标头的字符串。

类型: keyword

checkpoint.arrival_time

电子邮件到达时间戳。

类型: keyword

checkpoint.email_status

描述电子邮件的状态。可能的选项:已传递、已延迟、已跳过、已退回、保留、新建、扫描开始、扫描结束

类型: keyword

checkpoint.status_update

上次更新日志的时间。

类型: keyword

checkpoint.delivery_time

电子邮件传递的时间戳(MTA 完成处理电子邮件)。

类型: keyword

checkpoint.links_num

邮件中的链接数量。

类型: integer

checkpoint.attachments_num

邮件中的附件数量。

类型: integer

checkpoint.email_content

邮件内容。可能的选项:附件/链接和附件/链接/仅文本。

类型: keyword

checkpoint.allocated_ports

已分配端口的数量。

类型: integer

checkpoint.capacity

端口的容量。

类型: integer

checkpoint.ports_usage

已分配端口的百分比。

类型: integer

checkpoint.nat_exhausted_pool

耗尽池的 4 元组。

类型: keyword

checkpoint.nat_rulenum

NAT 规则库首次匹配的规则。

类型: integer

checkpoint.nat_addtnl_rulenum

当匹配 2 个自动规则时,将显示第二个规则匹配,否则该字段将为 0。

类型: integer

checkpoint.message_info

用于信息性消息,例如:NAT 连接已结束。

类型: keyword

checkpoint.nat46

NAT 46 状态,在大多数情况下为“已启用”。

类型: keyword

checkpoint.end_time

TCP 连接结束时间。

类型: keyword

checkpoint.tcp_end_reason

TCP 连接关闭的原因。

类型: keyword

checkpoint.cgnet

描述特定订阅者的 NAT 分配。

类型: keyword

checkpoint.subscriber

CGNAT 之前的源 IP。

类型: ip

checkpoint.hide_ip

CGNAT 之后将使用的源 IP。

类型: ip

checkpoint.int_start

将用于 NAT 的订阅者起始 int。

类型: integer

checkpoint.int_end

将用于 NAT 的订阅者结束 int。

类型: integer

checkpoint.packet_amount

丢弃的数据包数量。

类型: integer

checkpoint.monitor_reason

受监控数据包的聚合日志。

类型: keyword

checkpoint.drops_amount

丢弃的多播数据包数量。

类型: integer

checkpoint.securexl_message

SecureXL 消息的两个选项:1. 日志记录系统负载过重后,丢失的记帐记录。2. 关于数据包丢弃的 FW 日志消息。

类型: keyword

checkpoint.conns_amount

聚合日志信息的连接数量。

类型: integer

checkpoint.scope

与攻击相关的 IP。

类型: keyword

checkpoint.analyzed_on

Check Point ThreatCloud / 模拟器名称。

类型: keyword

checkpoint.detected_on

文件在其上模拟的系统和应用程序版本。

类型: keyword

checkpoint.dropped_file_name

从原始文件丢弃的名称列表。

类型: keyword

checkpoint.dropped_file_type

从原始文件丢弃的文件类型列表。

类型: keyword

checkpoint.dropped_file_hash

从原始文件丢弃的文件哈希列表。

类型: keyword

checkpoint.dropped_file_verdict

从原始文件丢弃的文件判决列表。

类型: keyword

checkpoint.emulated_on

文件在其上模拟的映像。

类型: keyword

checkpoint.extracted_file_type

在归档的情况下提取的文件类型。

类型: keyword

checkpoint.extracted_file_names

在归档的情况下提取的文件名称。

类型: keyword

checkpoint.extracted_file_hash

在提取文件的情况下,归档哈希。

类型: keyword

checkpoint.extracted_file_verdict

在归档的情况下提取的文件的判决。

类型: keyword

checkpoint.extracted_file_uid

在归档的情况下提取的文件的 UID。

类型: keyword

checkpoint.mitre_initial_access

攻击者试图闯入您的网络。

类型: keyword

checkpoint.mitre_execution

攻击者试图运行恶意代码。

类型: keyword

checkpoint.mitre_persistence

攻击者试图维持他的立足点。

类型: keyword

checkpoint.mitre_privilege_escalation

攻击者试图获得更高级别的权限。

类型: keyword

checkpoint.mitre_defense_evasion

攻击者试图避免被检测到。

类型: keyword

checkpoint.mitre_credential_access

攻击者试图窃取帐户名称和密码。

类型: keyword

checkpoint.mitre_discovery

攻击者试图暴露有关您环境的信息。

类型: keyword

checkpoint.mitre_lateral_movement

攻击者试图探索您的环境。

类型: keyword

checkpoint.mitre_collection

攻击者试图收集感兴趣的数据以实现他的目标。

类型: keyword

checkpoint.mitre_command_and_control

攻击者试图与受感染的系统通信以控制它们。

类型: keyword

checkpoint.mitre_exfiltration

攻击者试图窃取数据。

