一些检查点模块
用于解析 Checkpoint Syslog 的模块。
-
checkpoint.confidence_level -
ThreatCloud 确定的置信度。
类型: integer
-
checkpoint.calc_desc -
日志描述。
类型: keyword
-
checkpoint.dst_country -
目标国家/地区。
类型: keyword
-
checkpoint.dst_user_name -
目标 IP 上连接的用户名。
类型: keyword
-
checkpoint.email_id -
SMTP 连接中的电子邮件编号。
类型: keyword
-
checkpoint.email_subject -
原始电子邮件主题。
类型: keyword
-
checkpoint.email_session_id -
连接 UUID。
类型: keyword
-
checkpoint.event_count -
与日志关联的事件数量。
类型: long
-
checkpoint.sys_message -
系统消息
类型: keyword
-
checkpoint.logid -
系统消息
类型: keyword
-
checkpoint.failure_impact -
更新服务失败的影响。
类型: keyword
-
checkpoint.id -
覆盖应用程序 ID。
类型: integer
-
checkpoint.identity_src -
身份验证身份信息的来源。
类型: keyword
-
checkpoint.information -
特定刀片的策略安装状态。
类型: keyword
-
checkpoint.layer_name -
层名称。
类型: keyword
-
checkpoint.layer_uuid -
层 UUID。
类型: keyword
-
checkpoint.log_id -
日志的唯一标识。
类型: integer
-
checkpoint.malware_family -
关于保护的附加信息。
类型: keyword
-
checkpoint.origin_sic_name -
机器 SIC。
类型: keyword
-
checkpoint.policy_mgmt -
管理此安全网关的管理服务器的名称。
类型: keyword
-
checkpoint.policy_name -
此安全网关获取的最后一个策略的名称。
类型: keyword
-
checkpoint.protection_id -
保护恶意软件 ID。
类型: keyword
-
checkpoint.protection_name -
攻击的特定签名名称。
类型: keyword
-
checkpoint.protection_type -
用于检测攻击的保护类型。
类型: keyword
-
checkpoint.protocol -
在连接上检测到的协议。
类型: keyword
-
checkpoint.proxy_src_ip -
发送方源 IP(即使在使用代理时)。
类型: ip
-
checkpoint.rule -
匹配的规则编号。
类型: integer
-
checkpoint.rule_action -
访问策略中匹配规则的操作。
类型: keyword
-
checkpoint.scan_direction -
扫描方向。
类型: keyword
-
checkpoint.session_id -
日志 UUID。
类型: keyword
-
checkpoint.source_os -
生成攻击的操作系统。
类型: keyword
-
checkpoint.src_country -
国家/地区名称,派生自连接源 IP 地址。
类型: keyword
-
checkpoint.src_user_name -
连接到源 IP 的用户名
类型: keyword
-
checkpoint.ticket_id -
每个文件的唯一 ID。
类型: keyword
-
checkpoint.tls_server_host_name -
URLF 用于分类的加密 TLS 连接中的 SNI/CN。
类型: keyword
-
checkpoint.verdict -
TE 引擎裁决。可能的值:恶意/良性/错误。
类型: keyword
-
checkpoint.user -
源用户名。
类型: keyword
-
checkpoint.vendor_list -
为恶意 URL 提供裁决的供应商名称。
类型: keyword
-
checkpoint.web_server_type -
在 HTTP 响应中检测到的 Web 服务器。
类型: keyword
-
checkpoint.client_name -
检测到事件的客户端应用程序或软件刀片。
类型: keyword
-
checkpoint.client_version -
安装在计算机上的 SandBlast Agent 客户端的内部版本。
类型: keyword
-
checkpoint.extension_version -
SandBlast Agent 浏览器扩展的内部版本。
类型: keyword
-
checkpoint.host_time -
端点计算机上的本地时间。
类型: keyword
-
checkpoint.installed_products -
已安装的端点软件刀片列表。
类型: keyword
-
checkpoint.cc -
电子邮件的抄送地址。
类型: keyword
-
checkpoint.parent_process_username -
触发攻击的进程的父进程的所有者用户名。
类型: keyword
-
checkpoint.process_username -
触发攻击的进程的所有者用户名。
类型: keyword
-
checkpoint.audit_status -
审核状态。可以是成功或失败。
类型: keyword
-
checkpoint.objecttable -
受影响对象表。
类型: keyword
-
checkpoint.objecttype -
受影响对象的类型。
类型: keyword
-
checkpoint.operation_number -
操作编号。
类型: keyword
-
checkpoint.email_recipients_num -
邮件发送到的收件人数量。
类型: integer
-
checkpoint.suppressed_logs -
在相同的源、目标和端口上聚合的五分钟连接。
类型: integer
-
checkpoint.blade_name -
刀片名称。
类型: keyword
-
