赛门铁克端点保护集成
编辑赛门铁克端点保护集成
编辑此集成用于 赛门铁克端点保护 (SEP) 日志。它可用于接收通过 syslog 发送的 SEP 日志,或读取导出到文本文件的日志。
日志消息应为 CSV 格式。允许使用 Syslog RFC3164 和 RCF5424 标头,如果存在,则会进行解析。数据映射到适用的 ECS 字段,其余字段写入 symantec_endpoint.log.* 下。
如果检测到特定的 SEP 日志类型,则设置 event.provider(例如,Agent Traffic Log)。
Syslog 设置步骤
编辑- 启用此集成和 UDP 输入。
- 如果赛门铁克管理服务器和 Elastic Agent 在不同的主机上运行,则将集成配置为侦听 0.0.0.0,以便它将接受所有接口上的 UDP 数据包。这使赛门铁克服务器可以访问侦听端口。
- 将赛门铁克管理服务器配置为将 syslog 发送到正在运行此集成的 Elastic Agent。请参阅 SEP 指南中的将数据导出到 Syslog 服务器。使用 Elastic Agent 的 IP 地址或主机名作为 syslog 服务器地址。并使用侦听端口作为目标端口(默认为 9008)。
日志文件设置步骤
编辑- 将赛门铁克管理服务器配置为将日志数据导出到文本文件。请参阅将日志数据导出到文本文件。
- 启用此集成和日志文件输入。配置输入以从写入日志文件的位置读取。默认为
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\data\dump*.log。
导出到文本文件的日志始终以事件时间和严重性列开头(例如,2020-01-16 08:00:31,Critical,...)。
日志示例
编辑以下是一些不同 SEP 日志类型的示例。这些示例已删除其 syslog 标头,但是通过 syslog 发送时,这些行通常以类似 `<51>Oct 3 10:38:14 symantec.endpointprotection.test SymantecServer: ` 的 RFC3164 标头开头。
管理日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
站点:SEPSite,服务器:SEPServer,域:_domainOrigin,管理员:_originUser,管理员登录成功
代理活动日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
站点:SEPSite,服务器名称:exampleserver,域名:Default,管理服务器成功收到客户端日志,TESTHOST01,sampleuser01,sample.example.com
代理行为日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
exampleserver,216.160.83.57,已阻止,[AC7-2.1] 阻止脚本 - 调用者 MD5=d73b04b0e696b0945283defa3eee4538,文件写入,开始时间:2019-09-06 15:18:56,结束时间:2019-09-06 15:18:56,规则:规则名称,9552,C:/ProgramData/bomgar-scc-0x5d4162a4/bomgar-scc.exe,0,无模块名称,C:/ProgramData/bomgar-scc-0x5d4162a4/start-cb-hook.bat,用户:_originUser,域:_domainOrigin,操作类型:,文件大小(字节):1403,设备 ID:SCSI\Disk&Ven_WDC&Prod_WD10SPCX-75KHST0\4&1d8ead7a&0&000200
代理数据包日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
exampleserver,本地主机:81.2.69.143,本地端口:138,远程主机 IP:81.2.69.144.,远程主机名称:,远程端口:138,出站,应用程序:C:/windows/system32/NTOSKRNL.EXE,操作:已阻止
代理主动检测日志
编辑请参阅供应商文档:https://knowledge.broadcom.com/external/article?legacyId=TECH171741#Agent_Proactive_Detection[端点保护管理器的外部日志记录设置和日志事件严重级别]
发现潜在风险,计算机名称:exampleComputer,检测类型:启发式,首次发现:赛门铁克大约在 2 天前得知此文件,应用程序名称:Propsim,应用程序类型:127,“应用程序版本:""3",0,6,"0""",哈希类型:SHA-256,应用程序哈希:SHA#1234567890,公司名称:虚拟技术公司,文件大小(字节):343040,敏感度:2,检测得分:3,COH 引擎版本:8.1.1.1,检测提交次数:无,允许的应用程序原因:MDS,处置:不良,下载站点:,Web 域:,下载者:c:/programdata/oracle/java/javapath_target_2151967445/Host126,普遍性:未知,置信度:没有足够的信息来推荐此文件,URL 跟踪状态:关闭,风险级别:高,检测来源:不适用,来源:启发式扫描,风险名称:,发生次数:1,f:\user\workspace\baseline package creator\release\Host214,'',实际操作:保持不变,请求操作:保持不变,次要操作:保持不变,事件时间:2018-02-16 08:01:33,插入时间:2018-02-16 08:02:52,结束时间:2018-02-16 08:01:33,域:默认,组:我的公司\SEPM 组名称,服务器:SEPMServer,用户:exampleUser,源计算机:,源 IP
代理风险日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