类型: keyword

checkpoint.mitre_impact

攻击者试图操纵、中断或破坏您的系统和数据。

类型: keyword

checkpoint.parent_file_hash

提取文件时,归档文件的哈希值。

类型: keyword

checkpoint.parent_file_name

提取文件时,归档文件的名称。

类型: keyword

checkpoint.parent_file_uid

提取文件时,归档文件的 UID。

类型: keyword

checkpoint.similiar_iocs

与恶意文件相关的其他相似的 IoC。

类型: keyword

checkpoint.similar_hashes

发现的与恶意文件相似的哈希值。

类型: keyword

checkpoint.similar_strings

发现的与恶意文件相似的字符串。

类型: keyword

checkpoint.similar_communication

发现的与恶意文件相似的网络活动。

类型: keyword

checkpoint.te_verdict_determined_by

确定文件判定的模拟器。

类型: keyword

checkpoint.packet_capture_unique_id

数据包捕获文件的标识符。

类型: keyword

checkpoint.total_attachments

电子邮件中的附件数量。

类型: integer

checkpoint.additional_info

管理员发送的原始文件/邮件的 ID。

类型: keyword

checkpoint.content_risk

文件风险。

类型: integer

checkpoint.operation

威胁提取执行的操作。

类型: keyword

checkpoint.scrubbed_content

发现的活动内容。

类型: keyword

checkpoint.scrub_time

提取过程持续时间。

类型: keyword

checkpoint.scrub_download_time

从资源下载文件的时间。

类型: keyword

checkpoint.scrub_total_time

威胁提取处理文件的总时间。

类型: keyword

checkpoint.scrub_activity

提取的结果。

类型: keyword

checkpoint.watermark

报告是否向清理后的文件添加了水印。

类型: keyword

checkpoint.snid

Check Point 会话 ID。

类型: keyword

checkpoint.source_object

源列上匹配的对象名称。

类型: keyword

checkpoint.destination_object

目标列上匹配的对象名称。

类型: keyword

checkpoint.drop_reason

丢弃原因描述。

类型: keyword

checkpoint.hit

规则的命中次数。

类型: integer

checkpoint.rulebase_id

层号。

类型: integer

checkpoint.first_hit_time

当前间隔内的首次命中时间。

类型: integer

checkpoint.last_hit_time

当前间隔内的最后一次命中时间。

类型: integer

checkpoint.rematch_info

在策略安装期间无法匹配旧连接时发送的信息。

类型: keyword

checkpoint.last_rematch_time

连接重新匹配时间。

类型: keyword

checkpoint.action_reason

连接丢弃原因。

类型: integer

checkpoint.action_reason_msg

连接丢弃原因消息。

类型: keyword

checkpoint.c_bytes

布尔值,指示是否使用客户端发送的字节。

类型: integer

checkpoint.context_num

特定连接的日志序列号。

类型: integer

checkpoint.match_id

规则的私钥

类型: integer

checkpoint.alert

匹配规则的警报级别(用于连接日志)。

类型: keyword

checkpoint.parent_rule

内联层中的父规则编号。

类型: integer

checkpoint.match_fk

规则编号。

类型: integer

checkpoint.dropped_outgoing

使用 UP 限制功能时丢弃的传出字节数。

类型: integer

checkpoint.dropped_incoming

使用 UP 限制功能时丢弃的传入字节数。

类型: integer

checkpoint.media_type

使用的媒体(音频、视频等)。

类型: keyword

checkpoint.sip_reason

解释为什么不允许source_ip重定向(切换)。

类型: keyword

checkpoint.voip_method

注册请求。

类型: keyword

checkpoint.registered_ip-phones

已注册的 IP 电话。

类型: keyword

checkpoint.voip_reg_user_type

已注册的 IP 电话类型。

类型: keyword

checkpoint.voip_call_id

呼叫 ID。

类型: keyword

checkpoint.voip_reg_int

注册端口。

类型: integer

checkpoint.voip_reg_ipp

注册 IP 协议。

类型: integer

checkpoint.voip_reg_period

注册周期。

类型: integer

checkpoint.voip_log_type

VoIP 日志类型。可能的值:拒绝、呼叫、注册。

类型: keyword

checkpoint.src_phone_number

源 IP 电话。

类型: keyword

checkpoint.voip_from_user_type

源 IP 电话类型。

类型: keyword

checkpoint.dst_phone_number

目标 IP 电话。

类型: keyword

checkpoint.voip_to_user_type

目标 IP 电话类型。

类型: keyword

checkpoint.voip_call_dir

呼叫方向:入/出。

类型: keyword

checkpoint.voip_call_state