checkpoint.status -
确定/警告/错误。
类型: keyword
-
checkpoint.short_desc -
执行的进程的简短描述。
类型: keyword
-
checkpoint.long_desc -
有关进程的更多信息(通常在失败中描述错误原因)。
类型: keyword
-
checkpoint.scan_hosts_hour -
过去一小时内的唯一主机数量。
类型: integer
-
checkpoint.scan_hosts_day -
过去一天内的唯一主机数量。
类型: integer
-
checkpoint.scan_hosts_week -
过去一周内的唯一主机数量。
类型: integer
-
checkpoint.unique_detected_hour -
过去一小时内针对特定主机检测到的病毒。
类型: integer
-
checkpoint.unique_detected_day -
过去一天内针对特定主机检测到的病毒。
类型: integer
-
checkpoint.unique_detected_week -
过去一周内针对特定主机检测到的病毒。
类型: integer
-
checkpoint.scan_mail -
被“AB 恶意活动”引擎扫描的电子邮件数量。
类型: integer
-
checkpoint.additional_ip -
DNS 主机名。
类型: keyword
-
checkpoint.description -
关于安全网关如何强制执行连接的附加说明。
类型: keyword
-
checkpoint.email_spam_category -
电子邮件类别。可能的值:垃圾邮件/非垃圾邮件/网络钓鱼。
类型: keyword
-
checkpoint.email_control_analysis -
从垃圾邮件供应商引擎收到的邮件分类。
类型: keyword
-
checkpoint.scan_results -
“已感染”/失败描述。
类型: keyword
-
checkpoint.original_queue_id -
原始的 Postfix 邮件队列 ID。
类型: keyword
-
checkpoint.risk -
我们从引擎获得的风险级别。
类型: keyword
-
checkpoint.roles -
身份的角色。
类型: keyword
-
checkpoint.observable_name -
IOC 可观察签名名称。
类型: keyword
-
checkpoint.observable_id -
IOC 可观察签名 ID。
类型: keyword
-
checkpoint.observable_comment -
IOC 可观察签名描述。
类型: keyword
-
checkpoint.indicator_name -
IOC 指示器名称。
类型: keyword
-
checkpoint.indicator_description -
IOC 指示器描述。
类型: keyword
-
checkpoint.indicator_reference -
IOC 指示器参考。
类型: keyword
-
checkpoint.indicator_uuid -
IOC 指示器 UUID。
类型: keyword
-
checkpoint.app_desc -
应用程序描述。
类型: keyword
-
checkpoint.app_id -
应用程序 ID。
类型: integer
-
checkpoint.app_sig_id -
IOC 指示器描述。
类型: keyword
-
checkpoint.certificate_resource -
HTTPS 资源。可能的值:SNI 或域名 (DN)。
类型: keyword
-
checkpoint.certificate_validation -
精确错误,描述“HTTPS 分类网站”功能下的 HTTPS 证书失败。
类型: keyword
-
checkpoint.browse_time -
应用程序会话浏览时间。
类型: keyword
-
checkpoint.limit_requested -
指示是否请求了会话的数据限制。
类型: integer
-
checkpoint.limit_applied -
指示会话是否实际受到日期限制。
类型: integer
-
checkpoint.dropped_total -
丢弃的数据包数量(包括传入和传出)。
类型: integer
-
checkpoint.client_type_os -
在 HTTP 请求中检测到的客户端操作系统。
类型: keyword
-
checkpoint.name -
应用程序名称。
类型: keyword
-
checkpoint.properties -
应用程序类别。
类型: keyword
-
checkpoint.sig_id -
应用程序的签名 ID,表明其检测方式。
类型: keyword
-
checkpoint.desc -
覆盖应用程序描述。
类型: keyword
-
checkpoint.referrer_self_uid -
当前日志的 UUID。
类型: keyword
-
checkpoint.referrer_parent_uid -
引用的应用程序的日志 UUID。
类型: keyword
-
checkpoint.needs_browse_time -
连接所需的浏览时间。
类型: integer
-
checkpoint.cluster_info -
集群信息。可能的选项:故障转移原因/集群状态更改/CP 集群或第三方。
类型: keyword
-
checkpoint.sync -
同步状态和原因(稳定,有风险)。
类型: keyword
-
checkpoint.file_direction -
文件方向。可能的选项:上传/下载。
类型: keyword
-
checkpoint.invalid_file_size -
仅当此字段设置为 0 时,file_size 字段才有效。
类型: integer
-
checkpoint.top_archive_file_name -
如果是存档文件:已发送/接收的文件。
类型: keyword
-
checkpoint.data_type_name -
匹配的规则库中的数据类型。
类型: keyword
-
checkpoint.specific_data_type_name -
复合/组方案,匹配的数据类型。
类型: keyword
-
checkpoint.word_list -
数据类型匹配的单词。
类型: keyword
-
checkpoint.info -