发现安全风险,IP 地址:1.128.3.4,计算机名称:exampleComputer,来源:自动保护扫描,风险名称:WS.Reputation.1,发生次数:1,e:\removablemediaaccessutility.exe,,实际操作:所有操作失败,请求操作:进程终止,等待重启,次要操作:保持不变,事件时间:2019-09-03 08:12:25,插入时间:2019-09-03 08:14:03,结束时间:2019-09-03 08:12:25,上次更新时间:2019-09-03 08:14:03,域:SEPMServerDoman,组:我的公司\组名称,服务器:SEPMServerName,用户:exampleUser,源计算机:,源 IP:,处置:不良,下载站点:,Web 域:,下载者:e:/removablemediaaccessutility.exe,普遍性:赛门铁克用户看到此文件的次数少于 5 次,置信度:有一些证据表明此文件不可靠,URL 跟踪状态:开启,首次发现:赛门铁克大约在 2 天前得知此文件,敏感度:,允许的应用程序原因:不在允许的应用程序列表中,应用程序哈希:SHA#1234567890,哈希类型:SHA2,公司名称:公司名称,应用程序名称:赛门铁克端点加密客户端,应用程序版本:11.1.2 (Build 1248),应用程序类型:127,文件大小(字节):4193981,类别集:恶意软件,类别类型:洞察网络威胁,位置:GD-OTS 非托管客户端 - 在线,密集保护级别:0,证书颁发者:赛门铁克公司,证书签名者:VeriSign Class 3 代码签名 2010 CA,证书指纹:AB6EF1497C6E1C8CCC12F06E945A4954FB41AD45,签名时间戳:1482491555,证书序列号:AB2D17E62E571F288ACB5666FD3C5230
代理扫描日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
扫描 ID:123456789,开始时间:2020-01-31 11:35:28,结束时间:2020-01-31 11:45:28,已开始,持续时间(秒):600,用户 1:exampleUser,用户 2:SYSTEM,已开始在选定的驱动器和文件夹以及所有扩展名上进行扫描,扫描完成:风险:0,已扫描:916 个文件/文件夹/驱动器,已忽略:0,已跳过的可信文件:0,命令:不是命令扫描 (),威胁:0,已感染:0,总文件数:916,已忽略:0,计算机:_destinationHostname,IP 地址:1.128.3.4,域:exampleDomain,组:公司\美国\用户工作站\主办公室,服务器:SEPServer
代理安全日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
server03,事件描述:ARP 缓存中毒,本地主机 IP:0.0.0.0,本地主机 MAC:2DFF88AABBDC,远程主机名称:,远程主机 IP:0.0.0.0,远程主机 MAC:AABBCCDDEEFF,入站,未知,入侵 ID:0,开始时间:2020-11-23 13:56:35,结束时间:2020-11-23 13:56:35,发生次数:1,应用程序:,位置:远程,用户名:bobby,域名:local,本地端口:0,远程端口:0,CIDS 签名 ID:99990,CIDS 签名字符串:ARP 缓存中毒,CIDS 签名子 ID:0,入侵 URL:,入侵负载 URL:,SHA-256:,MD-5
代理系统日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
exampleHostname,类别:0,CVE,新的内容更新无法从管理服务器下载。远程文件路径:https://server:443/content/{02335EF8-ADE1-4DD8-9F0F-2A9662352E65}/190815061/xdelta190815061_To_190816061.dax,事件时间:2019-08-19 07:14:38
代理流量日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
host-plaintext,本地主机 IP:216.160.83.61,本地端口:80,本地主机 MAC:CCF9E4A91226,远程主机 IP:216.160.83.61,远程主机名称:,远程端口:33424,远程主机 MAC:2C3AFDA79E71,TCP,入站,开始时间:2020-11-11 19:25:21,结束时间:2020-11-11 19:25:28,发生次数:4,应用程序:C:/WINDOWS/system32/NTOSKRNL.EXE,规则:阻止未经批准的入站端口,位置:默认,用户名:sampleuser4,域名:SMPL,操作:已阻止,SHA-256:5379732000000000000000000000000000000000000000000000000000000000,MD-5:53797320000000000000000000000000
策略日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
站点:SEPSite,服务器:exampleHostname,域:exampleDomain,管理员:exampleAdmin,事件描述:策略已被编辑:已编辑共享的入侵防御策略:SEPPolicyName,SEPPolicyName
系统日志
编辑请参阅供应商文档:端点保护管理器的外部日志记录设置和日志事件严重级别
站点:SEPSite,服务器:exampleHostname,赛门铁克端点保护管理器无法更新入侵防御签名 14.0。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
数据集的名称。 |
constant_keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 |
长整型 |
event.module |
此数据来自的模块的名称。 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代码名称(如果有)。 |
关键字 |
input.type |
输入类型。 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
log.syslog.process.name |
已弃用。请使用 ECS log.syslog.appname 字段。 |
别名 |
log.syslog.process.pid |
已弃用。请使用 ECS log.syslog.procid 字段。 |
长整型 |
observer.product |