呼叫状态。可能的值:入/出。

类型: keyword

checkpoint.voip_call_term_time

呼叫终止时间戳。

类型: keyword

checkpoint.voip_duration

呼叫持续时间(秒)。

类型: keyword

checkpoint.voip_media_port

媒体接口。

类型: keyword

checkpoint.voip_media_ipp

媒体 IP 协议。

类型: keyword

checkpoint.voip_est_codec

估计的编解码器。

类型: keyword

checkpoint.voip_exp

过期时间。

类型: integer

checkpoint.voip_attach_sz

附件大小。

类型: integer

checkpoint.voip_attach_action_info

附件操作信息。

类型: keyword

checkpoint.voip_media_codec

估计的编解码器。

类型: keyword

checkpoint.voip_reject_reason

拒绝原因。

类型: keyword

checkpoint.voip_reason_info

信息。

类型: keyword

checkpoint.voip_config

配置。

类型: keyword

checkpoint.voip_reg_server

注册服务器 IP 地址。

类型: ip

checkpoint.scv_user

其数据包在 SCV 上被丢弃的用户名。

类型: keyword

checkpoint.scv_message_info

丢弃原因。

类型: keyword

checkpoint.ppp

身份验证状态。

类型: keyword

checkpoint.scheme

描述用于日志的方案。

类型: keyword

checkpoint.auth_method

使用的密码身份验证协议 (PAP 或 EAP)。

类型: keyword

checkpoint.auth_status

事件的身份验证状态。

类型: keyword

checkpoint.machine

触发日志且日志引用它的 L2TP 机器。

类型: keyword

checkpoint.vpn_feature_name

L2TP / IKE / 链路选择。

类型: keyword

checkpoint.reject_category

身份验证失败原因。

类型: keyword

checkpoint.peer_ip_probing_status_update

IP 地址响应状态。

类型: keyword

checkpoint.peer_ip

客户端连接到的 IP 地址。

类型: keyword

checkpoint.peer_gateway

对等安全网关的主 IP。

类型: ip

checkpoint.link_probing_status_update

IP 地址响应状态。

类型: keyword

checkpoint.source_interface

源接口的外部接口名称,如果未找到,则为 Null。

类型: keyword

checkpoint.next_hop_ip

下一跳 IP 地址。

类型: keyword

checkpoint.srckeyid

发起方 Spi ID。

类型: keyword

checkpoint.dstkeyid

响应方 Spi ID。

类型: keyword

checkpoint.encryption_failure

指示加密失败原因的消息。

类型: keyword

checkpoint.ike_ids

所有 QM ID。

类型: keyword

checkpoint.community

IPSec 密钥的社区名称以及 IKEv 的使用。

类型: keyword

checkpoint.ike

IKEMode(PHASE1、PHASE2 等)。

类型: keyword

checkpoint.cookieI

发起方 Cookie。

类型: keyword

checkpoint.cookieR

响应方 Cookie。

类型: keyword

checkpoint.msgid

消息 ID。

类型: keyword

checkpoint.methods

IPSEc 方法。

类型: keyword

checkpoint.connection_uid

IP 和用户名的 md5 计算作为 UID。

类型: keyword

checkpoint.site_name

站点名称。

类型: keyword

checkpoint.esod_rule_name

未知规则名称。

类型: keyword

checkpoint.esod_rule_action

未知规则操作。

类型: keyword

checkpoint.esod_rule_type

未知规则类型。

类型: keyword

checkpoint.esod_noncompliance_reason

不合规原因。

类型: keyword

checkpoint.esod_associated_policies

关联的策略。

类型: keyword

checkpoint.spyware_name

间谍软件名称。

类型: keyword

checkpoint.spyware_type

间谍软件类型。

类型: keyword

checkpoint.anti_virus_type

防病毒类型。

类型: keyword

checkpoint.end_user_firewall_type

最终用户防火墙类型。

类型: keyword

checkpoint.esod_scan_status

扫描失败。

类型: keyword

checkpoint.esod_access_status

访问被拒绝。

类型: keyword

checkpoint.client_type

端点连接。

类型: keyword

checkpoint.precise_error

HTTP 分析器错误。

类型: keyword

checkpoint.method

HTTP 方法。

类型: keyword

checkpoint.trusted_domain

在网络钓鱼事件中,攻击者冒充的域。

类型: keyword

checkpoint.comment

类型: keyword

checkpoint.conn_direction

连接方向

类型: keyword

checkpoint.db_ver

数据库版本

类型: keyword

checkpoint.update_status

数据库更新的状态

类型: keyword