特殊日志消息。
类型: keyword
-
checkpoint.outgoing_url -
与此日志相关的 URL (用于 HTTP)。
类型: keyword
-
checkpoint.dlp_rule_name -
匹配的规则名称。
类型: keyword
-
checkpoint.dlp_recipients -
邮件收件人。
类型: keyword
-
checkpoint.dlp_subject -
邮件主题。
类型: keyword
-
checkpoint.dlp_word_list -
数据类型匹配的短语。
类型: keyword
-
checkpoint.dlp_template_score -
模板数据类型匹配分数。
类型: keyword
-
checkpoint.message_size -
邮件/帖子大小。
类型: integer
-
checkpoint.dlp_incident_uid -
匹配规则的唯一 ID。
类型: keyword
-
checkpoint.dlp_related_incident_uid -
与此 ID 相关的其他 ID。
类型: keyword
-
checkpoint.dlp_data_type_name -
匹配的数据类型。
类型: keyword
-
checkpoint.dlp_data_type_uid -
匹配数据类型的唯一 ID。
类型: keyword
-
checkpoint.dlp_violation_description -
规则库中描述的违规描述。
类型: keyword
-
checkpoint.dlp_relevant_data_types -
如果是复合/组:匹配的内部数据类型。
类型: keyword
-
checkpoint.dlp_action_reason -
选择操作的原因。
类型: keyword
-
checkpoint.dlp_categories -
数据类型类别。
类型: keyword
-
checkpoint.dlp_transint -
HTTP/SMTP/FTP。
类型: keyword
-
checkpoint.duplicate -
当邮件被拆分且安全网关看到两次时,该日志被标记为重复。
类型: keyword
-
checkpoint.incident_extension -
匹配的数据类型。
类型: keyword
-
checkpoint.matched_file -
匹配数据类型的唯一 ID。
类型: keyword
-
checkpoint.matched_file_text_segments -
指纹:此流量匹配的文本段数。
类型: integer
-
checkpoint.matched_file_percentage -
指纹:流量的匹配百分比。
类型: integer
-
checkpoint.dlp_additional_action -
水印/无。
类型: keyword
-
checkpoint.dlp_watermark_profile -
已应用的水印。
类型: keyword
-
checkpoint.dlp_repository_id -
扫描的存储库的 ID。
类型: keyword
-
checkpoint.dlp_repository_root_path -
存储库路径。
类型: keyword
-
checkpoint.scan_id -
扫描的顺序编号。
类型: keyword
-
checkpoint.special_properties -
如果此字段设置为 _1_,则不会显示日志(用于监控扫描进度)。
类型: integer
-
checkpoint.dlp_repository_total_size -
存储库大小。
类型: integer
-
checkpoint.dlp_repository_files_number -
存储库中的文件数。
类型: integer
-
checkpoint.dlp_repository_scanned_files_number -
存储库中扫描的文件数。
类型: integer
-
checkpoint.duration -
扫描持续时间。
类型: keyword
-
checkpoint.dlp_fingerprint_long_status -
扫描状态 - 长格式。
类型: keyword
-
checkpoint.dlp_fingerprint_short_status -
扫描状态 - 短格式。
类型: keyword
-
checkpoint.dlp_repository_directories_number -
存储库中的目录数。
类型: integer
-
checkpoint.dlp_repository_unreachable_directories_number -
安全网关无法读取的目录数。
类型: integer
-
checkpoint.dlp_fingerprint_files_number -
存储库中成功扫描的文件数。
类型: integer
-
checkpoint.dlp_repository_skipped_files_number -
由于配置而跳过的文件数。
类型: integer
-
checkpoint.dlp_repository_scanned_directories_number -
扫描的目录数。
类型: integer
-
checkpoint.number_of_errors -
由于错误而未扫描的文件数。
类型: integer
-
checkpoint.next_scheduled_scan_date -
根据时间对象安排的下次扫描时间。
类型: keyword
-
checkpoint.dlp_repository_scanned_total_size -
已扫描的大小。
类型: integer
-
checkpoint.dlp_repository_reached_directories_number -
存储库中扫描的目录数。
类型: integer
-
checkpoint.dlp_repository_not_scanned_directories_percentage -
安全网关无法读取的目录百分比。
类型: integer
-
checkpoint.speed -
当前扫描速度。
类型: integer
-
checkpoint.dlp_repository_scan_progress -
扫描百分比。
类型: integer
-
checkpoint.sub_policy_name -
层名称。
类型: keyword
-
checkpoint.sub_policy_uid -
层 UID。
类型: keyword
-