观察者的产品名称。 |
constant_keyword |
observer.type |
数据来自的观察者的类型。 |
constant_keyword |
observer.vendor |
观察者的供应商名称。 |
constant_keyword |
symantec_endpoint.log.action |
对流量采取的操作,例如“已阻止”。 |
关键字 |
symantec_endpoint.log.actual_action |
来自风险日志和主动检测 (SONAR) 日志的实际操作。 |
关键字 |
symantec_endpoint.log.admin |
SEPM 管理员的名称。 |
关键字 |
symantec_endpoint.log.api_name |
被阻止的 API 名称(代理行为日志)。 |
关键字 |
symantec_endpoint.log.application |
涉及的应用程序的完整路径名。 |
关键字 |
symantec_endpoint.log.application_hash |
此应用程序的哈希值。 |
关键字 |
symantec_endpoint.log.application_name |
应用程序名称。 |
关键字 |
symantec_endpoint.log.application_type |
应用程序类型(木马、键盘记录器等)。 |
关键字 |
symantec_endpoint.log.application_version |
应用程序版本。 |
关键字 |
symantec_endpoint.log.begin |
事件的开始时间(另请参见 event.start)。 |
关键字 |
symantec_endpoint.log.caller_process_id |
触发日志记录的进程 ID。 |
关键字 |
symantec_endpoint.log.caller_process_name |
涉及的应用程序的完整路径名。如果应用程序未知,或者涉及操作系统本身,或者未涉及任何应用程序,则可能为空。此外,如果配置文件显示“不在原始流量日志中记录应用程序名称”,则它也可能为空。 |
关键字 |
symantec_endpoint.log.caller_return_address |
调用者的返回地址。此字段允许检测进行 API 调用的调用模块。历史上未使用此字段。您可以预期返回地址始终为 0。 |
关键字 |
symantec_endpoint.log.caller_return_module_name |
调用者的模块名称。有关更多信息,请参见 CallerReturnAddress。返回模块名称在历史上未使用。您可以预期返回模块名称始终为“No Module Name”,除非您看到 Sysplant 何时启动了 Sysplant。 |
关键字 |
symantec_endpoint.log.category |
代理系统日志类别(通常不由 SEPM 填充)。 |
关键字 |
symantec_endpoint.log.category_set |
代理风险日志类别。 |
关键字 |
symantec_endpoint.log.category_type |
代理风险日志类别类型。 |
关键字 |
symantec_endpoint.log.certificate_issuer |
证书的颁发者。 |
关键字 |
symantec_endpoint.log.certificate_serial_number |
证书的序列号。 |
关键字 |
symantec_endpoint.log.certificate_signer |
证书的签名者。 |
关键字 |
symantec_endpoint.log.certificate_thumbprint |
证书的指纹。 |
关键字 |
symantec_endpoint.log.cids_signature_id |
签名 ID。 |
关键字 |
symantec_endpoint.log.cids_signature_string |
签名名称。 |
关键字 |
symantec_endpoint.log.cids_signature_subid |
签名子 ID。 |
关键字 |
symantec_endpoint.log.coh_engine_version |
TruScan 引擎版本。 |
关键字 |
symantec_endpoint.log.command |
从 SEPM 发送的命令。 |
关键字 |
symantec_endpoint.log.company_name |
来自应用程序的公司名称(用于代理风险日志)。 |
关键字 |
symantec_endpoint.log.computer_name |
主机名(用于代理风险/扫描日志)。 |
关键字 |
symantec_endpoint.log.confidence |
产生判定的置信度级别。示例:高、低、坏、可信等。“置信度:有强有力的证据表明此文件不可信。” |
关键字 |
symantec_endpoint.log.description |
病毒文件的描述。 |
关键字 |
symantec_endpoint.log.detection_score |
检测得分。 |
关键字 |
symantec_endpoint.log.detection_source |
检测来源。 |
关键字 |
symantec_endpoint.log.detection_type |
检测类型(例如,启发式)。 |
关键字 |
symantec_endpoint.log.device_id |
外部设备(软盘、DVD、USB 设备等)的 GUID。 |
关键字 |
symantec_endpoint.log.disposition |
良好 / 坏 / 未知 / 不可用。 |
关键字 |
symantec_endpoint.log.domain_name |
SEPM 域名。 |
关键字 |
symantec_endpoint.log.download_site |
确定下载映像的 URL。 |
关键字 |
symantec_endpoint.log.downloaded_by |
投放器威胁的创建者进程。 |
关键字 |
symantec_endpoint.log.duration_seconds |
扫描的长度,以秒为单位。 |
关键字 |
symantec_endpoint.log.end |
事件的结束时间(另请参见 event.end)。 |