checkpoint.fw_message -
用于各种防火墙错误。
类型: keyword
-
checkpoint.message -
ISP 链路已失败。
类型: keyword
-
checkpoint.isp_link -
ISP 链路名称。
类型: keyword
-
checkpoint.fw_subproduct -
可以是 vpn/非 vpn。
类型: keyword
-
checkpoint.sctp_error -
错误信息,导致 sctp 在 out_of_state 状态下失败的原因。
类型: keyword
-
checkpoint.chunk_type -
sctp 流的块。
类型: keyword
-
checkpoint.sctp_association_state -
您尝试更新到的错误状态。
类型: keyword
-
checkpoint.tcp_packet_out_of_state -
状态违规。
类型: keyword
-
checkpoint.tcp_flags -
TCP 数据包标志(SYN、ACK 等)。
类型: keyword
-
checkpoint.connectivity_level -
用于线模式下新连接的日志。
类型: keyword
-
checkpoint.ip_option -
被丢弃的 IP 选项。
类型: integer
-
checkpoint.tcp_state -
记录 TCP 状态更改的日志。
类型: keyword
-
checkpoint.expire_time -
连接关闭时间。
类型: keyword
-
checkpoint.icmp_type -
如果连接是 ICMP,则类型信息将添加到日志中。
类型: integer
-
checkpoint.icmp_code -
如果连接是 ICMP,则代码信息将添加到日志中。
类型: integer
-
checkpoint.rpc_prog -
新 RPC 状态的日志 - prog 值。
类型: integer
-
checkpoint.dce-rpc_interface_uuid -
新 RPC 状态的日志 - UUID 值
类型: keyword
-
checkpoint.elapsed -
自开始时间以来经过的时间。
类型: keyword
-
checkpoint.icmp -
客户端接收的数据包数量。
类型: keyword
-
checkpoint.capture_uuid -
为捕获生成的 UUID。在启用日志记录时启用捕获时使用。
类型: keyword
-
checkpoint.diameter_app_ID -
Diameter 应用的 ID。
类型: integer
-
checkpoint.diameter_cmd_code -
Diameter 不允许的应用程序命令 ID。
类型: integer
-
checkpoint.diameter_msg_type -
Diameter 消息类型。
类型: keyword
-
checkpoint.cp_message -
用于记录一般消息。
类型: integer
-
checkpoint.log_delay -
删除模板前剩余的时间。
类型: integer
-
checkpoint.attack_status -
在端点计算机上发生恶意事件的情况下,攻击的状态。
类型: keyword
-
checkpoint.impacted_files -
在端点计算机上发生感染的情况下,恶意软件影响的文件列表。
类型: keyword
-
checkpoint.remediated_files -
在发生感染并成功清除该感染的情况下,这是计算机上修复的文件列表。
类型: keyword
-
checkpoint.triggered_by -
触发软件刀片实施保护的机制名称。
类型: keyword
-
checkpoint.https_inspection_rule_id -
匹配规则的 ID。
类型: keyword
-
checkpoint.https_inspection_rule_name -
匹配规则的名称。
类型: keyword
-
checkpoint.app_properties -
所有找到的类别列表。
类型: keyword
-
checkpoint.https_validation -
描述 HTTPS 检查失败的精确错误。
类型: keyword
-
checkpoint.https_inspection_action -
HTTPS 检查操作(检查/绕过/错误)。
类型: keyword
-
checkpoint.icap_service_id -
服务 ID,可以与多个服务器一起使用,被视为服务。
类型: integer
-
checkpoint.icap_server_name -
服务器名称。
类型: keyword
-
checkpoint.internal_error -
内部错误,用于故障排除
类型: keyword
-
checkpoint.icap_more_info -
用于判决的自由文本。
类型: integer
-
checkpoint.reply_status -
ICAP 回复状态代码,例如 200 或 204。
类型: integer
-
checkpoint.icap_server_service -
服务名称,如 ICAP URI 中给出的。
类型: keyword
-
checkpoint.mirror_and_decrypt_type -
有关解密和转发的信息。可能的值:仅镜像,解密和镜像,部分镜像(HTTPS 检查绕过)。
类型: keyword
-
checkpoint.interface_name -
用于镜像和解密的指定接口。
类型: keyword
-
checkpoint.session_uid -
HTTP 会话 ID。
类型: keyword
-
checkpoint.broker_publisher -
共享会话信息的代理发布者的 IP 地址。
类型: ip
-
checkpoint.src_user_dn -
与源 IP 连接的用户专有名称。
类型: keyword
-
checkpoint.proxy_user_name -
与代理 IP 连接的用户名。
类型: keyword
-
checkpoint.proxy_machine_name -
与代理 IP 连接的机器名称。
类型: integer
-
checkpoint.proxy_user_dn -
与代理 IP 连接的用户专有名称。
类型: keyword
-
checkpoint.query -
DNS 查询。
类型: keyword
-
checkpoint.dns_query -
DNS 查询。
类型: keyword
-
checkpoint.inspection_item -
执行检查的刀片元素。
类型: keyword
-
checkpoint.performance_impact -
保护性能影响。
类型: integer
-
checkpoint.inspection_category -
检查类别:协议异常、签名等。
类型: keyword
-
checkpoint.inspection_profile -
激活的保护所属的配置文件。
类型: keyword
-
checkpoint.summary -
不符合 DNS 流量丢弃或检测的摘要消息。
类型: keyword
-
checkpoint.question_rdata -
问题记录域列表。
类型: keyword
-
checkpoint.answer_rdata -
问题域的答案资源记录列表。
类型: keyword
-
checkpoint.authority_rdata -
权威服务器列表。
类型: keyword
-
checkpoint.additional_rdata -
附加资源记录列表。
类型: keyword
-
checkpoint.files_names -
FTP 请求的文件列表。
类型: keyword
-
checkpoint.ftp_user -
FTP 用户名。
类型: keyword
-
checkpoint.mime_from -
发件人的地址。
类型: keyword
-
checkpoint.mime_to -
收件人地址列表。
类型: keyword
-
checkpoint.bcc -
密件抄送地址列表。
类型: keyword
-
checkpoint.content_type -
邮件内容类型。可能的值:application/msword、text/html、image/gif 等。
类型: keyword
-
checkpoint.user_agent -
标识请求软件用户代理的字符串。
类型: keyword
-
checkpoint.referrer -
引荐 HTTP 请求标头,以前的网页地址。
类型: keyword
-
checkpoint.http_location -
响应标头,指示将页面重定向到的 URL。
类型: keyword
-
checkpoint.content_disposition -
指示内容应如何在浏览器中内联显示。
类型: keyword
-
checkpoint.via -
Via 标头由代理添加,用于跟踪目的,以避免在循环中发送请求。
类型: keyword
-
checkpoint.http_server -
服务器 HTTP 标头值,包含有关处理请求的原始服务器使用的软件的信息。
类型: keyword
-
checkpoint.content_length -
指示 HTTP 标头实体主体的大小。
类型: keyword
-
checkpoint.authorization -
授权 HTTP 标头值。
类型: keyword
-
checkpoint.http_host -
发送 HTTP 请求的服务器的域名。
类型: keyword
-
checkpoint.inspection_settings_log -
指示日志是由检查设置发布的。
类型: keyword
-
checkpoint.cvpn_resource -
移动访问应用程序。
类型: keyword
-
checkpoint.cvpn_category -
移动访问应用程序类型。
类型: keyword
-
checkpoint.url -
已翻译的 URL。
类型: keyword
-
checkpoint.reject_id -
与移动访问错误页面中显示的 ID 相对应的拒绝 ID。
类型: keyword
-
checkpoint.fs-proto -
在移动访问文件共享应用程序中使用的文件共享协议。
类型: keyword
-
checkpoint.app_package -
受保护移动设备上应用程序的唯一标识符。
类型: keyword
-
checkpoint.appi_name -
在受保护的移动设备上下载的应用程序的名称。
类型: keyword
-
checkpoint.app_repackaged -
指示原始应用程序是否不是由官方开发者重新打包的。
类型: keyword
-
checkpoint.app_sid_id -
移动应用程序的唯一 SHA 标识符。
类型: keyword
-
checkpoint.app_version -
在受保护的移动设备上下载的应用程序的版本。
类型: keyword
-
checkpoint.developer_certificate_name -
用于签署移动应用程序的开发者证书的名称。
类型: keyword
-
checkpoint.email_control -
引擎名称。
类型: keyword
-
checkpoint.email_message_id -
电子邮件会话 ID(邮件的唯一 ID)。
类型: keyword
-
checkpoint.email_queue_id -
Postfix 电子邮件队列 ID。
类型: keyword
-
checkpoint.email_queue_name -
Postfix 电子邮件队列名称。
类型: keyword
-
checkpoint.file_name -
恶意文件名。
类型: keyword
-
checkpoint.failure_reason -
MTA 失败描述。
类型: keyword
-
checkpoint.email_headers -
包含所有电子邮件标头的字符串。
类型: keyword
-
checkpoint.arrival_time -
电子邮件到达时间戳。
类型: keyword
-
checkpoint.email_status -
描述电子邮件的状态。可能的选项:已传递、已延迟、已跳过、已退回、保留、新建、扫描开始、扫描结束
类型: keyword
-
checkpoint.status_update -
上次更新日志的时间。
类型: keyword
-
checkpoint.delivery_time -
电子邮件传递的时间戳(MTA 完成处理电子邮件)。
类型: keyword
-
checkpoint.links_num -
邮件中的链接数量。
类型: integer
-
checkpoint.attachments_num -
邮件中的附件数量。
类型: integer
-
checkpoint.email_content -
邮件内容。可能的选项:附件/链接和附件/链接/仅文本。
类型: keyword