关键字 |
symantec_endpoint.log.event_description |
事件的描述。通常,描述的第一行被视为摘要。 |
关键字 |
symantec_endpoint.log.event_source |
数据源。NETPORT、NATSRV、网络入侵防护系统、LiveUpdate Manager 等。 |
关键字 |
symantec_endpoint.log.event_time |
事件发生的时间。 |
日期 |
symantec_endpoint.log.file_path |
受攻击的文件的文件路径。 |
关键字 |
symantec_endpoint.log.file_size_bytes |
应用程序的文件大小。 |
关键字 |
symantec_endpoint.log.first_seen |
首次发现被判刑应用程序的日期。 |
关键字 |
symantec_endpoint.log.group |
SEPM 客户端组名称。 |
关键字 |
symantec_endpoint.log.hash_type |
应用程序哈希类型(MD5、SHA1、SHA256 等)。 |
关键字 |
symantec_endpoint.log.infected |
扫描发现的受感染文件数。 |
长整型 |
symantec_endpoint.log.inserted |
将事件插入到数据库的时间。 |
日期 |
symantec_endpoint.log.intensive_protection_level |
高强度检测级别。 |
关键字 |
symantec_endpoint.log.intrusion_id |
入侵 ID。 |
关键字 |
symantec_endpoint.log.intrusion_payload_url |
托管有效负载的 URL。 |
关键字 |
symantec_endpoint.log.intrusion_url |
来自检测的 URL。 |
关键字 |
symantec_endpoint.log.ip_address |
计算机的 IP 地址。 |
关键字 |
symantec_endpoint.log.last_update_time |
事件记录到系统或在系统中更新时服务器上的时间(GMT)。 |
日期 |
symantec_endpoint.log.local_host |
客户端计算机的主机名。 |
关键字 |
symantec_endpoint.log.local_host_ip |
本地计算机的 IP 地址。 |
关键字 |
symantec_endpoint.log.local_host_mac |
本地计算机的 MAC 地址。 |
关键字 |
symantec_endpoint.log.local_host_name |
客户端计算机的主机名。 |
关键字 |
symantec_endpoint.log.local_port |
本地计算机的 TCP/UDP 端口。 |
关键字 |
symantec_endpoint.log.location |
发生事件时使用的位置。 |
关键字 |
symantec_endpoint.log.md-5 |
MD5 哈希值。 |
关键字 |
symantec_endpoint.log.network_protocol |
其他/ TCP/ UDP/ ICMP 的本地化字符串。 |
关键字 |
symantec_endpoint.log.occurrences |
攻击次数。有时,当黑客发起大规模攻击时,日志系统可能会将其减少为一个事件,具体取决于抑制周期。 |
关键字 |
symantec_endpoint.log.omitted |
省略的文件数。 |
长整型 |
symantec_endpoint.log.parameters |
Parameters 是 API 调用中使用的模块、进程、注册表位置或文件的名称。每个参数都转换为字符串格式,并用一个空格字符分隔。字符串内的双引号字符用 \ 字符转义。例如,在 SEPM ADC 策略中,您可能有一个规则,该规则带有一个条件,该条件监视加载 DLL 尝试,并且该规则应用于 mscoree.dll。在这种情况下,在 parameters 字段中,您应该看到 C:\Windows\SysWOW64\mscoree.dll。 |
关键字 |
symantec_endpoint.log.permitted_application_reason |
允许列出的原因(例如,Symantec 允许的应用程序列表、管理员允许的应用程序列表)。 |
关键字 |
symantec_endpoint.log.policy_name |
策略的名称。 |
关键字 |
symantec_endpoint.log.prevalence |
看到此内容的用户数。 |
关键字 |
symantec_endpoint.log.remote_host_ip |
远程计算机的 IP 地址。 |
关键字 |
symantec_endpoint.log.remote_host_mac |
远程计算机的 MAC 地址。 |
关键字 |
symantec_endpoint.log.remote_port |
远程计算机的 TCP/UDP 端口。 |
关键字 |
symantec_endpoint.log.requested_action |
策略请求的操作。 |
关键字 |
symantec_endpoint.log.risk_level |
被判刑威胁的风险级别(高、中、低)。 |
关键字 |
symantec_endpoint.log.risk_name |
关键字 |
|
symantec_endpoint.log.risk_type |
启发式 / Cookie / 管理员黑名单 / BPE / 系统更改 / N/A 的本地化字符串。 |
关键字 |
symantec_endpoint.log.rule |
由事件触发的规则的名称。如果安全规则中未指定规则名称,则此字段为空。拥有规则名称有助于进行故障排除。您可以通过规则 ID 识别规则,但规则名称可以帮助您更快地识别它。 |
关键字 |
symantec_endpoint.log.scan_complete |
扫描结束时的扫描消息。 |
关键字 |
symantec_endpoint.log.scan_id |
代理提供的扫描 ID。 |
关键字 |
symantec_endpoint.log.secondary_action |