-
checkpoint.allocated_ports -
已分配端口的数量。
类型: integer
-
checkpoint.capacity -
端口的容量。
类型: integer
-
checkpoint.ports_usage -
已分配端口的百分比。
类型: integer
-
checkpoint.nat_exhausted_pool -
耗尽池的 4 元组。
类型: keyword
-
checkpoint.nat_rulenum -
NAT 规则库首次匹配的规则。
类型: integer
-
checkpoint.nat_addtnl_rulenum -
当匹配 2 个自动规则时,将显示第二个规则匹配,否则该字段将为 0。
类型: integer
-
checkpoint.message_info -
用于信息性消息,例如:NAT 连接已结束。
类型: keyword
-
checkpoint.nat46 -
NAT 46 状态,在大多数情况下为“已启用”。
类型: keyword
-
checkpoint.end_time -
TCP 连接结束时间。
类型: keyword
-
checkpoint.tcp_end_reason -
TCP 连接关闭的原因。
类型: keyword
-
checkpoint.cgnet -
描述特定订阅者的 NAT 分配。
类型: keyword
-
checkpoint.subscriber -
CGNAT 之前的源 IP。
类型: ip
-
checkpoint.hide_ip -
CGNAT 之后将使用的源 IP。
类型: ip
-
checkpoint.int_start -
将用于 NAT 的订阅者起始 int。
类型: integer
-
checkpoint.int_end -
将用于 NAT 的订阅者结束 int。
类型: integer
-
checkpoint.packet_amount -
丢弃的数据包数量。
类型: integer
-
checkpoint.monitor_reason -
受监控数据包的聚合日志。
类型: keyword
-
checkpoint.drops_amount -
丢弃的多播数据包数量。
类型: integer
-
checkpoint.securexl_message -
SecureXL 消息的两个选项:1. 日志记录系统负载过重后,丢失的记帐记录。2. 关于数据包丢弃的 FW 日志消息。
类型: keyword
-
checkpoint.conns_amount -
聚合日志信息的连接数量。
类型: integer
-
checkpoint.scope -
与攻击相关的 IP。
类型: keyword
-
checkpoint.analyzed_on -
Check Point ThreatCloud / 模拟器名称。
类型: keyword
-
checkpoint.detected_on -
文件在其上模拟的系统和应用程序版本。
类型: keyword
-
checkpoint.dropped_file_name -
从原始文件丢弃的名称列表。
类型: keyword
-
checkpoint.dropped_file_type -
从原始文件丢弃的文件类型列表。
类型: keyword
-
checkpoint.dropped_file_hash -
从原始文件丢弃的文件哈希列表。
类型: keyword
-
checkpoint.dropped_file_verdict -
从原始文件丢弃的文件判决列表。
类型: keyword
-
checkpoint.emulated_on -
文件在其上模拟的映像。
类型: keyword
-
checkpoint.extracted_file_type -
在归档的情况下提取的文件类型。
类型: keyword
-
checkpoint.extracted_file_names -
在归档的情况下提取的文件名称。
类型: keyword
-
checkpoint.extracted_file_hash -
在提取文件的情况下,归档哈希。
类型: keyword
-
checkpoint.extracted_file_verdict -
在归档的情况下提取的文件的判决。
类型: keyword
-
checkpoint.extracted_file_uid -
在归档的情况下提取的文件的 UID。
类型: keyword
-
checkpoint.mitre_initial_access -
攻击者试图闯入您的网络。
类型: keyword
-
checkpoint.mitre_execution -
攻击者试图运行恶意代码。
类型: keyword
-
checkpoint.mitre_persistence -
攻击者试图维持他的立足点。
类型: keyword
-
checkpoint.mitre_privilege_escalation -
攻击者试图获得更高级别的权限。
类型: keyword
-
checkpoint.mitre_defense_evasion -
攻击者试图避免被检测到。
类型: keyword
-
checkpoint.mitre_credential_access -
攻击者试图窃取帐户名称和密码。
类型: keyword
-
checkpoint.mitre_discovery -
攻击者试图暴露有关您环境的信息。
类型: keyword
-
checkpoint.mitre_lateral_movement -
攻击者试图探索您的环境。
类型: keyword
-
checkpoint.mitre_collection -
攻击者试图收集感兴趣的数据以实现他的目标。
类型: keyword
-
checkpoint.mitre_command_and_control -
攻击者试图与受感染的系统通信以控制它们。
类型: keyword
-
checkpoint.mitre_exfiltration -
攻击者试图窃取数据。
类型: keyword
-
checkpoint.mitre_impact -
攻击者试图操纵、中断或破坏您的系统和数据。
类型: keyword
-
checkpoint.parent_file_hash -
提取文件时,归档文件的哈希值。
类型: keyword
-
checkpoint.parent_file_name -
提取文件时,归档文件的名称。
类型: keyword
-
checkpoint.parent_file_uid -
提取文件时,归档文件的 UID。
类型: keyword
-
checkpoint.similiar_iocs -
与恶意文件相关的其他相似的 IoC。
类型: keyword
-
checkpoint.similar_hashes -
发现的与恶意文件相似的哈希值。
类型: keyword
-
checkpoint.similar_strings -
发现的与恶意文件相似的字符串。
类型: keyword
-
checkpoint.similar_communication -
发现的与恶意文件相似的网络活动。
类型: keyword
-
checkpoint.te_verdict_determined_by -
确定文件判定的模拟器。
类型: keyword
-
checkpoint.packet_capture_unique_id -
数据包捕获文件的标识符。
类型: keyword
-
checkpoint.total_attachments -
电子邮件中的附件数量。
类型: integer
-
checkpoint.additional_info -
管理员发送的原始文件/邮件的 ID。
类型: keyword
-
checkpoint.content_risk -
文件风险。
类型: integer
-
checkpoint.operation -
威胁提取执行的操作。
类型: keyword
-
checkpoint.scrubbed_content -
发现的活动内容。
类型: keyword
-
checkpoint.scrub_time -
提取过程持续时间。
类型: keyword
-
checkpoint.scrub_download_time -
从资源下载文件的时间。
类型: keyword
-
checkpoint.scrub_total_time -
威胁提取处理文件的总时间。
类型: keyword
-
checkpoint.scrub_activity -
提取的结果。
类型: keyword
-
checkpoint.watermark -
报告是否向清理后的文件添加了水印。
类型: keyword
-
checkpoint.snid -
Check Point 会话 ID。
类型: keyword
-
checkpoint.source_object -
源列上匹配的对象名称。
类型: keyword
-
checkpoint.destination_object -
目标列上匹配的对象名称。
类型: keyword
-
checkpoint.drop_reason -
丢弃原因描述。
类型: keyword
-
checkpoint.hit -
规则的命中次数。
类型: integer
-
checkpoint.rulebase_id -
层号。
类型: integer
-
checkpoint.first_hit_time -
当前间隔内的首次命中时间。
类型: integer
-
checkpoint.last_hit_time -
当前间隔内的最后一次命中时间。
类型: integer
-
checkpoint.rematch_info -
在策略安装期间无法匹配旧连接时发送的信息。
类型: keyword
-
checkpoint.last_rematch_time -
连接重新匹配时间。
类型: keyword
-
checkpoint.action_reason -
连接丢弃原因。
类型: integer
-
checkpoint.action_reason_msg -
连接丢弃原因消息。
类型: keyword
-
checkpoint.c_bytes -
布尔值,指示是否使用客户端发送的字节。
类型: integer
-
checkpoint.context_num -
特定连接的日志序列号。
类型: integer
-
checkpoint.match_id -
规则的私钥
类型: integer
-
checkpoint.alert -
匹配规则的警报级别(用于连接日志)。
类型: keyword
-
checkpoint.parent_rule -
内联层中的父规则编号。
类型: integer
-
checkpoint.match_fk -
规则编号。
类型: integer
-
checkpoint.dropped_outgoing -
使用 UP 限制功能时丢弃的传出字节数。
类型: integer
-
checkpoint.dropped_incoming -
使用 UP 限制功能时丢弃的传入字节数。
类型: integer
-
checkpoint.media_type -
使用的媒体(音频、视频等)。
类型: keyword
-
checkpoint.sip_reason -
解释为什么不允许source_ip重定向(切换)。
类型: keyword
-
checkpoint.voip_method -
注册请求。
类型: keyword
-
checkpoint.registered_ip-phones -
已注册的 IP 电话。
类型: keyword
-
checkpoint.voip_reg_user_type -
已注册的 IP 电话类型。
类型: keyword
-
checkpoint.voip_call_id -
呼叫 ID。
类型: keyword
-
checkpoint.voip_reg_int -
注册端口。
类型: integer
-
checkpoint.voip_reg_ipp -
注册 IP 协议。
类型: integer
-
checkpoint.voip_reg_period -
注册周期。
类型: integer
-
checkpoint.voip_log_type -
VoIP 日志类型。可能的值:拒绝、呼叫、注册。
类型: keyword
-
checkpoint.src_phone_number -
源 IP 电话。
类型: keyword
-
checkpoint.voip_from_user_type -
源 IP 电话类型。
类型: keyword
-
checkpoint.dst_phone_number -
目标 IP 电话。
类型: keyword
-
checkpoint.voip_to_user_type -
目标 IP 电话类型。
类型: keyword
-
checkpoint.voip_call_dir -
呼叫方向:入/出。
类型: keyword
-
checkpoint.voip_call_state -
呼叫状态。可能的值:入/出。
类型: keyword
-
checkpoint.voip_call_term_time -
呼叫终止时间戳。
类型: keyword
-
checkpoint.voip_duration -
呼叫持续时间(秒)。
类型: keyword
-
checkpoint.voip_media_port -
媒体接口。
类型: keyword
-
checkpoint.voip_media_ipp -
媒体 IP 协议。
类型: keyword
-
checkpoint.voip_est_codec -
估计的编解码器。
类型: keyword
-
checkpoint.voip_exp -
过期时间。
类型: integer
-
checkpoint.voip_attach_sz -
附件大小。
类型: integer
-
checkpoint.voip_attach_action_info -
附件操作信息。
类型: keyword
-
checkpoint.voip_media_codec -
估计的编解码器。
类型: keyword
-
checkpoint.voip_reject_reason -
拒绝原因。
类型: keyword
-
checkpoint.voip_reason_info -
信息。
类型: keyword
-
checkpoint.voip_config -
配置。
类型: keyword
-
checkpoint.voip_reg_server -
注册服务器 IP 地址。
类型: ip
-
checkpoint.scv_user -
其数据包在 SCV 上被丢弃的用户名。
类型: keyword
-
checkpoint.scv_message_info -
丢弃原因。
类型: keyword
-
checkpoint.ppp -
身份验证状态。
类型: keyword
-
checkpoint.scheme -
描述用于日志的方案。
类型: keyword
-
checkpoint.auth_method -
使用的密码身份验证协议 (PAP 或 EAP)。
类型: keyword
-
checkpoint.auth_status -
事件的身份验证状态。
类型: keyword
-
checkpoint.machine -
触发日志且日志引用它的 L2TP 机器。
类型: keyword
-
checkpoint.vpn_feature_name -
L2TP / IKE / 链路选择。
类型: keyword
-
checkpoint.reject_category -
身份验证失败原因。
类型: keyword
-
checkpoint.peer_ip_probing_status_update -
IP 地址响应状态。
类型: keyword
-
checkpoint.peer_ip -
客户端连接到的 IP 地址。
类型: keyword
-
checkpoint.peer_gateway -
对等安全网关的主 IP。
类型: ip
-
checkpoint.link_probing_status_update -
IP 地址响应状态。
类型: keyword
-
checkpoint.source_interface -
源接口的外部接口名称,如果未找到,则为 Null。
类型: keyword
-
checkpoint.next_hop_ip -
下一跳 IP 地址。
类型: keyword
-
checkpoint.srckeyid -
发起方 Spi ID。
类型: keyword
-
checkpoint.dstkeyid -
响应方 Spi ID。
类型: keyword
-
checkpoint.encryption_failure -
指示加密失败原因的消息。
类型: keyword
-
checkpoint.ike_ids -
所有 QM ID。
类型: keyword
-
checkpoint.community -
IPSec 密钥的社区名称以及 IKEv 的使用。
类型: keyword
-
checkpoint.ike -
IKEMode(PHASE1、PHASE2 等)。
类型: keyword
-
checkpoint.cookieI -
发起方 Cookie。
类型: keyword
-
checkpoint.cookieR -
响应方 Cookie。
类型: keyword
-
checkpoint.msgid -
消息 ID。
类型: keyword
-
checkpoint.methods -
IPSEc 方法。
类型: keyword
-
checkpoint.connection_uid -
IP 和用户名的 md5 计算作为 UID。
类型: keyword
-
checkpoint.site_name -
站点名称。
类型: keyword
-
checkpoint.esod_rule_name -
未知规则名称。
类型: keyword
-
checkpoint.esod_rule_action -
未知规则操作。
类型: keyword
-
checkpoint.esod_rule_type -
未知规则类型。
类型: keyword
-
checkpoint.esod_noncompliance_reason -
不合规原因。
类型: keyword
-
checkpoint.esod_associated_policies -
关联的策略。
类型: keyword
-
checkpoint.spyware_name -
间谍软件名称。
类型: keyword
-
checkpoint.spyware_type -
间谍软件类型。
类型: keyword
-
checkpoint.anti_virus_type -
防病毒类型。
类型: keyword
-
checkpoint.end_user_firewall_type -
最终用户防火墙类型。
类型: keyword
-
checkpoint.esod_scan_status -
扫描失败。
类型: keyword
-
checkpoint.esod_access_status -
访问被拒绝。
类型: keyword
-
checkpoint.client_type -
端点连接。
类型: keyword
-
checkpoint.precise_error -
HTTP 分析器错误。
类型: keyword
-
checkpoint.method -
HTTP 方法。
类型: keyword
-
checkpoint.trusted_domain -
在网络钓鱼事件中,攻击者冒充的域。
类型: keyword
-
checkpoint.comment -
类型: keyword
-
checkpoint.conn_direction -
连接方向
类型: keyword
-
checkpoint.db_ver -
数据库版本
类型: keyword
-
checkpoint.update_status -
数据库更新的状态
类型: keyword