策略请求的辅助操作 |
关键字 |
symantec_endpoint.log.sensitivity |
产生此检测的引擎灵敏度 |
长整型 |
symantec_endpoint.log.server |
服务器的名称。 |
关键字 |
symantec_endpoint.log.server_name |
服务器的名称。 |
关键字 |
symantec_endpoint.log.sha-256 |
SHA-256 哈希值。 |
关键字 |
symantec_endpoint.log.signing_timestamp |
证书的签名时间戳。 |
日期 |
symantec_endpoint.log.site |
SEPM 站点名称。 |
关键字 |
symantec_endpoint.log.source |
扫描源(例如,计划)。 |
关键字 |
symantec_endpoint.log.source_computer |
发生此事件的计算机名称。 |
关键字 |
symantec_endpoint.log.source_ip |
发生事件的计算机的 IP 地址。 |
关键字 |
symantec_endpoint.log.submission_recommended |
有关是否将此检测提交给 Symantec 的建议。 |
布尔值 |
symantec_endpoint.log.threats |
扫描发现的威胁数量。 |
长整型 |
symantec_endpoint.log.total_files |
扫描的文件数。 |
长整型 |
symantec_endpoint.log.traffic_direction |
未知 / 入站 / 出站 |
关键字 |
symantec_endpoint.log.url_tracking_status |
网络入侵防护状态 |
关键字 |
symantec_endpoint.log.user1 |
扫描开始时的用户。 |
关键字 |
symantec_endpoint.log.user2 |
扫描结束时的用户。 |
关键字 |
symantec_endpoint.log.user_name |
关键字 |
|
symantec_endpoint.log.web_domain |
Web 域。 |
关键字 |
示例
log 的一个示例事件如下所示
{
"@timestamp": "2018-02-16T08:01:33.000Z",
"agent": {
"ephemeral_id": "88645c33-21f7-47a1-a1e6-b4a53f32ec43",
"id": "94011a8e-8b26-4bce-a627-d54316798b52",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.6.0"
},
"data_stream": {
"dataset": "symantec_endpoint.log",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "94011a8e-8b26-4bce-a627-d54316798b52",
"snapshot": true,
"version": "8.6.0"
},
"event": {
"action": "Left alone",
"agent_id_status": "verified",
"count": 1,
"dataset": "symantec_endpoint.log",
"end": "2018-02-16T08:01:33.000Z",
"ingested": "2023-01-13T12:37:44Z",
"kind": "event",
"original": "Potential risk found,Computer name: exampleComputer,Detection type: Heuristic,First Seen: Symantec has known about this file approximately 2 days.,Application name: Propsim,Application type: 127,\"Application version: \"\"3\",0,6,\"0\"\"\",Hash type: SHA-256,Application hash: SHA#1234567890,Company name: Dummy Technologies,File size (bytes): 343040,Sensitivity: 2,Detection score: 3,COH Engine Version: 8.1.1.1,Detection Submissions No,Permitted application reason: MDS,Disposition: Bad,Download site: ,Web domain: ,Downloaded by: c:/programdata/oracle/java/javapath_target_2151967445/Host126,Prevalence: Unknown,Confidence: There is not enough information about this file to recommend it.,URL Tracking Status: Off,Risk Level: High,Detection Source: N/A,Source: Heuristic Scan,Risk name: ,Occurrences: 1,f:\\user\\workspace\\baseline package creator\\release\\Host214,'',Actual action: Left alone,Requested action: Left alone,Secondary action: Left alone,Event time: 2018-02-16 08:01:33,Inserted: 2018-02-16 08:02:52,End: 2018-02-16 08:01:33,Domain: Default,Group: My Company\\SEPM Group Name,Server: SEPMServer,User: exampleUser,Source computer: ,Source IP:"
},
"file": {
"pe": {
"company": "Dummy Technologies",
"file_version": "\"3",
"product": "Propsim"
},
"size": 343040
},
"host": {
"hostname": "exampleComputer",
"name": "exampleComputer"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "172.27.0.4:34299"
}
},
"process": {
"executable": "c:/programdata/oracle/java/javapath_target_2151967445/Host126"
},
"symantec_endpoint": {
"log": {
"actual_action": "Left alone",
"application_hash": "SHA#1234567890",
"application_name": "Propsim",
"application_type": "127",
"application_version": "\"3",
"coh_engine_version": "8.1.1.1",
"company_name": "Dummy Technologies",
"computer_name": "exampleComputer",
"confidence": "There is not enough information about this file to recommend it.",
"detection_score": "3",
"detection_source": "N/A",
"detection_type": "Heuristic",
"disposition": "Bad",
"domain_name": "Default",
"downloaded_by": "c:/programdata/oracle/java/javapath_target_2151967445/Host126",
"end": "2018-02-16 08:01:33",
"event_time": "2018-02-16T08:01:33.000Z",
"file_size_bytes": "343040",
"first_seen": "Symantec has known about this file approximately 2 days.",
"group": "My Company\\SEPM Group Name",
"hash_type": "SHA-256",
"inserted": "2018-02-16T08:02:52.000Z",
"occurrences": "1",
"permitted_application_reason": "MDS",
"prevalence": "Unknown",
"requested_action": "Left alone",
"risk_level": "High",
"secondary_action": "Left alone",
"sensitivity": 2,
"server": "SEPMServer",
"source": "Heuristic Scan",
"url_tracking_status": "Off",
"user_name": "exampleUser"
}
},
"tags": [
"preserve_original_event",
"symantec-endpoint-log",
"forwarded"
],
"user": {
"domain": "Default",
"name": "exampleUser"
}
}
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.18.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.17.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.16.3 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.16.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.16.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.16.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.15.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.14.2 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.14.1 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.14.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.13.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.12.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
2.11.0 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.6.1 |
错误修复 (查看拉取请求) 错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.3.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.1.1 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
2.0.1 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
0.0.4 |
错误修复 (查看拉取请求) |
— |
0.0.3 |
错误修复 (查看拉取请求) |
— |
0.0.2 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |