« 赛门铁克端点保护集成 适用于 Linux 的 Sysmon 集成 »
Elastic 文档 Elastic 集成

赛门铁克端点安全

编辑

赛门铁克端点安全

编辑

版本

1.4.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观察性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

赛门铁克端点安全 (SES) 是本地赛门铁克端点保护 (SEP) 的完全云托管版本,它提供多层保护,以阻止威胁,无论它们如何攻击您的端点。您可以通过统一的云控制台管理 SES,该控制台提供跨端点的威胁可见性,并使用多种技术来管理组织的安全。

此 SES 集成使用户能够分别通过数据存储(AWS S3、AWS SQS 或 GCS)和 API 端点将事件和 EDR 事件数据流式传输到 Elastic。

数据流

编辑

赛门铁克端点安全集成通过 Amazon S3 和 SQS 以及 Google GCP 收集不同事件的日志,这些事件由集成网络防御架构组织到以下类别中

安全 [1]

  • 8020 - 扫描
  • 8025 - 引导记录检测
  • 8026 - 用户会话检测
  • 8027 - 进程检测
  • 8028 - 模块检测
  • 8030 - 内核检测
  • 8031 - 文件检测
  • 8032 - 注册表项检测
  • 8033 - 注册表值检测
  • 8038 - 外围设备检测
  • 8040 - 主机网络检测
  • 8061 - 实体更改
  • 8070 - 合规性扫描
  • 8071 - 合规性
  • 8075 - 事件创建
  • 8076 - 事件更新
  • 8077 - 事件关闭
  • 8078 - 事件关联

许可证 [2]

  • 30 - 许可证生命周期
  • 31 - 许可证到期

应用程序活动 [3]

  • 2 - 应用程序生命周期
  • 3 - 更新
  • 4 - 策略更改
  • 5 - 文件信誉
  • 11 - 命令活动
  • 12 - 操作请求
  • 13 - 操作响应
  • 42 - URL 信誉

审计 [4]

  • 20 - 用户会话审计
  • 21 - 实体审计
  • 22 - 策略覆盖审计

系统活动 [5]

  • 8000 - 用户会话活动
  • 8001 - 进程活动
  • 8002 - 模块活动
  • 8003 - 文件活动
  • 8004 - 目录活动
  • 8005 - 注册表项活动
  • 8006 - 注册表值活动
  • 8007 - 主机网络活动
  • 8009 - 内核活动
  • 8011 - 电子邮件活动
  • 8015 - 受监控的来源
  • 8016 - 启动应用程序配置更改
  • 8018 - AMSI 活动

诊断 [6]

  • 1000 - 状态

赛门铁克端点安全集成还可以通过 REST API 检索 EDR 事件。有关更多详细信息,请参阅此处的 API 文档 here

要求

编辑

必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南

安装和管理 Elastic Agent

编辑

有几种安装和管理 Elastic Agent 的选项

安装 Fleet 管理的 Elastic Agent(推荐)

编辑

使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得相当容易。

以独立模式安装 Elastic Agent(高级用户)

编辑

使用此方法,您可以安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户。

在容器化环境中安装 Elastic Agent

编辑

您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可以从 Elastic Docker 注册表中获取,我们还提供在 Kubernetes 上运行的部署清单。

请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求

此模块已针对事件测试了 Symantec 集成网络防御交换 1.4.7,针对 EDR 事件测试了 Symantec 端点安全 API 版本 v1

设置

编辑

要从 AWS S3 存储桶收集数据,请按照以下步骤操作

编辑
  • 假设您已经设置了 AWS S3 存储桶,要使用赛门铁克端点安全配置它,请按照 此处 提到的步骤启用赛门铁克端点流。

要从 Azure Blob 存储收集数据,请按照以下步骤操作

编辑
  • 假设您已经设置了 Azure 存储容器,请使用赛门铁克端点安全进行配置。
  • 按照 此处 所述启用赛门铁克端点流。
  • 使用您的 Azure 存储帐户名称、容器名称和服务帐户密钥/服务帐户 URI 配置集成。

有关 Azure Blob 存储输入设置的更多详细信息,请参阅 此处 的文档。

要从 GCS 存储桶收集数据,请按照以下步骤操作

编辑
  • 假设您已经设置了 GCS 存储桶,请使用赛门铁克端点安全进行配置。
  • 按照 此处 所述启用赛门铁克端点流。
  • 使用您的 GCS 项目 ID、存储桶名称和服务帐户密钥/服务帐户凭据文件配置集成。

有关 GCS 输入设置的更多详细信息,请参阅 此处 的文档。

GCS 凭据密钥文件

编辑

将密钥添加到 GCP 服务帐户后,您将获得一个只能下载一次的 JSON 密钥文件。如果您不熟悉 GCS 存储桶创建,请按照以下步骤操作

  1. 确保您有可用的服务帐户,如果没有,请按照以下步骤操作

    • 导航到API 和服务 > 凭据
    • 单击创建凭据 > 服务帐户
  2. 创建服务帐户后,您可以导航到密钥部分并附加/生成您的服务帐户密钥。
  3. 确保在提示时下载 JSON 密钥文件。
  4. 使用此 JSON 密钥文件以内联方式(JSON 字符串对象)或通过指定代理正在运行的主机上的文件路径。

JSON 凭据文件的示例如下

{
  "type": "dummy_service_account",
  "project_id": "dummy-project",
  "private_key_id": "dummy-private-key-id",
  "private_key": "-----BEGIN PRIVATE KEY-----\nDummyPrivateKey\n-----END PRIVATE KEY-----\n",
  "client_email": "[email protected]",
  "client_id": "12345678901234567890",
  "auth_uri": "https://dummy-auth-uri.com",
  "token_uri": "https://dummy-token-uri.com",
  "auth_provider_x509_cert_url": "https://dummy-auth-provider-cert-url.com",
  "client_x509_cert_url": "https://dummy-client-cert-url.com",
  "universe_domain": "dummy-universe-domain.com"
}

注意

  • 您必须拥有赛门铁克帐户凭据才能配置事件流。有关更多详细信息,请参阅 此处

要从 AWS SQS 收集数据,请按照以下步骤操作

编辑
  1. 假设您已设置连接以将数据推送到 AWS 存储桶中;如果没有,请参阅上面的部分。

  2. 要设置 SQS 队列,请按照 链接 中提到的“步骤 1:创建 Amazon SQS 队列”进行操作。

    • 在创建访问策略时,请使用配置为在赛门铁克中为 AWS S3 创建连接的存储桶名称。

  3. 为 S3 存储桶配置事件通知。请按照此 链接 进行操作。

    • 在创建 事件通知时,选择事件类型为 s3:ObjectCreated:*,目标类型为 SQS 队列,并选择在步骤 2 中创建的队列名称。

有关 AWS-S3 输入设置的更多详细信息,请参阅 此处 的文档。

获取客户端 ID 和客户端密钥以从 EDR 事件 API 收集数据的步骤

编辑
  1. 登录到您的 赛门铁克 EDR 云控制台
  2. 单击集成 > 客户端应用程序。
  3. 单击添加以添加客户端应用程序。
  4. 输入客户端应用程序名称,然后按添加按钮。
  5. 从顶部选择客户端密钥。
  6. 复制客户端 ID 和客户端密钥。

在 Elastic 中启用集成

编辑
  1. 在 Kibana 中,导航到管理 > 集成
  2. 在顶部栏的“搜索集成”中,搜索 赛门铁克端点安全
  3. 从搜索结果中选择“赛门铁克端点安全”集成。
  4. 选择“添加赛门铁克端点安全集成”以添加集成。

  5. 在添加集成时,如果要通过 AWS S3 收集日志,则必须输入以下详细信息

    • 通过 S3 存储桶收集日志已打开
    • 访问密钥 ID
    • 秘密访问密钥
    • 存储桶 ARN

    • 会话令牌

      或者,如果要通过 AWS SQS 收集日志,则必须输入以下详细信息

    • 通过 S3 存储桶收集日志已关闭
    • 队列 URL
    • 秘密访问密钥

    • 访问密钥 ID

      或者,如果要通过 GCS 收集日志,则必须输入以下详细信息

    • 项目 ID
    • 存储桶

    • 服务帐户密钥/服务帐户凭据文件

      或者,如果您想通过 REST API 收集日志,则必须提供以下详细信息

    • 客户端 ID
    • 客户端密钥
    • URL
    • 令牌 URL
  6. 保存集成。

注意

  1. 对于 AWS S3 和 AWS SQS,还有其他可用的输入组合选项,请在此处查看。
  2. 对于 GCS,还有其他可用的输入组合选项,请在此处查看。

故障排除

编辑

如果用户停止集成并在 30 天后再次启动集成,则用户将无法收集数据,并且会收到错误,因为 Symantec EDR Cloud 仅收集最近 30 天的数据。为了避免此问题,请创建新的集成,而不是在 30 天后重新启动它。

日志参考

编辑

事件

编辑

这是 Event 数据集。

示例

一个 event 的示例事件如下

{
    "@timestamp": "2024-02-29T02:00:00.000Z",
    "agent": {
        "ephemeral_id": "12938ae7-0e21-4871-a4b7-84a7c81580d5",
        "id": "6959e46f-8a34-4f03-83ab-616183948946",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "aws": {
        "s3": {
            "bucket": {
                "arn": "arn:aws:s3:::elastic-package-symantec-endpoint-security-bucket-47282",
                "name": "elastic-package-symantec-endpoint-security-bucket-47282"
            },
            "object": {
                "key": "events.log"
            }
        }
    },
    "client": {
        "domain": "device.domain.internal.somecompany.com",
        "geo": {
            "country_iso_code": "IN"
        }
    },
    "cloud": {
        "region": "us-east-1"
    },
    "data_stream": {
        "dataset": "symantec_endpoint_security.event",
        "namespace": "53478",
        "type": "logs"
    },
    "destination": {
        "ip": "175.16.199.0"
    },
    "device": {
        "id": [
            "Device_UID"
        ],
        "manufacturer": [
            "LENOVO"
        ]
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "6959e46f-8a34-4f03-83ab-616183948946",
        "snapshot": false,
        "version": "8.13.0"
    },
    "email": {
        "direction": [
            "inbound",
            "unknown"
        ],
        "from": {
            "address": [
                "[email protected]"
            ]
        },
        "subject": [
            "Cybox-Emails-Header_Subject 1",
            "Cybox-Emails-Header_Subject 2"
        ],
        "to": {
            "address": [
                "Cybox-Emails-Header_To 1",
                "Cybox-Emails-Header_Tos 1",
                "Cybox-Emails-Header_To 2",
                "Cybox-Emails-Header_Tos 2"
            ]
        }
    },
    "event": {
        "agent_id_status": "verified",
        "created": "2021-02-11T05:30:04.000Z",
        "dataset": "symantec_endpoint_security.event",
        "end": [
            "2021-02-11T05:30:04.000Z"
        ],
        "id": "SR-1565234545",
        "ingested": "2024-07-23T06:58:38Z",
        "kind": "event",
        "original": "{\"category_id\":3,\"collector_device_ip\":\"175.16.199.0\",\"collector_device_name\":\"Collector_Device_Name\",\"collector_name\":\"Collection12\",\"collector_uid\":\"TT1456\",\"composite\":1,\"container\":{\"host_name\":\"azure-us.local\",\"image_name\":\"Image-sp2133\",\"image_uid\":\"SH4322323\",\"name\":\"User12345\",\"networks\":[{\"bssid\":\"Container-Networks-BSSID 1\",\"gateway_ip\":\"89.160.20.112\",\"gateway_mac\":\"00:B0:D0:63:C2:01\",\"ipv4\":\"81.2.69.144\",\"ipv6\":\"2a02:cf40::\",\"is_public\":true,\"mac\":\"00:B0:D0:63:C2:02\",\"rep_score_id\":0,\"ssid\":\"SSID-4326451\",\"type_id\":0},{\"bssid\":\"HN0845435\",\"gateway_ip\":\"81.2.69.142\",\"gateway_mac\":\"00:B0:D0:63:C2:03\",\"ipv4\":\"81.2.69.144\",\"ipv6\":\"2a02:cf40::\",\"is_public\":true,\"mac\":\"00:B0:D0:63:C2:04\",\"rep_score_id\":1,\"ssid\":\"Container-Networks-SSID 2\",\"type_id\":1}],\"os_name\":\"Windows\",\"uid\":\"UU35r3454\"},\"correlation_uid\":\"DD78666\",\"count\":563,\"customer_registry_uid\":\"CP45254\",\"customer_uid\":\"CH32534\",\"cybox\":{\"domains\":[\"example.com\",\"abc.com\"],\"emails\":[{\"direction_id\":0,\"header_from\":\"[email protected]\",\"header_message_id\":\"Cybox-Emails-Header_Message_ID 1\",\"header_reply_to\":\"Cybox-Emails-Header_Reply_To 1\",\"header_subject\":\"Cybox-Emails-Header_Subject 1\",\"header_to\":[\"Cybox-Emails-Header_To 1\",\"Cybox-Emails-Header_Tos 1\"],\"sender_ip\":\"81.2.69.144\",\"size\":12345678901,\"smtp_from\":\"Cybox-Emails-SMTP_From 1\",\"smtp_hello\":\"Cybox-Emails-SMTP_Hello 1\",\"smtp_to\":\"Cybox-Emails-SMTP_To 1\"},{\"direction_id\":1,\"header_from\":\"[email protected]\",\"header_message_id\":\"Cybox-Emails-Header_Message_ID 2\",\"header_reply_to\":\"Cybox-Emails-Header_Reply_To 2\",\"header_subject\":\"Cybox-Emails-Header_Subject 2\",\"header_to\":[\"Cybox-Emails-Header_To 2\",\"Cybox-Emails-Header_Tos 2\"],\"sender_ip\":\"81.2.69.144\",\"size\":12345678902,\"smtp_from\":\"Cybox-Emails-SMTP_From 2\",\"smtp_hello\":\"Cybox-Emails-SMTP_Hello 2\",\"smtp_to\":\"Cybox-Emails-SMTP_To 2\"}],\"files\":[{\"accessed\":1613021404000,\"accessor\":\"Cybox-Files-Accessor 1\",\"attribute_ids\":[1,2,3,4,5,6,7,8,9,10],\"attributes\":12345678901,\"company_name\":\"Microsoft Corporation\",\"confidentiality_id\":0,\"content_type\":{\"family_id\":0,\"subtype\":\"SubType 1\",\"type_id\":0},\"created\":1613021404000,\"creator\":\"Creator 1\",\"creator_process\":\"Cybox-Files-Creator_Process 1\",\"desc\":\"Cybox-Files-Desc 1\",\"folder\":\"c:\\\\\windows\\\\\system32\\\\\cybox\\\\\files\\\\\folder\\\\\1\",\"folder_uid\":\"Cybox-Files-Folder_UID 1\",\"is_system\":true,\"md5\":\"HFDajsdf3254345436\",\"mime_type\":\"Cybox-Files-MIME_Type 1\",\"modified\":1613021404000,\"modifier\":\"Cybox-Files-Modifier 1\",\"name\":\"cybox_files_name_1.exe\",\"normalized_path\":\"CSIDL_SYSTEM\\\\\cybox_files_normalized_path_1.exe\",\"original_name\":\"Cybox-Files-Original_Name 1\",\"owner\":\"Cybox-Files-Owner 1\",\"parent_name\":\"Cybox-Files-Parent_Name 1\",\"parent_sha2\":\"Cybox-Files-Parent_SHA2 1\",\"path\":\"c:\\\\\windows\\\\\system32\\\\\cybox_files_path_1.exe\",\"product_name\":\"Windows Internet Explorer 1\",\"product_path\":\"Cybox-Files-Product_Path 1\",\"rep_discovered_band\":0,\"rep_discovered_date\":1613021404000,\"rep_prevalence\":12345678901,\"rep_prevalence_band\":0,\"rep_score\":12345678901,\"rep_score_band\":0,\"security_descriptor\":\"Cybox-Files-Security_Descriptor 1\",\"sha1\":\"Cybox-Files-SHA1 1\",\"sha2\":\"Cybox-Files-SHA2 1\",\"signature_company_name\":\"Cybox-Files-Signature_Company_Name 1\",\"signature_created_date\":1613021404000,\"signature_developer_uid\":\"Cybox-Files-Signature_Developer_UID 1\",\"signature_fingerprints\":[{\"algorithm\":\"Cybox-Files-Signature_Fingerprints-Algorithm 1\",\"value\":\"Cybox-Files-Signature_Fingerprints-Value 1\"},{\"algorithm\":\"Cybox-Files-Signature_Fingerprints-Algorithms 1\",\"value\":\"Cybox-Files-Signature_Fingerprints-Values 1\"}],\"signature_issuer\":\"Cybox-Files-Signature_Issuer 1\",\"signature_level_id\":0,\"signature_serial_number\":\"Cybox-Files-Signature_Serial_Number 1\",\"signature_value\":12345678901,\"signature_value_ids\":[0,1,2,3,4,5,6,7,8,9,10],\"size\":12345678901,\"size_compressed\":12345678901,\"src_ip\":\"81.2.69.142\",\"src_name\":\"Cybox-Files-SRC_Name 1\",\"type_id\":1,\"uid\":\"Cybox-Files-UID 1\",\"url\":{\"categories\":[\"Cybox-Files-URL-Category 1\",\"Cybox-Files-URL-Categories 1\"],\"category_ids\":[1,3,4,5,6,7,9,11,14,15,16,17,18,20,21,22,23,24,25,26,27,29,30,31,32,33,34,35,36,37,38,40,43,44,45,46,47,49,50,51,52,53,54,55,56,57,58,59,60,61,63,64,65,66,67,68,71,83,84,85,86,87,88,89,90,92,93,95,96,97,98],\"extension\":\"Cybox-Files-URL-Extension 1\",\"host\":\"www.files-url-host-1.com\",\"method\":\"Cybox-Files-URL-Method 1\",\"parent_categories\":[\"Cybox-Files-URL-Parent_Category 1\",\"Cybox-Files-URL-Parent_Categories 1\"],\"path\":\"/download/trouble/cybox/files/url/path/1\",\"port\":80,\"provider\":\"Cybox-Files-URL-Provider 1\",\"query\":\"q=bad&sort=date_1\",\"referrer\":\"Cybox-Files-URL-Referrer 1\",\"referrer_categories\":[\"Cybox-Files-URL-Referrer_Category 1\",\"Cybox-Files-URL-Referrer_Categories 1\"],\"referrer_category_ids\":[12345678901,67890123451],\"rep_score_id\":0,\"scheme\":\"Cybox-Files-URL-Scheme 1\",\"text\":\"www.files-url-text-1.com/download/trouble\"},\"version\":\"Cybox-Files-Version 1\",\"xattributes\":{\"ads_name\":\"Cybox-Files-XAttributes-ADS_Name 1\",\"ads_size\":\"Cybox-Files-XAttributes-ADS_Size 1\",\"dacl\":\"Cybox-Files-XAttributes-DACL 1\",\"owner\":\"Cybox-Files-XAttributes-Owner 1\",\"primary_group\":\"Cybox-Files-XAttributes-Primary_Group 1\",\"link_name\":\"Cybox-Files-XAttributes-Link_Name 1\",\"hard_link_count\":\"Cybox-Files-XAttributes-Hard_Link_Count 1\",\"Unix_permissions\":\"Cybox-Files-XAttributes-Unix_Permissions 1\"}},{\"accessed\":1613021404000,\"accessor\":\"Cybox-Files-Accessor 2\",\"attribute_ids\":[11,12,13,14,15,16,17],\"attributes\":12345678902,\"company_name\":\"Microsoft Corporation 2\",\"confidentiality_id\":1,\"content_type\":{\"family_id\":1,\"subtype\":\"Cybox-Files-Content_Type-SubType 2\",\"type_id\":1},\"created\":1613021404000,\"creator\":\"Cybox-Files-Creator 2\",\"creator_process\":\"Cybox-Files-Creator_Process 2\",\"desc\":\"Cybox-Files-Desc 2\",\"folder\":\"c:\\\\\windows\\\\\system32\\\\\cybox\\\\\files\\\\\folder\\\\\2\",\"folder_uid\":\"Cybox-Files-Folder_UID 2\",\"is_system\":true,\"md5\":\"Cybox-Files-MD5 2\",\"mime_type\":\"Cybox-Files-MIME_Type 2\",\"modified\":1613021404000,\"modifier\":\"Cybox-Files-Modifier 2\",\"name\":\"cybox_files_name_2.exe\",\"normalized_path\":\"CSIDL_SYSTEM\\\\\cybox_files_normalized_path_2.exe\",\"original_name\":\"Cybox-Files-Original_Name 2\",\"owner\":\"Cybox-Files-Owner 2\",\"parent_name\":\"Cybox-Files-Parent_Name 2\",\"parent_sha2\":\"Cybox-Files-Parent_SHA2 2\",\"path\":\"c:\\\\\windows\\\\\system32\\\\\cybox_files_path_2.exe\",\"product_name\":\"Windows Internet Explorer 2\",\"product_path\":\"Cybox-Files-Product_Path 2\",\"rep_discovered_band\":1,\"rep_discovered_date\":1613021404000,\"rep_prevalence\":12345678902,\"rep_prevalence_band\":1,\"rep_score\":12345678902,\"rep_score_band\":1,\"security_descriptor\":\"Cybox-Files-Security_Descriptor 2\",\"sha1\":\"Cybox-Files-SHA1 2\",\"sha2\":\"Cybox-Files-SHA2 2\",\"signature_company_name\":\"Cybox-Files-Signature_Company_Name 2\",\"signature_created_date\":1613021404000,\"signature_developer_uid\":\"Cybox-Files-Signature_Developer_UID 2\",\"signature_fingerprints\":[{\"algorithm\":\"Cybox-Files-Signature_Fingerprints-Algorithm 2\",\"value\":\"Cybox-Files-Signature_Fingerprints-Value 2\"},{\"algorithm\":\"Cybox-Files-Signature_Fingerprints-Algorithms 2\",\"value\":\"Cybox-Files-Signature_Fingerprints-Values 2\"}],\"signature_issuer\":\"Cybox-Files-Signature_Issuer 2\",\"signature_level_id\":1,\"signature_serial_number\":\"Cybox-Files-Signature_Serial_Number 2\",\"signature_value\":12345678902,\"signature_value_ids\":[11,12,13,14,15,16,17,18,19,20,21,22,23,24,25],\"size\":12345678902,\"size_compressed\":12345678902,\"src_ip\":\"81.2.69.144\",\"src_name\":\"Cybox-Files-SRC_Name 2\",\"type_id\":1,\"uid\":\"Cybox-Files-UID 2\",\"url\":{\"categories\":[\"Cybox-Files-URL-Category 2\",\"Cybox-Files-URL-Categories 2\"],\"category_ids\":[101,102,103,104,105,106,107,108,109,110,111,112,113,114,116,117,118,121,124],\"extension\":\"Cybox-Files-URL-Extension 2\",\"host\":\"www.files-url-host-2.com\",\"method\":\"Cybox-Files-URL-Method 2\",\"parent_categories\":[\"Cybox-Files-URL-Parent_Category 2\",\"Cybox-Files-URL-Parent_Categories 2\"],\"path\":\"/download/trouble/cybox/files/url/path/2\",\"port\":81,\"provider\":\"Cybox-Files-URL-Provider 2\",\"query\":\"q=bad&sort=date_2\",\"referrer\":\"Cybox-Files-URL-Referrer 2\",\"referrer_categories\":[\"Cybox-Files-URL-Referrer_Category 2\",\"Cybox-Files-URL-Referrer_Categories 2\"],\"referrer_category_ids\":[12345678902,67890123452],\"rep_score_id\":1,\"scheme\":\"Cybox-Files-URL-Scheme 2\",\"text\":\"www.files-url-text-2.com/download/trouble\"},\"version\":\"Cybox-Files-Version 2\",\"xattributes\":{\"ads_name\":\"Cybox-Files-XAttributes-ADS_Name 2\",\"ads_size\":\"Cybox-Files-XAttributes-ADS_Size 2\",\"dacl\":\"Cybox-Files-XAttributes-DACL 2\",\"owner\":\"Cybox-Files-XAttributes-Owner 2\",\"primary_group\":\"Cybox-Files-XAttributes-Primary_Group 2\",\"link_name\":\"Cybox-Files-XAttributes-Link_Name 2\",\"hard_link_count\":\"Cybox-Files-XAttributes-Hard_Link_Count 2\",\"Unix_permissions\":\"Cybox-Files-XAttributes-Unix_Permissions 2\"}}],\"hostnames\":[\"Cybox-Hostname 1\",\"Cybox-Hostnames 1\"],\"icap_reqmod\":[{\"metadata\":{\"field1_keyword\":\"Cybox-ICAP_ReqMod-field1_Keyword\",\"field1_number\":12345678901,\"field1_boolean\":true,\"field1_ip\":\"175.16.199.0\"},\"service\":\"Cybox-ICAP_ReqMod-Service 1\",\"status\":\"Cybox-ICAP_ReqMod-Status 1\",\"status_detail\":\"Cybox-ICAP_ReqMod-Status_Detail 1\"},{\"metadata\":{\"field2_keyword\":\"Cybox-ICAP_ReqMod-field2_Keyword\",\"field2_number\":12345678902,\"field2_boolean\":true,\"field2_ip\":\"175.16.199.0\"},\"service\":\"Cybox-ICAP_ReqMod-Service 2\",\"status\":\"Cybox-ICAP_ReqMod-Status 2\",\"status_detail\":\"Cybox-ICAP_ReqMod-Status_Detail 2\"}],\"icap_respmod\":[{\"metadata\":{\"field1_keyword\":\"Cybox-ICAP_RespMod-field1_Keyword\",\"field1_number\":12345678901,\"field1_boolean\":true,\"field1_ip\":\"175.16.199.0\"},\"service\":\"Cybox-ICAP_RespMod-Service 1\",\"status\":\"Cybox-ICAP_RespMod-Status 1\",\"status_detail\":\"Cybox-ICAP_RespMod-Status_Detail 1\"},{\"metadata\":{\"field2_keyword\":\"Cybox-ICAP_RespMod-field2_Keyword\",\"field2_number\":12345678902,\"field2_boolean\":true,\"field2_ip\":\"175.16.199.0\"},\"service\":\"Cybox-ICAP_RespMod-Service 2\",\"status\":\"Cybox-ICAP_RespMod-Status 2\",\"status_detail\":\"Cybox-ICAP_RespMod-Status_Detail 2\"}],\"ipv4s\":[\"175.16.199.0\",\"175.16.199.0\"],\"ipv6s\":[\"2a02:cf40::\",\"2a02:cf40::\"],\"macs\":[\"00:B0:D0:63:C2:05\",\"00:B0:D0:63:C2:06\"],\"urls\":[{\"categories\":[\"Cybox-URLs-Category 1\",\"Cybox-URLs-Categories 1\"],\"category_ids\":[1,3,4,5,6,7,9,11,14,15,16,17,18,20,21,22,23,24,25,26,27,29,30,31,32,33,34,35,36,37,38,40,43,44,45,46,47,49,50,51,52,53,54,55,56,57,58,59,60,61,63,64,65,66,67,68,71,83,84,85,86,87,88,89,90,92,93,95,96,97,98],\"extension\":\"Cybox-URLs-Extension 1\",\"host\":\"www.urls-host-1.com\",\"method\":\"Cybox-URLs-Method 1\",\"parent_categories\":[\"Cybox-URLs-Parent_Category 1\",\"Cybox-URLs-Parent_Categories 1\"],\"path\":\"/download/trouble/cybox/urls/path/1\",\"port\":80,\"provider\":\"Cybox-URLs-Provider 1\",\"query\":\"q=bad&sort=date_1\",\"referrer\":\"Cybox-URLs-Referrer 1\",\"referrer_categories\":[\"Cybox-URLs-Referrer_Category 1\",\"Cybox-URLs-Referrer_Categories 1\"],\"referrer_category_ids\":[12345678901,67890123451],\"rep_score_id\":0,\"scheme\":\"Cybox-URLs-Scheme 1\",\"text\":\"www.urls-text-1.com/download/trouble\"},{\"categories\":[\"Cybox-URLs-Category 2\",\"Cybox-URLs-Categories 2\"],\"category_ids\":[101,102,103,104,105,106,107,108,109,110,111,112,113,114,116,117,118,121,124],\"extension\":\"Cybox-URLs-Extension 2\",\"host\":\"www.urls-host-2.com\",\"method\":\"Cybox-URLs-Method 2\",\"parent_categories\":[\"Cybox-URLs-Parent_Category 2\",\"Cybox-URLs-Parent_Categories 2\"],\"path\":\"/download/trouble/cybox/urls/path/2\",\"port\":81,\"provider\":\"Cybox-URLs-Provider 2\",\"query\":\"q=bad&sort=date_2\",\"referrer\":\"Cybox-URLs-Referrer 2\",\"referrer_categories\":[\"Cybox-URLs-Referrer_Category 2\",\"Cybox-URLs-Referrer_Categories 2\"],\"referrer_category_ids\":[12345678902,67890123452],\"rep_score_id\":1,\"scheme\":\"Cybox-URLs-Scheme 2\",\"text\":\"www.urls-text-2.com/download/trouble\"}]},\"device_alias_name\":\"Device_Alias_Name\",\"device_cap\":\"Device_Cap\",\"device_cloud_vm\":{\"autoscale_uid\":\"Device_Cloud_VM-Autoscale_UID\",\"dc_region\":\"Device_Cloud_VM-DC_Region\",\"instance_uid\":\"Device_Cloud_VM-Instance_UID\",\"subnet_uid\":\"Device_Cloud_VM-Subnet_UID\",\"vpc_uid\":\"Device_Cloud_VM-VPC_UID\"},\"device_desc\":\"Device_Desc\",\"device_domain\":\"device.domain.internal.somecompany.com\",\"device_domain_uid\":\"Device_Domain_UID\",\"device_end_time\":1613021404000,\"device_gateway\":\"175.16.199.0\",\"device_group\":\"Device_Group\",\"device_group_name\":\"Device_Group_Name\",\"device_hw_bios_date\":\"03/31/16\",\"device_hw_bios_manufacturer\":\"LENOVO\",\"device_hw_bios_ver\":\"LENOVO G5ETA2WW (2.62)\",\"device_hw_cpu_type\":\"x86 Family 6 Model 37 Stepping 5\",\"device_imei\":\"Device_IMEI\",\"device_ip\":\"175.16.199.0\",\"device_is_compliant\":true,\"device_is_personal\":true,\"device_is_trusted\":true,\"device_is_unmanaged\":true,\"device_location\":{\"city\":\"Device_Location-City\",\"continent\":\"Device_Location-Continent\",\"coordinates\":[-12.345,56.789],\"country\":\"US\",\"desc\":\"Device_Location-Desc\",\"isp\":\"Device_Location-ISP\",\"on_premises\":true,\"region\":\"US-CA\"},\"device_mac\":\"00:B0:D0:63:C2:07\",\"device_name\":\"device.name.computer.domain\",\"device_name_md5\":\"4ED962DDBF17E2BBA7B14EBC00F3162E\",\"device_networks\":[{\"bssid\":\"Device_Networks-BSSID 1\",\"gateway_ip\":\"175.16.199.0\",\"gateway_mac\":\"00:B0:D0:63:C2:08\",\"ipv4\":\"175.16.199.0\",\"ipv6\":\"2a02:cf40::\",\"is_public\":true,\"mac\":\"00:B0:D0:63:C2:09\",\"rep_score_id\":0,\"ssid\":\"Device_Networks-SSID 1\",\"type_id\":0},{\"bssid\":\"Device_Networks-BSSID 2\",\"gateway_ip\":\"89.160.20.112\",\"gateway_mac\":\"00:B0:D0:63:C2:10\",\"ipv4\":\"89.160.20.112\",\"ipv6\":\"2a02:cf40::\",\"is_public\":true,\"mac\":\"00:B0:D0:63:C2:11\",\"rep_score_id\":1,\"ssid\":\"Device_Networks-SSID 2\",\"type_id\":1}],\"device_org_unit\":\"Device_Org_Unit\",\"device_os_bits\":12345678901,\"device_os_build\":\"Device_OS_Build\",\"device_os_country\":\"IN\",\"device_os_edition\":\"Professional\",\"device_os_lang\":\"en\",\"device_os_name\":\"Windows Server 2019 Standard Edition\",\"device_os_sp_name\":\"Device_OS_SP_Name\",\"device_os_sp_ver\":\"Device_OS_SP_Ver\",\"device_os_type_id\":0,\"device_os_ver\":\"Windows 10\",\"device_proxy_ip\":\"89.160.20.112\",\"device_proxy_name\":\"Device_Proxy_Name\",\"device_public_ip\":\"89.160.20.112\",\"device_ref_uid\":\"Device_Ref_UID\",\"device_site\":\"Device_Site\",\"device_subnet\":\"81.2.69.144\",\"device_time\":1613021404000,\"device_type\":\"server\",\"device_uid\":\"Device_UID\",\"device_vhost\":\"Device_VHost\",\"device_vhost_id\":0,\"domain_uid\":\"Domain_UID\",\"end_time\":\"2024-02-29T01:00:00.000Z\",\"entity\":{\"data\":{\"field1_keyword\":\"Entity-Data-field1_Keyword\",\"field1_number\":12345678901,\"field1_boolean\":true},\"name\":\"Entity-Name\",\"type\":\"Entity-Type\",\"uid\":\"Entity-UID\",\"version\":\"Entity-Version\"},\"event_id\":2001,\"events\":[{\"connection\":{\"direction_id\":1,\"dst_service\":\"C:\\\\\Windows\\\\\system32\\\\\NTOSKRNL.EXE\",\"src_ip\":\"159.19.163.218\"},\"count\":1,\"device_end_time\":1709225074618,\"device_time\":1709225074618}],\"feature_name\":\"Feature_Name\",\"feature_path\":\"Feature_Path\",\"feature_type\":\"Feature_Type\",\"feature_uid\":\"Feature_UID\",\"feature_ver\":\"2014.1.4.25\",\"id\":12345678901,\"impersonator_customer_uid\":\"Impersonator_Customer_UID\",\"impersonator_domain_uid\":\"Impersonator_Domain_UID\",\"impersonator_user_uid\":\"Impersonator_User_UID\",\"is_user_present\":true,\"log_level\":\"Log Level\",\"log_name\":\"Log_Name\",\"log_time\":\"2024-02-29T01:00:00.000Z\",\"logging_device_ip\":\"89.160.20.112\",\"logging_device_name\":\"Logging_Device_Name\",\"logging_device_post_time\":1613021404000,\"logging_device_ref_uid\":\"Logging_Device_Ref_UID\",\"message\":\"Message\",\"message_code\":\"Message_Code\",\"message_id\":0,\"org_unit_uid\":\"Org_Unit_UID\",\"orig_data\":\"Orig_Data\",\"product_data\":{\"sep_domain_uid\":\"Product_Data-Sep_Domain_UID\",\"sep_hw_uid\":\"Product_Data-Sep_HW_UID\"},\"product_lang\":\"en\",\"product_name\":\"Symantec Endpoint Security\",\"product_uid\":\"Product_UID\",\"product_ver\":\"2014.1.4.25-beta\",\"proxy_device_ip\":\"89.160.20.112\",\"proxy_device_name\":\"Proxy_Device_Name\",\"raw_data\":{\"assetID\":\"vc9DagprQYyLZ23SEY1APw\",\"assetOpstateDTO\":{\"productUuid\":\"31B0C880-0229-49E8-94C5-48D56B1BD7B9\",\"features\":[{\"uuid\":\"1DF0351C-146D-4F07-B155-BF5C7077FF40\",\"featureStatus\":\"SECURE\",\"opstate\":{\"EDRContentSequence\":\"20231128005\",\"EDREngineVersion\":\"4.11.0.10\",\"EDRFramworkVersion\":\"4.10.0.59\",\"FDRStatus\":true,\"LowDiskSpace\":false,\"MaxDBSizeHonored\":true,\"applied_policy\":{\"effective_date\":1709219437080,\"sha2\":\"ee6b0bebbc4575b507ac616d2c362f2c54d462b92cf4068cb6681ae3187d4de3\",\"uid\":\"7dc29d40-f303-477a-9012-287ef252a391\",\"version\":\"16\"},\"disk_usage_mb\":1546,\"fdr_first_event_date\":\"20240227\",\"fdr_state\":1},\"state\":\"ENABLED\",\"statusReason\":[\"-107\",\"0\"],\"prevention_state\":\"1\"}],\"products_active\":0,\"blades\":0}},\"ref_log_name\":\"Ref_Log_Name\",\"ref_log_time\":\"2024-02-29T01:00:00.000Z\",\"ref_orig_uid\":\"Ref_Orig_UID\",\"ref_uid\":\"Ref_UID\",\"remediated\":true,\"remediation\":\"Remediation\",\"remediation_ref\":\"Remediation_Ref\",\"remediation_uid\":0,\"seq_num\":12345678901,\"sessions\":[{\"auth_protocol_id\":0,\"cleartext_credentials\":true,\"direction_id\":0,\"id\":12345678901,\"is_admin\":true,\"logon_type_id\":1,\"port\":80,\"previous_users\":[\"Sessions-Previous_User 1\",\"Sessions-Previous_Users 1\"],\"remote\":true,\"remote_host\":\"Sessions-Remote_Host 1\",\"remote_ip\":\"89.160.20.112\",\"user\":{\"account_disabled\":true,\"cloud_resource_uid\":\"Sessions-User-Cloud_Resource_UID 1\",\"domain\":\"Sessions-User-Domain 1\",\"external_account_uid\":\"Sessions-User-External_Account_UID 1\",\"external_uid\":\"Sessions-User-External_UID 1\",\"full_name\":\"Sessions-User-Full_Name 1\",\"groups\":[\"Sessions-User-Group 1\",\"Sessions-User-Groups 1\"],\"home\":\"Sessions-User-Home 1\",\"is_admin\":true,\"logon_name\":\"Sessions-User-Logon_Name 1\",\"name\":\"session-User-Name 1\",\"password_expires\":true,\"shell\":\"Sessions-User-Shell 1\",\"sid\":\"Sessions-User-SID 1\",\"uid\":\"Sessions-User-UID 1\"}},{\"auth_protocol_id\":1,\"cleartext_credentials\":true,\"direction_id\":1,\"id\":67890123451,\"is_admin\":true,\"logon_type_id\":2,\"port\":81,\"previous_users\":[\"Sessions-Previous_User 2\",\"Sessions-Previous_Users 2\"],\"remote\":true,\"remote_host\":\"Sessions-Remote_Host 2\",\"remote_ip\":\"89.160.20.112\",\"user\":{\"account_disabled\":true,\"cloud_resource_uid\":\"Sessions-User-Cloud_Resource_UID 2\",\"domain\":\"Sessions-User-Domain 2\",\"external_account_uid\":\"Sessions-User-External_Account_UID 2\",\"external_uid\":\"Sessions-User-External_UID 2\",\"full_name\":\"Sessions-User-Full_Name 2\",\"groups\":[\"Sessions-User-Group 2\",\"Sessions-User-Groups 2\"],\"home\":\"Sessions-User-Home 2\",\"is_admin\":true,\"logon_name\":\"Sessions-User-Logon_Name 2\",\"name\":\"session-User-Name 2\",\"password_expires\":true,\"shell\":\"Sessions-User-Shell 2\",\"sid\":\"Sessions-User-SID 2\",\"uid\":\"Sessions-User-UID 2\"}}],\"severity_id\":0,\"source\":{\"facility\":\"Source-Facility\",\"facility_detail\":\"Source-Facility_Detail\",\"facility_uid\":\"Source-Facility_UID\",\"type_id\":1},\"status_detail\":\"Status_Detail\",\"status_id\":0,\"status_os\":\"Status_OS\",\"status_os_src\":12345678901,\"status_stack_trace\":\"Status_Stack_Trace\",\"status_thread_name\":\"Status_Thread_Name\",\"stic_has_pii\":true,\"stic_hw_uid\":\"STIC_HW_UID\",\"stic_ip_hash\":\"STIC_IP_Hash\",\"stic_legacy_ent_uids\":[\"STIC_Legacy_Ent_UIDs 1\",\"STIC_Legacy_Ent_UIDs 2\"],\"stic_legacy_hw_uids\":[\"STIC_Legacy_HW_UIDs 1\",\"STIC_Legacy_HW_UIDs 2\"],\"stic_legacy_uids\":[\"STIC_Legacy_UIDs 1\",\"STIC_Legacy_UIDs 2\"],\"stic_schema_id\":\"STIC_Schema_ID\",\"stic_uid\":\"STIC_UID\",\"stic_version\":\"STIC_Version\",\"subfeature_name\":\"Subfeature_Name\",\"time\":\"2024-02-29T02:00:00Z\",\"timezone\":12345678901,\"type\":\"Type\",\"type_id\":2,\"user\":{\"account_disabled\":true,\"cloud_resource_uid\":\"User-Cloud_Resource_UID\",\"domain\":\"User-Domain\",\"external_account_uid\":\"User-External_Account_UID\",\"external_uid\":\"User-External_UID\",\"full_name\":\"User-Full_Name\",\"groups\":[\"User-Group 1\",\"User-Groups 1\"],\"home\":\"User-Home\",\"is_admin\":true,\"logon_name\":\"User-Logon_Name\",\"name\":\"User123\",\"password_expires\":true,\"shell\":\"User-Shell\",\"sid\":\"TT23009\",\"uid\":\"UU34899825\"},\"user_name\":\"Mohit\",\"user_uid\":\"AB45698\",\"uuid\":\"SR-1565234545\",\"version\":\"1.4\"}",
        "sequence": [
            12345678901
        ],
        "severity": 0
    },
    "file": {
        "accessed": [
            "2021-02-11T05:30:04.000Z"
        ],
        "attributes": [
            "system",
            "encrypted",
            "hidden",
            "readonly",
            "archive",
            "compressed",
            "directory",
            "execute"
        ],
        "created": [
            "2021-02-11T05:30:04.000Z"
        ],
        "hash": {
            "md5": [
                "HFDajsdf3254345436",
                "Cybox-Files-MD5 2"
            ],
            "sha1": [
                "Cybox-Files-SHA1 1",
                "Cybox-Files-SHA1 2"
            ]
        },
        "mime_type": [
            "Cybox-Files-MIME_Type 1",
            "Cybox-Files-MIME_Type 2"
        ],
        "name": [
            "cybox_files_name_1.exe",
            "cybox_files_name_2.exe"
        ],
        "path": [
            "c:\\windows\\system32\\cybox_files_path_1.exe",
            "c:\\windows\\system32\\cybox_files_path_2.exe"
        ],
        "size": [
            12345678901,
            12345678902
        ],
        "type": [
            "file"
        ],
        "x509": {
            "issuer": {
                "distinguished_name": [
                    "Cybox-Files-Signature_Issuer 1",
                    "Cybox-Files-Signature_Issuer 2"
                ]
            },
            "serial_number": [
                "Cybox-Files-Signature_Serial_Number 1",
                "Cybox-Files-Signature_Serial_Number 2"
            ]
        }
    },
    "host": {
        "architecture": "x86 Family 6 Model 37 Stepping 5",
        "geo": {
            "city_name": "Device_Location-City",
            "continent_name": "Device_Location-Continent",
            "country_iso_code": "US",
            "region_name": "US-CA"
        },
        "os": {
            "name": "Windows Server 2019 Standard Edition",
            "version": [
                "Device_OS_Build",
                "Windows 10"
            ]
        },
        "type": [
            "server"
        ]
    },
    "input": {
        "type": "aws-s3"
    },
    "log": {
        "file": {
            "path": "https://elastic-package-symantec-endpoint-security-bucket-47282.s3.us-east-1.amazonaws.com/events.log"
        },
        "level": [
            "Log Level"
        ],
        "logger": "Log_Name",
        "offset": 0
    },
    "message": "Message",
    "process": {
        "thread": {
            "name": [
                "Status_Thread_Name"
            ]
        }
    },
    "related": {
        "hash": [
            "4ED962DDBF17E2BBA7B14EBC00F3162E",
            "STIC_IP_Hash",
            "HFDajsdf3254345436",
            "Cybox-Files-MD5 2",
            "Cybox-Files-SHA1 1",
            "Cybox-Files-SHA1 2",
            "Cybox-Files-SHA2 1",
            "Cybox-Files-SHA2 2",
            "Cybox-Files-Parent_SHA2 1",
            "Cybox-Files-Parent_SHA2 2"
        ],
        "hosts": [
            "Cybox-Files-SRC_Name 1",
            "Cybox-Files-SRC_Name 2"
        ],
        "ip": [
            "175.16.199.0",
            "89.160.20.112",
            "81.2.69.144",
            "81.2.69.142",
            "2a02:cf40::"
        ],
        "user": [
            "Impersonator_User_UID",
            "AB45698",
            "Mohit",
            "Sessions-User-UID 1",
            "Sessions-User-UID 2",
            "session-User-Name 1",
            "session-User-Name 2",
            "UU34899825",
            "User123"
        ]
    },
    "ses": {
        "category_id": "3",
        "category_name": "Application Activity",
        "collector_device_name": "Collector_Device_Name",
        "collector_name": "Collection12",
        "collector_uid": "TT1456",
        "composite": 1,
        "container": {
            "host_name": "azure-us.local",
            "image_name": "Image-sp2133",
            "image_uid": "SH4322323",
            "name": "User12345",
            "networks": [
                {
                    "bssid": "Container-Networks-BSSID 1",
                    "gateway_ip": "89.160.20.112",
                    "gateway_mac": "00:B0:D0:63:C2:01",
                    "ipv4": "81.2.69.144",
                    "ipv6": "2a02:cf40::",
                    "is_public": true,
                    "mac": "00:B0:D0:63:C2:02",
                    "rep_score_id": "0",
                    "ssid": "SSID-4326451",
                    "type_id": "0"
                },
                {
                    "bssid": "HN0845435",
                    "gateway_ip": "81.2.69.142",
                    "gateway_mac": "00:B0:D0:63:C2:03",
                    "ipv4": "81.2.69.144",
                    "ipv6": "2a02:cf40::",
                    "is_public": true,
                    "mac": "00:B0:D0:63:C2:04",
                    "rep_score_id": "1",
                    "ssid": "Container-Networks-SSID 2",
                    "type_id": "1"
                }
            ],
            "os_name": "Windows",
            "uid": "UU35r3454"
        },
        "correlation_uid": "DD78666",
        "count": 563,
        "customer_registry_uid": "CP45254",
        "customer_uid": "CH32534",
        "cybox": {
            "domains": [
                "example.com",
                "abc.com"
            ],
            "emails": [
                {
                    "direction_id": "0",
                    "header_message_id": "Cybox-Emails-Header_Message_ID 1",
                    "header_reply_to": "Cybox-Emails-Header_Reply_To 1",
                    "sender_ip": "81.2.69.144",
                    "size": 12345678901,
                    "smtp_from": "Cybox-Emails-SMTP_From 1",
                    "smtp_hello": "Cybox-Emails-SMTP_Hello 1",
                    "smtp_to": "Cybox-Emails-SMTP_To 1"
                },
                {
                    "direction_id": "1",
                    "header_message_id": "Cybox-Emails-Header_Message_ID 2",
                    "header_reply_to": "Cybox-Emails-Header_Reply_To 2",
                    "sender_ip": "81.2.69.144",
                    "size": 12345678902,
                    "smtp_from": "Cybox-Emails-SMTP_From 2",
                    "smtp_hello": "Cybox-Emails-SMTP_Hello 2",
                    "smtp_to": "Cybox-Emails-SMTP_To 2"
                }
            ],
            "files": [
                {
                    "accessor": "Cybox-Files-Accessor 1",
                    "attribute_ids": [
                        "1",
                        "2",
                        "3",
                        "4",
                        "5",
                        "6",
                        "7",
                        "8",
                        "9",
                        "10"
                    ],
                    "attributes": 12345678901,
                    "company_name": "Microsoft Corporation",
                    "confidentiality_id": "0",
                    "content_type": {
                        "family_id": "0",
                        "subtype": "SubType 1",
                        "type_id": "0"
                    },
                    "creator": "Creator 1",
                    "creator_process": "Cybox-Files-Creator_Process 1",
                    "desc": "Cybox-Files-Desc 1",
                    "folder": "c:\\windows\\system32\\cybox\\files\\folder\\1",
                    "folder_uid": "Cybox-Files-Folder_UID 1",
                    "is_system": true,
                    "modified": "2021-02-11T05:30:04.000Z",
                    "modifier": "Cybox-Files-Modifier 1",
                    "normalized_path": "CSIDL_SYSTEM\\cybox_files_normalized_path_1.exe",
                    "original_name": "Cybox-Files-Original_Name 1",
                    "owner": "Cybox-Files-Owner 1",
                    "parent_name": "Cybox-Files-Parent_Name 1",
                    "parent_sha2": "Cybox-Files-Parent_SHA2 1",
                    "product_name": "Windows Internet Explorer 1",
                    "product_path": "Cybox-Files-Product_Path 1",
                    "rep_discovered_band": 0,
                    "rep_discovered_date": "2021-02-11T05:30:04.000Z",
                    "rep_prevalence": 12345678901,
                    "rep_prevalence_band": 0,
                    "rep_score": 12345678901,
                    "rep_score_band": 0,
                    "security_descriptor": "Cybox-Files-Security_Descriptor 1",
                    "sha2": "Cybox-Files-SHA2 1",
                    "signature_company_name": "Cybox-Files-Signature_Company_Name 1",
                    "signature_created_date": "2021-02-11T05:30:04.000Z",
                    "signature_developer_uid": "Cybox-Files-Signature_Developer_UID 1",
                    "signature_fingerprints": [
                        {
                            "algorithm": "Cybox-Files-Signature_Fingerprints-Algorithm 1",
                            "value": "Cybox-Files-Signature_Fingerprints-Value 1"
                        },
                        {
                            "algorithm": "Cybox-Files-Signature_Fingerprints-Algorithms 1",
                            "value": "Cybox-Files-Signature_Fingerprints-Values 1"
                        }
                    ],
                    "signature_level_id": "0",
                    "signature_value": 12345678901,
                    "signature_value_ids": [
                        "0",
                        "1",
                        "2",
                        "3",
                        "4",
                        "5",
                        "6",
                        "7",
                        "8",
                        "9",
                        "10"
                    ],
                    "size_compressed": 12345678901,
                    "src_ip": "81.2.69.142",
                    "src_name": "Cybox-Files-SRC_Name 1",
                    "type_id": "1",
                    "uid": "Cybox-Files-UID 1",
                    "url": {
                        "categories": [
                            "Cybox-Files-URL-Category 1",
                            "Cybox-Files-URL-Categories 1"
                        ],
                        "category_ids": [
                            "1",
                            "3",
                            "4",
                            "5",
                            "6",
                            "7",
                            "9",
                            "11",
                            "14",
                            "15",
                            "16",
                            "17",
                            "18",
                            "20",
                            "21",
                            "22",
                            "23",
                            "24",
                            "25",
                            "26",
                            "27",
                            "29",
                            "30",
                            "31",
                            "32",
                            "33",
                            "34",
                            "35",
                            "36",
                            "37",
                            "38",
                            "40",
                            "43",
                            "44",
                            "45",
                            "46",
                            "47",
                            "49",
                            "50",
                            "51",
                            "52",
                            "53",
                            "54",
                            "55",
                            "56",
                            "57",
                            "58",
                            "59",
                            "60",
                            "61",
                            "63",
                            "64",
                            "65",
                            "66",
                            "67",
                            "68",
                            "71",
                            "83",
                            "84",
                            "85",
                            "86",
                            "87",
                            "88",
                            "89",
                            "90",
                            "92",
                            "93",
                            "95",
                            "96",
                            "97",
                            "98"
                        ],
                        "extension": "Cybox-Files-URL-Extension 1",
                        "host": "www.files-url-host-1.com",
                        "method": "Cybox-Files-URL-Method 1",
                        "parent_categories": [
                            "Cybox-Files-URL-Parent_Category 1",
                            "Cybox-Files-URL-Parent_Categories 1"
                        ],
                        "path": "/download/trouble/cybox/files/url/path/1",
                        "port": 80,
                        "provider": "Cybox-Files-URL-Provider 1",
                        "query": "q=bad&sort=date_1",
                        "referrer": "Cybox-Files-URL-Referrer 1",
                        "referrer_categories": [
                            "Cybox-Files-URL-Referrer_Category 1",
                            "Cybox-Files-URL-Referrer_Categories 1"
                        ],
                        "referrer_category_ids": [
                            "12345678901",
                            "67890123451"
                        ],
                        "rep_score_id": "0",
                        "scheme": "Cybox-Files-URL-Scheme 1",
                        "text": "www.files-url-text-1.com/download/trouble"
                    },
                    "version": "Cybox-Files-Version 1",
                    "xattributes": {
                        "Unix_permissions": "Cybox-Files-XAttributes-Unix_Permissions 1",
                        "ads_name": "Cybox-Files-XAttributes-ADS_Name 1",
                        "ads_size": "Cybox-Files-XAttributes-ADS_Size 1",
                        "dacl": "Cybox-Files-XAttributes-DACL 1",
                        "hard_link_count": "Cybox-Files-XAttributes-Hard_Link_Count 1",
                        "link_name": "Cybox-Files-XAttributes-Link_Name 1",
                        "owner": "Cybox-Files-XAttributes-Owner 1",
                        "primary_group": "Cybox-Files-XAttributes-Primary_Group 1"
                    }
                },
                {
                    "accessor": "Cybox-Files-Accessor 2",
                    "attribute_ids": [
                        "11",
                        "12",
                        "13",
                        "14",
                        "15",
                        "16",
                        "17"
                    ],
                    "attributes": 12345678902,
                    "company_name": "Microsoft Corporation 2",
                    "confidentiality_id": "1",
                    "content_type": {
                        "family_id": "1",
                        "subtype": "Cybox-Files-Content_Type-SubType 2",
                        "type_id": "1"
                    },
                    "creator": "Cybox-Files-Creator 2",
                    "creator_process": "Cybox-Files-Creator_Process 2",
                    "desc": "Cybox-Files-Desc 2",
                    "folder": "c:\\windows\\system32\\cybox\\files\\folder\\2",
                    "folder_uid": "Cybox-Files-Folder_UID 2",
                    "is_system": true,
                    "modified": "2021-02-11T05:30:04.000Z",
                    "modifier": "Cybox-Files-Modifier 2",
                    "normalized_path": "CSIDL_SYSTEM\\cybox_files_normalized_path_2.exe",
                    "original_name": "Cybox-Files-Original_Name 2",
                    "owner": "Cybox-Files-Owner 2",
                    "parent_name": "Cybox-Files-Parent_Name 2",
                    "parent_sha2": "Cybox-Files-Parent_SHA2 2",
                    "product_name": "Windows Internet Explorer 2",
                    "product_path": "Cybox-Files-Product_Path 2",
                    "rep_discovered_band": 1,
                    "rep_discovered_date": "2021-02-11T05:30:04.000Z",
                    "rep_prevalence": 12345678902,
                    "rep_prevalence_band": 1,
                    "rep_score": 12345678902,
                    "rep_score_band": 1,
                    "security_descriptor": "Cybox-Files-Security_Descriptor 2",
                    "sha2": "Cybox-Files-SHA2 2",
                    "signature_company_name": "Cybox-Files-Signature_Company_Name 2",
                    "signature_created_date": "2021-02-11T05:30:04.000Z",
                    "signature_developer_uid": "Cybox-Files-Signature_Developer_UID 2",
                    "signature_fingerprints": [
                        {
                            "algorithm": "Cybox-Files-Signature_Fingerprints-Algorithm 2",
                            "value": "Cybox-Files-Signature_Fingerprints-Value 2"
                        },
                        {
                            "algorithm": "Cybox-Files-Signature_Fingerprints-Algorithms 2",
                            "value": "Cybox-Files-Signature_Fingerprints-Values 2"
                        }
                    ],
                    "signature_level_id": "1",
                    "signature_value": 12345678902,
                    "signature_value_ids": [
                        "11",
                        "12",
                        "13",
                        "14",
                        "15",
                        "16",
                        "17",
                        "18",
                        "19",
                        "20",
                        "21",
                        "22",
                        "23",
                        "24",
                        "25"
                    ],
                    "size_compressed": 12345678902,
                    "src_ip": "81.2.69.144",
                    "src_name": "Cybox-Files-SRC_Name 2",
                    "type_id": "1",
                    "uid": "Cybox-Files-UID 2",
                    "url": {
                        "categories": [
                            "Cybox-Files-URL-Category 2",
                            "Cybox-Files-URL-Categories 2"
                        ],
                        "category_ids": [
                            "101",
                            "102",
                            "103",
                            "104",
                            "105",
                            "106",
                            "107",
                            "108",
                            "109",
                            "110",
                            "111",
                            "112",
                            "113",
                            "114",
                            "116",
                            "117",
                            "118",
                            "121",
                            "124"
                        ],
                        "extension": "Cybox-Files-URL-Extension 2",
                        "host": "www.files-url-host-2.com",
                        "method": "Cybox-Files-URL-Method 2",
                        "parent_categories": [
                            "Cybox-Files-URL-Parent_Category 2",
                            "Cybox-Files-URL-Parent_Categories 2"
                        ],
                        "path": "/download/trouble/cybox/files/url/path/2",
                        "port": 81,
                        "provider": "Cybox-Files-URL-Provider 2",
                        "query": "q=bad&sort=date_2",
                        "referrer": "Cybox-Files-URL-Referrer 2",
                        "referrer_categories": [
                            "Cybox-Files-URL-Referrer_Category 2",
                            "Cybox-Files-URL-Referrer_Categories 2"
                        ],
                        "referrer_category_ids": [
                            "12345678902",
                            "67890123452"
                        ],
                        "rep_score_id": "1",
                        "scheme": "Cybox-Files-URL-Scheme 2",
                        "text": "www.files-url-text-2.com/download/trouble"
                    },
                    "version": "Cybox-Files-Version 2",
                    "xattributes": {
                        "Unix_permissions": "Cybox-Files-XAttributes-Unix_Permissions 2",
                        "ads_name": "Cybox-Files-XAttributes-ADS_Name 2",
                        "ads_size": "Cybox-Files-XAttributes-ADS_Size 2",
                        "dacl": "Cybox-Files-XAttributes-DACL 2",
                        "hard_link_count": "Cybox-Files-XAttributes-Hard_Link_Count 2",
                        "link_name": "Cybox-Files-XAttributes-Link_Name 2",
                        "owner": "Cybox-Files-XAttributes-Owner 2",
                        "primary_group": "Cybox-Files-XAttributes-Primary_Group 2"
                    }
                }
            ],
            "hostnames": [
                "Cybox-Hostname 1",
                "Cybox-Hostnames 1"
            ],
            "icap_reqmod": [
                {
                    "metadata": {
                        "field1_boolean": true,
                        "field1_ip": "175.16.199.0",
                        "field1_keyword": "Cybox-ICAP_ReqMod-field1_Keyword",
                        "field1_number": 12345678901
                    },
                    "service": "Cybox-ICAP_ReqMod-Service 1",
                    "status": "Cybox-ICAP_ReqMod-Status 1",
                    "status_detail": "Cybox-ICAP_ReqMod-Status_Detail 1"
                },
                {
                    "metadata": {
                        "field2_boolean": true,
                        "field2_ip": "175.16.199.0",
                        "field2_keyword": "Cybox-ICAP_ReqMod-field2_Keyword",
                        "field2_number": 12345678902
                    },
                    "service": "Cybox-ICAP_ReqMod-Service 2",
                    "status": "Cybox-ICAP_ReqMod-Status 2",
                    "status_detail": "Cybox-ICAP_ReqMod-Status_Detail 2"
                }
            ],
            "icap_respmod": [
                {
                    "metadata": {
                        "field1_boolean": true,
                        "field1_ip": "175.16.199.0",
                        "field1_keyword": "Cybox-ICAP_RespMod-field1_Keyword",
                        "field1_number": 12345678901
                    },
                    "service": "Cybox-ICAP_RespMod-Service 1",
                    "status": "Cybox-ICAP_RespMod-Status 1",
                    "status_detail": "Cybox-ICAP_RespMod-Status_Detail 1"
                },
                {
                    "metadata": {
                        "field2_boolean": true,
                        "field2_ip": "175.16.199.0",
                        "field2_keyword": "Cybox-ICAP_RespMod-field2_Keyword",
                        "field2_number": 12345678902
                    },
                    "service": "Cybox-ICAP_RespMod-Service 2",
                    "status": "Cybox-ICAP_RespMod-Status 2",
                    "status_detail": "Cybox-ICAP_RespMod-Status_Detail 2"
                }
            ],
            "ipv4s": [
                "175.16.199.0",
                "175.16.199.0"
            ],
            "ipv6s": [
                "2a02:cf40::",
                "2a02:cf40::"
            ],
            "macs": [
                "00:B0:D0:63:C2:05",
                "00:B0:D0:63:C2:06"
            ],
            "urls": [
                {
                    "categories": [
                        "Cybox-URLs-Category 1",
                        "Cybox-URLs-Categories 1"
                    ],
                    "category_ids": [
                        "1",
                        "3",
                        "4",
                        "5",
                        "6",
                        "7",
                        "9",
                        "11",
                        "14",
                        "15",
                        "16",
                        "17",
                        "18",
                        "20",
                        "21",
                        "22",
                        "23",
                        "24",
                        "25",
                        "26",
                        "27",
                        "29",
                        "30",
                        "31",
                        "32",
                        "33",
                        "34",
                        "35",
                        "36",
                        "37",
                        "38",
                        "40",
                        "43",
                        "44",
                        "45",
                        "46",
                        "47",
                        "49",
                        "50",
                        "51",
                        "52",
                        "53",
                        "54",
                        "55",
                        "56",
                        "57",
                        "58",
                        "59",
                        "60",
                        "61",
                        "63",
                        "64",
                        "65",
                        "66",
                        "67",
                        "68",
                        "71",
                        "83",
                        "84",
                        "85",
                        "86",
                        "87",
                        "88",
                        "89",
                        "90",
                        "92",
                        "93",
                        "95",
                        "96",
                        "97",
                        "98"
                    ],
                    "extension": "Cybox-URLs-Extension 1",
                    "host": "www.urls-host-1.com",
                    "method": "Cybox-URLs-Method 1",
                    "parent_categories": [
                        "Cybox-URLs-Parent_Category 1",
                        "Cybox-URLs-Parent_Categories 1"
                    ],
                    "provider": "Cybox-URLs-Provider 1",
                    "referrer": "Cybox-URLs-Referrer 1",
                    "referrer_categories": [
                        "Cybox-URLs-Referrer_Category 1",
                        "Cybox-URLs-Referrer_Categories 1"
                    ],
                    "referrer_category_ids": [
                        "12345678901",
                        "67890123451"
                    ],
                    "rep_score_id": "0"
                },
                {
                    "categories": [
                        "Cybox-URLs-Category 2",
                        "Cybox-URLs-Categories 2"
                    ],
                    "category_ids": [
                        "101",
                        "102",
                        "103",
                        "104",
                        "105",
                        "106",
                        "107",
                        "108",
                        "109",
                        "110",
                        "111",
                        "112",
                        "113",
                        "114",
                        "116",
                        "117",
                        "118",
                        "121",
                        "124"
                    ],
                    "extension": "Cybox-URLs-Extension 2",
                    "host": "www.urls-host-2.com",
                    "method": "Cybox-URLs-Method 2",
                    "parent_categories": [
                        "Cybox-URLs-Parent_Category 2",
                        "Cybox-URLs-Parent_Categories 2"
                    ],
                    "provider": "Cybox-URLs-Provider 2",
                    "referrer": "Cybox-URLs-Referrer 2",
                    "referrer_categories": [
                        "Cybox-URLs-Referrer_Category 2",
                        "Cybox-URLs-Referrer_Categories 2"
                    ],
                    "referrer_category_ids": [
                        "12345678902",
                        "67890123452"
                    ],
                    "rep_score_id": "1"
                }
            ]
        },
        "device_alias_name": "Device_Alias_Name",
        "device_cap": "Device_Cap",
        "device_cloud_vm": {
            "autoscale_uid": "Device_Cloud_VM-Autoscale_UID",
            "dc_region": "Device_Cloud_VM-DC_Region",
            "instance_uid": "Device_Cloud_VM-Instance_UID",
            "subnet_uid": "Device_Cloud_VM-Subnet_UID",
            "vpc_uid": "Device_Cloud_VM-VPC_UID"
        },
        "device_desc": "Device_Desc",
        "device_gateway": "175.16.199.0",
        "device_group": "Device_Group",
        "device_group_name": "Device_Group_Name",
        "device_hw_bios_date": "03/31/16",
        "device_hw_bios_ver": "LENOVO G5ETA2WW (2.62)",
        "device_imei": "Device_IMEI",
        "device_is_compliant": true,
        "device_is_personal": true,
        "device_is_trusted": true,
        "device_is_unmanaged": true,
        "device_location": {
            "coordinates": [
                -12.345,
                56.789
            ],
            "desc": "Device_Location-Desc",
            "isp": "Device_Location-ISP",
            "on_premises": true
        },
        "device_name_md5": "4ED962DDBF17E2BBA7B14EBC00F3162E",
        "device_networks": [
            {
                "bssid": "Device_Networks-BSSID 1",
                "gateway_ip": "175.16.199.0",
                "gateway_mac": "00:B0:D0:63:C2:08",
                "ipv4": "175.16.199.0",
                "ipv6": "2a02:cf40::",
                "is_public": true,
                "mac": "00:B0:D0:63:C2:09",
                "rep_score_id": "0",
                "ssid": "Device_Networks-SSID 1",
                "type_id": "0"
            },
            {
                "bssid": "Device_Networks-BSSID 2",
                "gateway_ip": "89.160.20.112",
                "gateway_mac": "00:B0:D0:63:C2:10",
                "ipv4": "89.160.20.112",
                "ipv6": "2a02:cf40::",
                "is_public": true,
                "mac": "00:B0:D0:63:C2:11",
                "rep_score_id": "1",
                "ssid": "Device_Networks-SSID 2",
                "type_id": "1"
            }
        ],
        "device_org_unit": "Device_Org_Unit",
        "device_os_bits": 12345678901,
        "device_os_edition": "Professional",
        "device_os_lang": "en",
        "device_os_sp_name": "Device_OS_SP_Name",
        "device_os_sp_ver": "Device_OS_SP_Ver",
        "device_os_type_id": "0",
        "device_os_type_value": "Unknown",
        "device_proxy_ip": "89.160.20.112",
        "device_proxy_name": "Device_Proxy_Name",
        "device_public_ip": "89.160.20.112",
        "device_ref_uid": "Device_Ref_UID",
        "device_site": "Device_Site",
        "device_subnet": "81.2.69.144",
        "device_vhost": "Device_VHost",
        "device_vhost_id": "0",
        "domain_uid": "Domain_UID",
        "end_time": "2024-02-29T01:00:00.000Z",
        "entity": {
            "data": {
                "field1_boolean": true,
                "field1_keyword": "Entity-Data-field1_Keyword",
                "field1_number": 12345678901
            },
            "name": "Entity-Name",
            "type": "Entity-Type",
            "uid": "Entity-UID",
            "version": "Entity-Version"
        },
        "event_id": "2001",
        "events": [
            {
                "connection": {
                    "direction_id": 1,
                    "dst_service": "C:\\Windows\\system32\\NTOSKRNL.EXE",
                    "src_ip": "159.19.163.218"
                },
                "count": 1,
                "device_end_time": 1709225074618,
                "device_time": 1709225074618
            }
        ],
        "feature_name": "Feature_Name",
        "feature_path": "Feature_Path",
        "feature_type": "Feature_Type",
        "feature_uid": "Feature_UID",
        "feature_ver": "2014.1.4.25",
        "id": 12345678901,
        "impersonator_customer_uid": "Impersonator_Customer_UID",
        "impersonator_domain_uid": "Impersonator_Domain_UID",
        "impersonator_user_uid": "Impersonator_User_UID",
        "is_user_present": true,
        "log_time": "2024-02-29T01:00:00.000Z",
        "logging_device_ip": "89.160.20.112",
        "logging_device_name": "Logging_Device_Name",
        "logging_device_post_time": "2021-02-11T05:30:04.000Z",
        "logging_device_ref_uid": "Logging_Device_Ref_UID",
        "message_code": "Message_Code",
        "message_id": "0",
        "org_unit_uid": "Org_Unit_UID",
        "orig_data": "Orig_Data",
        "product_data": {
            "sep_domain_uid": "Product_Data-Sep_Domain_UID",
            "sep_hw_uid": "Product_Data-Sep_HW_UID"
        },
        "product_lang": "en",
        "product_name": "Symantec Endpoint Security",
        "product_uid": "Product_UID",
        "product_ver": "2014.1.4.25-beta",
        "proxy_device_ip": "89.160.20.112",
        "proxy_device_name": "Proxy_Device_Name",
        "raw_data": {
            "assetID": "vc9DagprQYyLZ23SEY1APw",
            "assetOpstateDTO": {
                "blades": 0,
                "features": [
                    {
                        "featureStatus": "SECURE",
                        "opstate": {
                            "EDRContentSequence": "20231128005",
                            "EDREngineVersion": "4.11.0.10",
                            "EDRFramworkVersion": "4.10.0.59",
                            "FDRStatus": true,
                            "LowDiskSpace": false,
                            "MaxDBSizeHonored": true,
                            "applied_policy": {
                                "effective_date": 1709219437080,
                                "sha2": "ee6b0bebbc4575b507ac616d2c362f2c54d462b92cf4068cb6681ae3187d4de3",
                                "uid": "7dc29d40-f303-477a-9012-287ef252a391",
                                "version": "16"
                            },
                            "disk_usage_mb": 1546,
                            "fdr_first_event_date": "20240227",
                            "fdr_state": 1
                        },
                        "prevention_state": "1",
                        "state": "ENABLED",
                        "statusReason": [
                            "-107",
                            "0"
                        ],
                        "uuid": "1DF0351C-146D-4F07-B155-BF5C7077FF40"
                    }
                ],
                "productUuid": "31B0C880-0229-49E8-94C5-48D56B1BD7B9",
                "products_active": 0
            }
        },
        "ref_log_name": "Ref_Log_Name",
        "ref_log_time": "2024-02-29T01:00:00.000Z",
        "ref_orig_uid": "Ref_Orig_UID",
        "ref_uid": "Ref_UID",
        "remediated": true,
        "remediation": "Remediation",
        "remediation_ref": "Remediation_Ref",
        "remediation_uid": "0",
        "sessions": [
            {
                "auth_protocol_id": "0",
                "cleartext_credentials": true,
                "direction_id": "0",
                "id": 12345678901,
                "is_admin": true,
                "logon_type_id": "1",
                "port": 80,
                "previous_users": [
                    "Sessions-Previous_User 1",
                    "Sessions-Previous_Users 1"
                ],
                "remote": true,
                "remote_host": "Sessions-Remote_Host 1",
                "remote_ip": "89.160.20.112",
                "user": {
                    "account_disabled": true,
                    "cloud_resource_uid": "Sessions-User-Cloud_Resource_UID 1",
                    "domain": "Sessions-User-Domain 1",
                    "external_account_uid": "Sessions-User-External_Account_UID 1",
                    "external_uid": "Sessions-User-External_UID 1",
                    "full_name": "Sessions-User-Full_Name 1",
                    "groups": [
                        "Sessions-User-Group 1",
                        "Sessions-User-Groups 1"
                    ],
                    "home": "Sessions-User-Home 1",
                    "is_admin": true,
                    "logon_name": "Sessions-User-Logon_Name 1",
                    "name": "session-User-Name 1",
                    "password_expires": true,
                    "shell": "Sessions-User-Shell 1",
                    "sid": "Sessions-User-SID 1",
                    "uid": "Sessions-User-UID 1"
                }
            },
            {
                "auth_protocol_id": "1",
                "cleartext_credentials": true,
                "direction_id": "1",
                "id": 67890123451,
                "is_admin": true,
                "logon_type_id": "2",
                "port": 81,
                "previous_users": [
                    "Sessions-Previous_User 2",
                    "Sessions-Previous_Users 2"
                ],
                "remote": true,
                "remote_host": "Sessions-Remote_Host 2",
                "remote_ip": "89.160.20.112",
                "user": {
                    "account_disabled": true,
                    "cloud_resource_uid": "Sessions-User-Cloud_Resource_UID 2",
                    "domain": "Sessions-User-Domain 2",
                    "external_account_uid": "Sessions-User-External_Account_UID 2",
                    "external_uid": "Sessions-User-External_UID 2",
                    "full_name": "Sessions-User-Full_Name 2",
                    "groups": [
                        "Sessions-User-Group 2",
                        "Sessions-User-Groups 2"
                    ],
                    "home": "Sessions-User-Home 2",
                    "is_admin": true,
                    "logon_name": "Sessions-User-Logon_Name 2",
                    "name": "session-User-Name 2",
                    "password_expires": true,
                    "shell": "Sessions-User-Shell 2",
                    "sid": "Sessions-User-SID 2",
                    "uid": "Sessions-User-UID 2"
                }
            }
        ],
        "severity_value": "Unknown",
        "source": {
            "facility": "Source-Facility",
            "facility_detail": "Source-Facility_Detail",
            "facility_uid": "Source-Facility_UID",
            "type_id": "1"
        },
        "status_detail": "Status_Detail",
        "status_id": "0",
        "status_os": "Status_OS",
        "status_os_src": 12345678901,
        "status_stack_trace": "Status_Stack_Trace",
        "status_value": "Unknown",
        "stic_has_pii": true,
        "stic_hw_uid": "STIC_HW_UID",
        "stic_ip_hash": "STIC_IP_Hash",
        "stic_legacy_ent_uids": [
            "STIC_Legacy_Ent_UIDs 1",
            "STIC_Legacy_Ent_UIDs 2"
        ],
        "stic_legacy_hw_uids": [
            "STIC_Legacy_HW_UIDs 1",
            "STIC_Legacy_HW_UIDs 2"
        ],
        "stic_legacy_uids": [
            "STIC_Legacy_UIDs 1",
            "STIC_Legacy_UIDs 2"
        ],
        "stic_schema_id": "STIC_Schema_ID",
        "stic_uid": "STIC_UID",
        "stic_version": "STIC_Version",
        "subfeature_name": "Subfeature_Name",
        "timezone": 12345678901,
        "type": "Type",
        "type_id": "2",
        "user": {
            "account_disabled": true,
            "cloud_resource_uid": "User-Cloud_Resource_UID",
            "external_account_uid": "User-External_Account_UID",
            "external_uid": "User-External_UID",
            "full_name": "User-Full_Name",
            "groups": [
                "User-Group 1",
                "User-Groups 1"
            ],
            "home": "User-Home",
            "is_admin": true,
            "logon_name": "User-Logon_Name",
            "password_expires": true,
            "shell": "User-Shell",
            "sid": "TT23009"
        },
        "version": "1.4"
    },
    "source": {
        "address": "device.name.computer.domain",
        "domain": "Device_Domain_UID",
        "ip": "175.16.199.0",
        "mac": "00-B0-D0-63-C2-07"
    },
    "tags": [
        "collect_sqs_logs",
        "preserve_original_event",
        "forwarded",
        "symantec_endpoint_security-event"
    ],
    "url": {
        "full": [
            "www.urls-text-1.com/download/trouble",
            "www.urls-text-2.com/download/trouble"
        ],
        "path": [
            "/download/trouble/cybox/urls/path/1",
            "/download/trouble/cybox/urls/path/2"
        ],
        "port": [
            80,
            81
        ],
        "query": [
            "q=bad&sort=date_1",
            "q=bad&sort=date_2"
        ],
        "scheme": [
            "Cybox-URLs-Scheme 1",
            "Cybox-URLs-Scheme 2"
        ]
    },
    "user": {
        "domain": [
            "User-Domain"
        ],
        "id": "UU34899825",
        "name": "User123"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

aws.s3.bucket.arn

AWS S3 存储桶 ARN。

关键字

aws.s3.bucket.name

AWS S3 存储桶名称。

关键字

aws.s3.object.key

AWS S3 对象键。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.dataset

事件数据集。

常量关键字

event.module

事件模块。

常量关键字

input.type

Filebeat 输入的类型。

关键字

log.offset

日志偏移量。

长整型

ses.access_mask

平台原生格式的访问掩码。

长整型

ses.access_mask_ids

访问掩码值。

关键字

ses.access_scope_id

请求的访问范围。

关键字

ses.activity_id

进程活动。

关键字

ses.actor.app_name

可能与此进程关联的标签,例如,分配给进程的容器沙箱的名称,或者对于登录检测事件,登录应用程序(ssh、telnet、sql server 等)。

关键字

ses.actor.app_uid

可能与此进程关联的应用程序的标识符。

关键字

ses.actor.app_ver

可能与此进程关联的应用程序的版本。

关键字

ses.actor.cmd_line

用于启动启动应用程序、服务、进程或作业的命令行。

关键字

ses.actor.file.accessed

上次访问文件的时间。

日期

ses.actor.file.accessor

上次访问该对象的用户姓名。

关键字

ses.actor.file.attribute_ids

文件属性数组。

关键字

ses.actor.file.attributes

表示文件属性的位掩码值。

长整型

ses.actor.file.company_name

发布该文件的公司名称。

关键字

ses.actor.file.confidentiality_id

文件内容机密性指示符。

关键字

ses.actor.file.content_type.family_id

顶层文件分类。

关键字

ses.actor.file.content_type.subtype

数据类型的特定格式。

关键字

ses.actor.file.content_type.type_id

文件的通用类型。

关键字

ses.actor.file.created

文件创建的时间。

日期

ses.actor.file.creator

创建文件的用户姓名。

关键字

ses.actor.file.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.actor.file.desc

文件系统返回的文件描述。

关键字

ses.actor.file.folder

文件所在的父文件夹。

关键字

ses.actor.file.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.actor.file.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.actor.file.md5

对象内容的 MD5 校验和。

关键字

ses.actor.file.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.actor.file.modified

上次修改文件的时间。

日期

ses.actor.file.modifier

上次修改文件的用户姓名。

关键字

ses.actor.file.name

文件名。

关键字

ses.actor.file.normalized_path

CSIDL 规范化路径名。

关键字

ses.actor.file.original_name

文件的原始名称。

关键字

ses.actor.file.owner

文件的所有者。

关键字

ses.actor.file.parent_name

包含此文件的文件的名称。

关键字

ses.actor.file.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.actor.file.path

文件的完整路径。

关键字

ses.actor.file.product_name

包含该文件的产品名称。

关键字

ses.actor.file.product_path

包含该文件的产品的路径。

关键字

ses.actor.file.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.actor.file.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.actor.file.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.actor.file.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.actor.file.rep_score

文件的声誉分数。

长整型

ses.actor.file.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.actor.file.security_descriptor

对象安全描述符。

关键字

ses.actor.file.sha1

对象内容的 SHA-1 校验和。

关键字

ses.actor.file.sha2

对象内容的 SHA-256 校验和。

关键字

ses.actor.file.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.actor.file.signature_created_date

创建签名时的日期和时间。

日期

ses.actor.file.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.actor.file.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.actor.file.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.actor.file.signature_issuer

对象签名的颁发者。

关键字

ses.actor.file.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.actor.file.signature_serial_number

对象序列号。

关键字

ses.actor.file.signature_value

数字签名位掩码。

长整型

ses.actor.file.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.actor.file.size

对象的大小(以字节为单位)。

长整型

ses.actor.file.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.actor.file.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.actor.file.src_name

文件所在的宿主机的名称。

关键字

ses.actor.file.type_id

文件类型。

关键字

ses.actor.file.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.actor.file.url.categories

URL 类别的数组。

关键字

ses.actor.file.url.category_ids

URL 类别的数组。

关键字

ses.actor.file.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.actor.file.url.host

从 URL 中提取的 URL 主机。

关键字

ses.actor.file.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.actor.file.url.parent_categories

父 URL 类别的数组。

关键字

ses.actor.file.url.path

从 URL 中提取的 URL 路径。

关键字

ses.actor.file.url.port

URL 端口。

长整型

ses.actor.file.url.provider

声誉和类别信息的来源。

关键字

ses.actor.file.url.query

URL 的查询部分。

关键字

ses.actor.file.url.referrer

在此之前访问的地址。

关键字

ses.actor.file.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.actor.file.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.actor.file.url.rep_score_id

URL 的声誉分数。

关键字

ses.actor.file.url.scheme

URL 的方案部分。

关键字

ses.actor.file.url.text

URL。

关键字

ses.actor.file.version

文件版本。

关键字

ses.actor.file.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.actor.integrity_id

进程完整性级别(仅限 Windows)。

关键字

ses.actor.lineage

参与者进程的沿袭。

关键字

ses.actor.loaded_modules

已加载模块名称的列表。

关键字

ses.actor.module.accessed

上次访问文件的时间。

日期

ses.actor.module.accessor

上次访问该对象的用户姓名。

关键字

ses.actor.module.attribute_ids

文件属性数组。

关键字

ses.actor.module.attributes

表示文件属性的位掩码值。

长整型

ses.actor.module.base_address

模块加载到的内存地址。

关键字

ses.actor.module.company_name

发布该文件的公司名称。

关键字

ses.actor.module.confidentiality_id

文件内容机密性指示符。

关键字

ses.actor.module.content_type.family_id

顶层文件分类。

关键字

ses.actor.module.content_type.subtype

数据类型的特定格式。

关键字

ses.actor.module.content_type.type_id

文件的通用类型。

关键字

ses.actor.module.created

创建模块的时间。

日期

ses.actor.module.creator

创建模块的用户姓名。

关键字

ses.actor.module.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.actor.module.desc

文件系统返回的文件描述。

关键字

ses.actor.module.folder

文件所在的父文件夹。

关键字

ses.actor.module.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.actor.module.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.actor.module.load_type

加载类型描述模块在内存中的加载方式。

关键字

ses.actor.module.load_type_id

加载类型标识模块在内存中的加载方式。

关键字

ses.actor.module.md5

对象内容的 MD5 校验和。

关键字

ses.actor.module.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.actor.module.modified

上次修改模块的时间。

日期

ses.actor.module.modifier

上次修改模块的用户姓名。

关键字

ses.actor.module.name

文件名。

关键字

ses.actor.module.normalized_path

CSIDL 规范化路径名。

关键字

ses.actor.module.original_name

文件的原始名称。

关键字

ses.actor.module.owner

文件的所有者。

关键字

ses.actor.module.parent_name

包含此文件的文件的名称。

关键字

ses.actor.module.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.actor.module.path

文件的完整路径。

关键字

ses.actor.module.product_name

包含该文件的产品名称。

关键字

ses.actor.module.product_path

包含该文件的产品的路径。

关键字

ses.actor.module.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.actor.module.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.actor.module.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.actor.module.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.actor.module.rep_score

文件的声誉分数。

长整型

ses.actor.module.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.actor.module.security_descriptor

对象安全描述符。

关键字

ses.actor.module.sha1

对象内容的 SHA-1 校验和。

关键字

ses.actor.module.sha2

对象内容的 SHA-256 校验和。

关键字

ses.actor.module.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.actor.module.signature_created_date

创建签名时的日期和时间。

日期

ses.actor.module.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.actor.module.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.actor.module.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.actor.module.signature_issuer

对象签名的颁发者。

关键字

ses.actor.module.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.actor.module.signature_serial_number

对象序列号。

关键字

ses.actor.module.signature_value

数字签名位掩码。

长整型

ses.actor.module.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.actor.module.size

对象的大小(以字节为单位)。

长整型

ses.actor.module.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.actor.module.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.actor.module.src_name

文件所在的宿主机的名称。

关键字

ses.actor.module.type_id

文件类型。

关键字

ses.actor.module.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.actor.module.url.categories

URL 类别的数组。

关键字

ses.actor.module.url.category_ids

URL 类别的数组。

关键字

ses.actor.module.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.actor.module.url.host

从 URL 中提取的 URL 主机。

关键字

ses.actor.module.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.actor.module.url.parent_categories

父 URL 类别的数组。

关键字

ses.actor.module.url.path

从 URL 中提取的 URL 路径。

关键字

ses.actor.module.url.port

URL 端口。

长整型

ses.actor.module.url.provider

声誉和类别信息的来源。

关键字

ses.actor.module.url.query

URL 的查询部分。

关键字

ses.actor.module.url.referrer

在此之前访问的地址。

关键字

ses.actor.module.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.actor.module.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.actor.module.url.rep_score_id

URL 的声誉分数。

关键字

ses.actor.module.url.scheme

URL 的方案部分。

关键字

ses.actor.module.url.text

URL。

关键字

ses.actor.module.version

文件版本。

关键字

ses.actor.module.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.actor.normalized_cmd_line

用于启动启动应用程序、服务、进程或作业的标准化 CSIDL 命令行(仅限 Windows)。

关键字

ses.actor.pid

操作系统报告的进程标识符。

长整型

ses.actor.sandbox_name

策略为此进程/模块分配的隔离区(沙箱)的名称。

关键字

ses.actor.session.auth_protocol_id

身份验证协议。

关键字

ses.actor.session.cleartext_credentials

指示凭据是否以明文方式传递。

布尔型

ses.actor.session.direction_id

发起流量的方向。

关键字

ses.actor.session.id

操作系统报告的唯一会话标识符。

关键字

ses.actor.session.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.actor.session.logon_type_id

会话登录的类型。

关键字

ses.actor.session.port

远程会话连接到的端口;仅适用于远程会话。

长整型

ses.actor.session.previous_users

会话中使用的先前用户名列表(按从最近到最早的顺序排列)。

关键字

ses.actor.session.remote

指示会话是否为远程会话。

布尔型

ses.actor.session.remote_host

与远程会话关联的设备的主机名。

关键字

ses.actor.session.remote_ip

与远程会话关联的设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.actor.session.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.actor.session.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.actor.session.user.domain

定义用户的域。

关键字

ses.actor.session.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.actor.session.user.external_uid

用户的外部唯一标识符。

关键字

ses.actor.session.user.full_name

用户的全名。

关键字

ses.actor.session.user.groups

用户所属的管理组。

关键字

ses.actor.session.user.home

用户的起始目录。

关键字

ses.actor.session.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.actor.session.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.actor.session.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.actor.session.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.actor.session.user.shell

用户的登录 Shell。

关键字

ses.actor.session.user.sid

用户安全标识符 (SID)。

关键字

ses.actor.session.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.actor.session_id

启动进程的用户会话 ID。

关键字

ses.actor.start_time

进程启动的时间。

日期

ses.actor.tid

操作系统返回的与事件关联的线程标识符。

长整型

ses.actor.uid

进程的唯一标识符。

关键字

ses.actor.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.actor.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.actor.user.domain

定义用户的域。

关键字

ses.actor.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.actor.user.external_uid

用户的外部唯一标识符。

关键字

ses.actor.user.full_name

用户的全名。

关键字

ses.actor.user.groups

用户所属的管理组。

关键字

ses.actor.user.home

用户的起始目录。

关键字

ses.actor.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.actor.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.actor.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.actor.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.actor.user.shell

用户的登录 Shell。

关键字

ses.actor.user.sid

用户安全标识符 (SID)。

关键字

ses.actor.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.actor.xattributes

表示进程扩展属性的零个或多个名称/值对的无序集合。

扁平化

ses.actual_permissions

授予该进程的权限。

长整型

ses.analysis

反恶意软件模拟分析。

关键字

ses.app_name

可能与策略更改关联的应用程序的名称。

关键字

ses.app_uid

可能与策略更改关联的应用程序的标识符。

关键字

ses.app_ver

可能与策略更改关联的应用程序的版本。

关键字

ses.assignee

分配给事件的用户名称。

关键字

ses.attacker_ip

恶意网络设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.attacks.sub_technique_name

ATT&CK MatrixTM 定义的攻击子技术名称。

关键字

ses.attacks.sub_technique_uid

ATT&CK MatrixTM 定义的攻击子技术的唯一标识符。

关键字

ses.attacks.tactic_ids

与攻击技术相关的策略(将被弃用,请使用 tactic_uids)。

关键字

ses.attacks.tactic_uids

ATT&CK MatrixTM 定义的与攻击技术相关的策略。

关键字

ses.attacks.technique_name

ATT&CK MatrixTM 定义的攻击技术名称。

关键字

ses.attacks.technique_uid

ATT&CK MatrixTM 定义的攻击技术的唯一标识符。

关键字

ses.audit

事件的审核模式。当为 true 时,不执行任何补救操作。

布尔型

ses.category_id

事件类型类别。

关键字

ses.category_name

事件的类别名称。

关键字

ses.change_type_id

策略更改的原因。

关键字

ses.channel_id

用于更新组件的通道。

关键字

ses.client_uid

OAUTH 2.0 客户端 ID。

关键字

ses.collector_device_ip

收集器设备的 IP 地址,格式为 IPv4 或 IPv6。

IP 地址

ses.collector_device_name

收集器设备的名称。

关键字

ses.collector_name

收集器的名称。

关键字

ses.collector_uid

收集器的唯一标识符。

关键字

ses.command_name

与事件或对象相关的命令。

关键字

ses.command_ref_uid

与原始命令标识符对应的命令标识符。

关键字

ses.command_uid

与此扫描事件关联的命令标识符;如果扫描是由命令启动的,则为必需。

关键字

ses.comment

用户提供的评论。

关键字

ses.compliance_rule.criteria_id

与规则关联的条件。

关键字

ses.compliance_rule.desc

规则的描述。

关键字

ses.compliance_rule.name

规则的名称。

关键字

ses.compliance_rule.type_id

规则的类型。

关键字

ses.compliance_rule.uid

规则的唯一标识符。

关键字

ses.component

数据对象的子组件的名称或相对路径名(如果适用)。

关键字

ses.composite

复合事件的类型。有关详细信息,请参阅事件日志 API。

长整型

ses.conclusion

与事件关联的事件的结论性描述。

关键字

ses.config_path

保存启动应用程序配置的文件或注册表项。

关键字

ses.connection.bytes_download

从源到目标下载的字节数。

长整型

ses.connection.bytes_upload

从源到目标上传的字节数。

长整型

ses.connection.connection_direction_id

发起连接的方向。

关键字

ses.connection.direction_id

发起流量的方向。

关键字

ses.connection.dst_ip

目标网络连接设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.connection.dst_location.city

城市名称。

关键字

ses.connection.dst_location.continent

大洲名称。

关键字

ses.connection.dst_location.coordinates

一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。

float

ses.connection.dst_location.country

ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2 代码。注意:两个字母的国家/地区代码应大写。

关键字

ses.connection.dst_location.desc

位置的描述。

关键字

ses.connection.dst_location.isp

Internet 服务提供商 (ISP) 的名称。

关键字

ses.connection.dst_location.on_premises

指示位置是否在本地。

布尔型

ses.connection.dst_location.region

标识国家/地区的主要分区(例如,省或州)的字母数字代码。区域代码在 ISO 3166-2 中定义,并且限制为三个字符。有关示例,请参阅美国的区域代码。

关键字

ses.connection.dst_mac

目标网络连接设备的 MAC 地址。

关键字

ses.connection.dst_name

目标网络连接设备的主机名。

关键字

ses.connection.dst_port

目标网络连接的端口号。

长整型

ses.connection.dst_service

目标网络连接服务名称。

关键字

ses.connection.ether_type

EtherType 指示哪个协议封装在以太网帧的有效负载中。

长整型

ses.connection.http_status

返回给客户端的 HTTP 状态代码。

长整型

ses.connection.http_user_agent

用于标识操作系统和 Web 浏览器的请求标头。

关键字

ses.connection.local

指示连接是否在同一设备上的两个端点之间。例如,如果源 IP (src_ip) 和目标 IP (dst_ip) 可能相同。

布尔型

ses.connection.protocol_id

RFC1340 定义的网络协议。

关键字

ses.connection.protocol_version

网络协议的版本。

长整型

ses.connection.request_headers

与 HTTP 请求关联的其他信息。

扁平化

ses.connection.response_headers

与 HTTP 响应关联的其他信息。

扁平化

ses.connection.rpc.binding

远程过程调用协议系列、主机名和端点连接。

关键字

ses.connection.rpc.interface_op

远程过程调用接口操作编号。

长整型

ses.connection.rpc.interface_uid

远程过程调用接口的唯一标识符。

关键字

ses.connection.rpc.interface_ver

远程过程调用接口版本。

关键字

ses.connection.src_ip

发起网络连接的设备的 IP 地址。

IP 地址

ses.connection.src_location.city

城市名称。

关键字

ses.connection.src_location.continent

大洲名称。

关键字

ses.connection.src_location.coordinates

一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。

float

ses.connection.src_location.country

ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2 代码。注意:两个字母的国家/地区代码应大写。

关键字

ses.connection.src_location.desc

位置的描述。

关键字

ses.connection.src_location.isp

Internet 服务提供商 (ISP) 的名称。

关键字

ses.connection.src_location.on_premises

指示位置是否在本地。

布尔型

ses.connection.src_location.region

标识国家主要行政区划(例如,省或州)的字母数字代码。区域代码在 ISO 3166-2 中定义,长度限制为三个字符。

关键字

ses.connection.src_mac

发起网络连接的设备的 MAC 地址。

关键字

ses.connection.src_name

发起网络连接的设备的主机名。

关键字

ses.connection.src_port

源设备的端口号。

长整型

ses.connection.src_service

源网络连接服务名称。

关键字

ses.connection.svc_name

由互联网号码分配机构 (IANA) 定义的服务名称。请参阅服务名称和传输协议端口号注册表。

关键字

ses.connection.tcp_flags

网络连接 TCP 标头标志(即控制位)。

长整型

ses.connection.tls.cipher

加密算法。

关键字

ses.connection.tls.cipher_size

为客户端或服务器连接协商的 OpenSSL 密码套件的密码大小。

长整型

ses.connection.tls.cipher_strength

为客户端或服务器连接协商的 OpenSSL 密码套件的强度。

长整型

ses.connection.tls.client_certificate.end_time

证书失效的时间。

日期

ses.connection.tls.client_certificate.is_valid

证书是否有效的指示。

布尔型

ses.connection.tls.client_certificate.issuer_name

证书颁发者名称。

关键字

ses.connection.tls.client_certificate.issuer_organization

证书颁发者组织。

关键字

ses.connection.tls.client_certificate.serial

证书序列号。

关键字

ses.connection.tls.client_certificate.signature_statuses

签名状态数组。

关键字

ses.connection.tls.client_certificate.start_time

证书生效的时间。

日期

ses.connection.tls.client_certificate.subject_city

证书主体城市。

关键字

ses.connection.tls.client_certificate.subject_country

证书主体国家。

关键字

ses.connection.tls.client_certificate.subject_email

证书主体电子邮件。

关键字

ses.connection.tls.client_certificate.subject_name

证书主体名称。

关键字

ses.connection.tls.client_certificate.subject_org_unit

证书主体组织单位。

关键字

ses.connection.tls.client_certificate.subject_organization

证书主体组织。

关键字

ses.connection.tls.client_certificate.subject_state

证书主体州/省。

关键字

ses.connection.tls.client_certificate.subject_street

证书主体街道。

关键字

ses.connection.tls.client_certificate.version

证书版本。

关键字

ses.connection.tls.is_advertised

服务器是否通告协议的指示。

布尔型

ses.connection.tls.is_used

是否使用 TLS 的指示。

布尔型

ses.connection.tls.issuer_keyring

伪造证书的颁发者。

关键字

ses.connection.tls.issuer_keyring_alias

HSM 颁发者中伪造证书的密钥别名。

关键字

ses.connection.tls.key_length

加密密钥的长度。

长整型

ses.connection.tls.ocsp_status_detail

在服务器证书的 OCSP 检查期间观察到的错误。

关键字

ses.connection.tls.server_certificate.end_time

证书失效的时间。

日期

ses.connection.tls.server_certificate.is_valid

证书是否有效的指示。

布尔型

ses.connection.tls.server_certificate.issuer_name

证书颁发者名称。

关键字

ses.connection.tls.server_certificate.issuer_organization

证书颁发者组织。

关键字

ses.connection.tls.server_certificate.serial

证书序列号。

关键字

ses.connection.tls.server_certificate.signature_statuses

签名状态数组。

关键字

ses.connection.tls.server_certificate.start_time

证书生效的时间。

日期

ses.connection.tls.server_certificate.subject_city

证书主体城市。

关键字

ses.connection.tls.server_certificate.subject_country

证书主体国家。

关键字

ses.connection.tls.server_certificate.subject_email

证书主体电子邮件。

关键字

ses.connection.tls.server_certificate.subject_name

证书主体名称。

关键字

ses.connection.tls.server_certificate.subject_org_unit

证书主体组织单位。

关键字

ses.connection.tls.server_certificate.subject_organization

证书主体组织。

关键字

ses.connection.tls.server_certificate.subject_state

证书主体州/省。

关键字

ses.connection.tls.server_certificate.subject_street

证书主体街道。

关键字

ses.connection.tls.server_certificate.version

证书版本。

关键字

ses.connection.tls.tls_policy_id

传输层安全性 (TLS) 策略。

关键字

ses.connection.tls.version

协议版本。

关键字

ses.connection.uid

连接的唯一标识符。

关键字

ses.connection.url.categories

URL 类别的数组。

关键字

ses.connection.url.category_ids

URL 类别的数组。

关键字

ses.connection.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.connection.url.host

从 URL 中提取的 URL 主机。

关键字

ses.connection.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.connection.url.parent_categories

父 URL 类别的数组。

关键字

ses.connection.url.path

从 URL 中提取的 URL 路径。

关键字

ses.connection.url.port

URL 端口。

长整型

ses.connection.url.provider

声誉和类别信息的来源。

关键字

ses.connection.url.query

URL 的查询部分。

关键字

ses.connection.url.referrer

在此之前访问的地址。

关键字

ses.connection.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.connection.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.connection.url.rep_score_id

URL 的声誉分数。

关键字

ses.connection.url.scheme

URL 的方案部分。

关键字

ses.connection.url.text

URL。

关键字

ses.connection_ref_uid

与事件相关的网络连接对象的引用。

关键字

ses.container.host_name

容器主机名。

关键字

ses.container.image_name

容器映像名称。

关键字

ses.container.image_uid

容器唯一映像标识符。

关键字

ses.container.name

容器实例名称。

关键字

ses.container.networks.bssid

基本服务集标识符 (BSSID)。

关键字

ses.container.networks.gateway_ip

网关 IP 地址。

IP 地址

ses.container.networks.gateway_mac

网关媒体访问控制 (MAC) 地址。

关键字

ses.container.networks.ipv4

与网络接口关联的 IPv4 地址。

IP 地址

ses.container.networks.ipv6

与网络接口关联的 IPv6 地址。

IP 地址

ses.container.networks.is_public

网络接口是否为公共 IP 地址的指示。

布尔型

ses.container.networks.mac

与网络接口关联的 MAC 地址。

关键字

ses.container.networks.rep_score_id

网络的信誉。

关键字

ses.container.networks.ssid

服务集标识符 (SSID)。

关键字

ses.container.networks.type_id

网络类型。

关键字

ses.container.os_name

容器操作系统名称。

关键字

ses.container.uid

容器唯一标识符。

关键字

ses.content_type_id

更新所涉及的内容的类型。

关键字

ses.content_ver

检测引擎或签名内容的版本。

关键字

ses.correlation_uid

用于关联事件的唯一标识符。

关键字

ses.count

对于聚合事件,事件在设备时间到设备结束时间段内发生的次数。

长整型

ses.create_mask

创建文件时所需的 Windows 设置。

长整型

ses.create_mask_id

Windows 创建文件标志,适用于系统活动文件创建事件。

关键字

ses.created

创建事件的时间。

日期

ses.creator

创建事件的用户的名称。

关键字

ses.curr_location.city

城市名称。

关键字

ses.curr_location.continent

大洲名称。

关键字

ses.curr_location.coordinates

一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。

float

ses.curr_location.country

ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2 代码。注意:两个字母的国家/地区代码应大写。

关键字

ses.curr_location.desc

位置的描述。

关键字

ses.curr_location.isp

Internet 服务提供商 (ISP) 的名称。

关键字

ses.curr_location.on_premises

指示位置是否在本地。

布尔型

ses.curr_location.region

标识国家主要行政区划(例如,省或州)的字母数字代码。区域代码在 ISO 3166-2 中定义,长度限制为三个字符。

关键字

ses.curr_security_level_id

实体的当前安全级别。

关键字

ses.curr_security_level_value

关键字中实体的当前安全级别。

关键字

ses.curr_security_state_ids

操作系统的类型。

关键字

ses.curr_ver

代码、内容、配置或策略的更新版本。

关键字

ses.customer_registry_uid

唯一的赛门铁克客户注册表标识符。

关键字

ses.customer_uid

唯一的客户标识符。

关键字

ses.cve.desc

与 CVE 相关的描述。

关键字

ses.cve.name

CVE 的名称。

关键字

ses.cve.published

CVE 记录首次在 CVE 列表中发布的时间和日期。

日期

ses.cve.reference_url

与 CVE 关联的 URL。

关键字

ses.cve.requires_device

如果存在与 CVE 关联的设备,则为 True。

布尔型

ses.cve.score

用于优先考虑漏洞严重性的 CVE 分数。

float

ses.cve.severity_id

事件的严重性。

关键字

ses.cve.title

与 CVE 关联的标题。

关键字

ses.cve.uid

此记录所涉及的唯一 CVE 标识符。

关键字

ses.cvssv2.access_complexity_id

访问复杂性通用漏洞评分系统 (CVSS) 指标。

关键字

ses.cvssv2.attack_vector_id

攻击向量通用漏洞评分系统 (CVSS) 指标。

关键字

ses.cvssv2.authentication_id

身份验证通用漏洞评分系统 (CVSS) 指标。

关键字

ses.cvssv2.availability_impact_id

可用性影响通用漏洞评分系统 (CVSS) 指标。

关键字

ses.cvssv2.confidentiality_impact_id

机密性影响通用漏洞评分系统 (CVSS) 指标。

关键字

ses.cvssv2.integrity_impact_id

完整性影响通用漏洞评分系统 (CVSS) 指标。

关键字

ses.cvssv2.risk

通用漏洞评分系统 (CVSS) 计算的风险。

float

ses.cybox.domains

CybOXTM 完全限定域名 (FQDN) 数组。

关键字

ses.cybox.emails.direction_id

相对于扫描主机或组织,电子邮件的方向。

关键字

ses.cybox.emails.header_from

电子邮件标头 From 值,由 RFC 5322 定义。

关键字

ses.cybox.emails.header_message_id

电子邮件标头 Message-Id 值,由 RFC 5322 定义。

关键字

ses.cybox.emails.header_reply_to

电子邮件标头 Reply-To 值,由 RFC 5322 定义。

关键字

ses.cybox.emails.header_subject

电子邮件标头 Subject 值,由 RFC 5322 定义。

关键字

ses.cybox.emails.header_to

电子邮件标头 To 值,由 RFC 5322 定义。

关键字

ses.cybox.emails.sender_ip

发送方的 IP 地址,采用 IPv4 或 IPv6 格式。

IP 地址

ses.cybox.emails.size

电子邮件的大小(以字节为单位),包括附件。

长整型

ses.cybox.emails.smtp_from

SMTP MAIL FROM 命令的值。

关键字

ses.cybox.emails.smtp_hello

SMTP HELO 或 EHLO 命令的值。

关键字

ses.cybox.emails.smtp_to

SMTP 信封 RCPT TO 命令的值。

关键字

ses.cybox.files.accessed

上次访问文件的时间。

日期

ses.cybox.files.accessor

上次访问该对象的用户姓名。

关键字

ses.cybox.files.attribute_ids

文件属性数组。

关键字

ses.cybox.files.attributes

表示文件属性的位掩码值。

长整型

ses.cybox.files.company_name

发布该文件的公司名称。

关键字

ses.cybox.files.confidentiality_id

文件内容机密性指示符。

关键字

ses.cybox.files.content_type.family_id

顶层文件分类。

关键字

ses.cybox.files.content_type.subtype

数据类型的特定格式。

关键字

ses.cybox.files.content_type.type_id

文件的通用类型。

关键字

ses.cybox.files.created

文件创建的时间。

日期

ses.cybox.files.creator

创建文件的用户姓名。

关键字

ses.cybox.files.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.cybox.files.desc

文件系统返回的文件描述。

关键字

ses.cybox.files.folder

文件所在的父文件夹。

关键字

ses.cybox.files.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.cybox.files.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.cybox.files.md5

对象内容的 MD5 校验和。

关键字

ses.cybox.files.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.cybox.files.modified

上次修改文件的时间。

日期

ses.cybox.files.modifier

上次修改文件的用户姓名。

关键字

ses.cybox.files.name

文件名。

关键字

ses.cybox.files.normalized_path

CSIDL 规范化路径名。

关键字

ses.cybox.files.original_name

文件的原始名称。

关键字

ses.cybox.files.owner

文件的所有者。

关键字

ses.cybox.files.parent_name

包含此文件的文件的名称。

关键字

ses.cybox.files.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.cybox.files.path

文件的完整路径。

关键字

ses.cybox.files.product_name

包含该文件的产品名称。

关键字

ses.cybox.files.product_path

包含该文件的产品的路径。

关键字

ses.cybox.files.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.cybox.files.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.cybox.files.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.cybox.files.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.cybox.files.rep_score

文件的声誉分数。

长整型

ses.cybox.files.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.cybox.files.security_descriptor

对象安全描述符。

关键字

ses.cybox.files.sha1

对象内容的 SHA-1 校验和。

关键字

ses.cybox.files.sha2

对象内容的 SHA-256 校验和。

关键字

ses.cybox.files.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.cybox.files.signature_created_date

创建签名时的日期和时间。

日期

ses.cybox.files.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.cybox.files.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.cybox.files.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.cybox.files.signature_issuer

对象签名的颁发者。

关键字

ses.cybox.files.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.cybox.files.signature_serial_number

对象序列号。

关键字

ses.cybox.files.signature_value

数字签名位掩码。

长整型

ses.cybox.files.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.cybox.files.size

对象的大小(以字节为单位)。

长整型

ses.cybox.files.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.cybox.files.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.cybox.files.src_name

文件所在的宿主机的名称。

关键字

ses.cybox.files.type_id

文件类型。

关键字

ses.cybox.files.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.cybox.files.url.categories

URL 类别的数组。

关键字

ses.cybox.files.url.category_ids

URL 类别的数组。

关键字

ses.cybox.files.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.cybox.files.url.host

从 URL 中提取的 URL 主机。

关键字

ses.cybox.files.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.cybox.files.url.parent_categories

父 URL 类别的数组。

关键字

ses.cybox.files.url.path

从 URL 中提取的 URL 路径。

关键字

ses.cybox.files.url.port

URL 端口。

长整型

ses.cybox.files.url.provider

声誉和类别信息的来源。

关键字

ses.cybox.files.url.query

URL 的查询部分。

关键字

ses.cybox.files.url.referrer

在此之前访问的地址。

关键字

ses.cybox.files.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.cybox.files.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.cybox.files.url.rep_score_id

URL 的声誉分数。

关键字

ses.cybox.files.url.scheme

URL 的方案部分。

关键字

ses.cybox.files.url.text

URL。

关键字

ses.cybox.files.version

文件版本。

关键字

ses.cybox.files.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.cybox.hostnames

CybOXTM 主机名数组。

关键字

ses.cybox.icap_reqmod.metadata

ICAP 请求修改标头详细信息。

扁平化

ses.cybox.icap_reqmod.service

ICAP 服务的名称。

关键字

ses.cybox.icap_reqmod.status

ICAP 请求修改状态。

关键字

ses.cybox.icap_reqmod.status_detail

ICAP 请求修改错误详细信息。

关键字

ses.cybox.icap_respmod.metadata

ICAP 响应修改标头详细信息。

扁平化

ses.cybox.icap_respmod.service

ICAP 服务的名称。

关键字

ses.cybox.icap_respmod.status

ICAP 响应修改状态。

关键字

ses.cybox.icap_respmod.status_detail

ICAP 响应修改错误详情。

关键字

ses.cybox.ipv4s

CybOXTM IPv4 地址数组。

IP 地址

ses.cybox.ipv6s

CybOXTM IPv6 地址数组。

IP 地址

ses.cybox.macs

CybOXTM MAC 地址数组。

关键字

ses.cybox.urls.categories

URL 类别的数组。

关键字

ses.cybox.urls.category_ids

URL 类别的数组。

关键字

ses.cybox.urls.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.cybox.urls.host

从 URL 中提取的 URL 主机。

关键字

ses.cybox.urls.method

URL 请求中使用的 HTTP 方法。

关键字

ses.cybox.urls.parent_categories

父 URL 类别的数组。

关键字

ses.cybox.urls.path

从 URL 中提取的 URL 路径。

关键字

ses.cybox.urls.port

URL 端口。

长整型

ses.cybox.urls.provider

声誉和类别信息的来源。

关键字

ses.cybox.urls.query

URL 的查询部分。

关键字

ses.cybox.urls.referrer

在此之前访问的地址。

关键字

ses.cybox.urls.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.cybox.urls.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.cybox.urls.rep_score_id

URL 的声誉分数。

关键字

ses.cybox.urls.scheme

URL 的方案部分。

关键字

ses.cybox.urls.text

URL。

关键字

ses.data

被扫描的数据。

关键字

ses.data_size

截断前的数据大小。

长整型

ses.days_left

许可证到期前的剩余天数。

长整型

ses.detection_type

事件检测类型。

关键字

ses.detection_uid

关联的唯一检测事件标识符。

关键字

ses.device_alias_name

备用设备名称,通常由管理员分配。

关键字

ses.device_cap

设备的简短描述或标题。

关键字

ses.device_cloud_vm.autoscale_uid

云自动缩放配置的唯一标识符。

关键字

ses.device_cloud_vm.dc_region

由云供应商定义的数据中心区域。

关键字

ses.device_cloud_vm.instance_uid

云托管虚拟机实例的唯一标识符。

关键字

ses.device_cloud_vm.subnet_uid

虚拟子网的唯一标识符。

关键字

ses.device_cloud_vm.vpc_uid

虚拟私有云 (VPC) 的唯一标识符。

关键字

ses.device_desc

设备的描述,通常由操作系统报告。

关键字

ses.device_domain

设备所在的网络域。

关键字

ses.device_domain_uid

设备所在域的唯一标识符。

关键字

ses.device_end_time

上次聚合事件的时间。

日期

ses.device_gateway

网关 IP 地址。

IP 地址

ses.device_group

设备所属组的完整路径。

关键字

ses.device_group_name

设备所属的叶组的名称。

关键字

ses.device_hw_bios_date

BIOS 日期。

关键字

ses.device_hw_bios_manufacturer

BIOS 制造商。

关键字

ses.device_hw_bios_ver

BIOS 版本。

关键字

ses.device_hw_cpu_type

处理器类型。

关键字

ses.device_imei

与设备关联的国际移动设备识别码。

关键字

ses.device_ip

与事件相关的 IP 地址,格式为 IPv4 或 IPv6。

IP 地址

ses.device_is_compliant

事件发生在合规设备上。

布尔型

ses.device_is_personal

事件发生在个人设备上。

布尔型

ses.device_is_trusted

事件发生在受信任的设备上。

布尔型

ses.device_is_unmanaged

事件发生在非托管设备上。

布尔型

ses.device_location.city

城市名称。

关键字

ses.device_location.continent

大洲名称。

关键字

ses.device_location.coordinates

一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。

float

ses.device_location.country

ISO 3166-1 Alpha-2 国家代码。有关国家代码的完整列表,请参阅 ISO 3166-1 alpha-2 代码。

关键字

ses.device_location.desc

位置的描述。

关键字

ses.device_location.isp

Internet 服务提供商 (ISP) 的名称。

关键字

ses.device_location.on_premises

指示位置是否在本地。

布尔型

ses.device_location.region

标识国家主要行政区划(例如,省或州)的字母数字代码。区域代码在 ISO 3166-2 中定义,长度限制为三个字符。

关键字

ses.device_mac

与设备关联的媒体访问控制 (MAC) 地址。

关键字

ses.device_name

发起事件的设备的名称。

关键字

ses.device_name_md5

设备名称的 MD5 哈希值。注意:哈希值必须是小写设备名称的。

关键字

ses.device_networks.bssid

基本服务集标识符 (BSSID)。

关键字

ses.device_networks.gateway_ip

网关 IP 地址。

IP 地址

ses.device_networks.gateway_mac

网关媒体访问控制 (MAC) 地址。

关键字

ses.device_networks.ipv4

与网络接口关联的 IPv4 地址。

IP 地址

ses.device_networks.ipv6

与网络接口关联的 IPv6 地址。

IP 地址

ses.device_networks.is_public

网络接口是否为公共 IP 地址的指示。

布尔型

ses.device_networks.mac

与网络接口关联的 MAC 地址。

关键字

ses.device_networks.rep_score_id

网络的信誉。

关键字

ses.device_networks.ssid

服务集标识符 (SSID)。

关键字

ses.device_networks.type_id

网络类型。

关键字

ses.device_org_unit

设备所属的组织单元的名称。

关键字

ses.device_os_bits

处理器位数。

长整型

ses.device_os_build

操作系统版本号。

关键字

ses.device_os_country

ISO 3166-1 标准定义的操作系统国家/地区代码(Alpha-2 代码)。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2 代码。

关键字

ses.device_os_edition

操作系统版本。

关键字

ses.device_os_lang

ISO 639-1 定义的小写双字母 ISO 语言代码。

关键字

ses.device_os_name

从中发起事件的设备上运行的操作系统的名称。

关键字

ses.device_os_sp_name

最新服务包的名称。

关键字

ses.device_os_sp_ver

最新服务包的版本号。

关键字

ses.device_os_type_id

操作系统的类型。

关键字

ses.device_os_type_value

操作系统的类型值。

关键字

ses.device_os_ver

发起事件的设备上运行的操作系统的版本。

关键字

ses.device_proxy_ip

代理 IP 地址。

IP 地址

ses.device_proxy_name

代理主机名。

关键字

ses.device_public_ip

公共 IP 地址。

IP 地址

ses.device_ref_uid

设备的唯一引用标识符。

关键字

ses.device_site

设备所属站点的名称。

关键字

ses.device_subnet

子网 IP 地址。

IP 地址

ses.device_time

事件发生在设备上的时间。

日期

ses.device_type

发起事件的设备类型。

关键字

ses.device_uid

设备的唯一标识符。

关键字

ses.device_vhost

设备虚拟主机类型字符串。

关键字

ses.device_vhost_id

设备虚拟主机类型。

关键字

ses.directory.accessed

上次访问文件的时间。

日期

ses.directory.accessor

上次访问该对象的用户姓名。

关键字

ses.directory.attribute_ids

文件属性数组。

关键字

ses.directory.attributes

表示文件属性的位掩码值。

长整型

ses.directory.company_name

发布该文件的公司名称。

关键字

ses.directory.confidentiality_id

文件内容机密性指示符。

关键字

ses.directory.content_type.family_id

顶层文件分类。

关键字

ses.directory.content_type.subtype

数据类型的特定格式。

关键字

ses.directory.content_type.type_id

文件的通用类型。

关键字

ses.directory.created

文件创建的时间。

日期

ses.directory.creator

创建文件的用户姓名。

关键字

ses.directory.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.directory.desc

文件系统返回的文件描述。

关键字

ses.directory.folder

文件所在的父文件夹。

关键字

ses.directory.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.directory.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.directory.md5

对象内容的 MD5 校验和。

关键字

ses.directory.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.directory.modified

上次修改文件的时间。

日期

ses.directory.modifier

上次修改文件的用户姓名。

关键字

ses.directory.name

文件名。

关键字

ses.directory.normalized_path

CSIDL 规范化路径名。

关键字

ses.directory.original_name

文件的原始名称。

关键字

ses.directory.owner

文件的所有者。

关键字

ses.directory.parent_name

包含此文件的文件的名称。

关键字

ses.directory.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.directory.path

文件的完整路径。

关键字

ses.directory.product_name

包含该文件的产品名称。

关键字

ses.directory.product_path

包含该文件的产品的路径。

关键字

ses.directory.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.directory.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.directory.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.directory.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.directory.rep_score

文件的声誉分数。

长整型

ses.directory.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.directory.security_descriptor

对象安全描述符。

关键字

ses.directory.sha1

对象内容的 SHA-1 校验和。

关键字

ses.directory.sha2

对象内容的 SHA-256 校验和。

关键字

ses.directory.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.directory.signature_created_date

创建签名时的日期和时间。

日期

ses.directory.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.directory.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.directory.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.directory.signature_issuer

对象签名的颁发者。

关键字

ses.directory.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.directory.signature_serial_number

对象序列号。

关键字

ses.directory.signature_value

数字签名位掩码。

长整型

ses.directory.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.directory.size

对象的大小(以字节为单位)。

长整型

ses.directory.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.directory.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.directory.src_name

文件所在的宿主机的名称。

关键字

ses.directory.type_id

文件类型。

关键字

ses.directory.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.directory.url.categories

URL 类别的数组。

关键字

ses.directory.url.category_ids

URL 类别的数组。

关键字

ses.directory.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.directory.url.host

从 URL 中提取的 URL 主机。

关键字

ses.directory.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.directory.url.parent_categories

父 URL 类别的数组。

关键字

ses.directory.url.path

从 URL 中提取的 URL 路径。

关键字

ses.directory.url.port

URL 端口。

长整型

ses.directory.url.provider

声誉和类别信息的来源。

关键字

ses.directory.url.query

URL 的查询部分。

关键字

ses.directory.url.referrer

在此之前访问的地址。

关键字

ses.directory.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.directory.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.directory.url.rep_score_id

URL 的声誉分数。

关键字

ses.directory.url.scheme

URL 的方案部分。

关键字

ses.directory.url.text

URL。

关键字

ses.directory.version

文件版本。

关键字

ses.directory.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.directory_result.accessed

上次访问文件的时间。

日期

ses.directory_result.accessor

上次访问该对象的用户姓名。

关键字

ses.directory_result.attribute_ids

文件属性数组。

关键字

ses.directory_result.attributes

表示文件属性的位掩码值。

长整型

ses.directory_result.company_name

发布该文件的公司名称。

关键字

ses.directory_result.confidentiality_id

文件内容机密性指示符。

关键字

ses.directory_result.content_type.family_id

顶层文件分类。

关键字

ses.directory_result.content_type.subtype

数据类型的特定格式。

关键字

ses.directory_result.content_type.type_id

文件的通用类型。

关键字

ses.directory_result.created

文件创建的时间。

日期

ses.directory_result.creator

创建文件的用户姓名。

关键字

ses.directory_result.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.directory_result.desc

文件系统返回的文件描述。

关键字

ses.directory_result.folder

文件所在的父文件夹。

关键字

ses.directory_result.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.directory_result.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.directory_result.md5

对象内容的 MD5 校验和。

关键字

ses.directory_result.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.directory_result.modified

上次修改文件的时间。

日期

ses.directory_result.modifier

上次修改文件的用户姓名。

关键字

ses.directory_result.name

文件名。

关键字

ses.directory_result.normalized_path

CSIDL 规范化路径名。

关键字

ses.directory_result.original_name

文件的原始名称。

关键字

ses.directory_result.owner

文件的所有者。

关键字

ses.directory_result.parent_name

包含此文件的文件的名称。

关键字

ses.directory_result.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.directory_result.path

文件的完整路径。

关键字

ses.directory_result.product_name

包含该文件的产品名称。

关键字

ses.directory_result.product_path

包含该文件的产品的路径。

关键字

ses.directory_result.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.directory_result.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.directory_result.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.directory_result.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.directory_result.rep_score

文件的声誉分数。

长整型

ses.directory_result.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.directory_result.security_descriptor

对象安全描述符。

关键字

ses.directory_result.sha1

对象内容的 SHA-1 校验和。

关键字

ses.directory_result.sha2

对象内容的 SHA-256 校验和。

关键字

ses.directory_result.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.directory_result.signature_created_date

创建签名时的日期和时间。

日期

ses.directory_result.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.directory_result.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.directory_result.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.directory_result.signature_issuer

对象签名的颁发者。

关键字

ses.directory_result.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.directory_result.signature_serial_number

对象序列号。

关键字

ses.directory_result.signature_value

数字签名位掩码。

长整型

ses.directory_result.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.directory_result.size

对象的大小(以字节为单位)。

长整型

ses.directory_result.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.directory_result.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.directory_result.src_name

文件所在的宿主机的名称。

关键字

ses.directory_result.type_id

文件类型。

关键字

ses.directory_result.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.directory_result.url.categories

URL 类别的数组。

关键字

ses.directory_result.url.category_ids

URL 类别的数组。

关键字

ses.directory_result.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.directory_result.url.host

从 URL 中提取的 URL 主机。

关键字

ses.directory_result.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.directory_result.url.parent_categories

父 URL 类别的数组。

关键字

ses.directory_result.url.path

从 URL 中提取的 URL 路径。

关键字

ses.directory_result.url.port

URL 端口。

长整型

ses.directory_result.url.provider

声誉和类别信息的来源。

关键字

ses.directory_result.url.query

URL 的查询部分。

关键字

ses.directory_result.url.referrer

在此之前访问的地址。

关键字

ses.directory_result.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.directory_result.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.directory_result.url.rep_score_id

URL 的声誉分数。

关键字

ses.directory_result.url.scheme

URL 的方案部分。

关键字

ses.directory_result.url.text

URL。

关键字

ses.directory_result.version

文件版本。

关键字

ses.directory_result.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.displayed_text

向用户显示的描述客户端覆盖操作影响的信息。

关键字

ses.domain_uid

唯一的域标识符。

关键字

ses.dst_endpoint_app.groups

报告应用程序的组。

关键字

ses.dst_endpoint_app.name

报告应用程序名称。

关键字

ses.dst_endpoint_app.operation

报告应用程序的操作(动作)。

关键字

ses.duration

扫描持续时间(秒)。

长整型

ses.email.direction_id

相对于扫描主机或组织,电子邮件的方向。

关键字

ses.email.direction_value

电子邮件相对于扫描主机或组织的方向值。

关键字

ses.email.header_from

电子邮件标头 From 值,由 RFC 5322 定义。

关键字

ses.email.header_message_id

电子邮件标头 Message-Id 值,由 RFC 5322 定义。

关键字

ses.email.header_reply_to

电子邮件标头 Reply-To 值,由 RFC 5322 定义。

关键字

ses.email.header_subject

电子邮件标头 Subject 值,由 RFC 5322 定义。

关键字

ses.email.header_to

电子邮件标头 To 值,由 RFC 5322 定义。

关键字

ses.email.sender_ip

发送方的 IP 地址,采用 IPv4 或 IPv6 格式。

IP 地址

ses.email.size

电子邮件的大小(以字节为单位),包括附件。

长整型

ses.email.smtp_from

SMTP MAIL FROM 命令的值。

关键字

ses.email.smtp_hello

SMTP HELO 或 EHLO 命令的值。

关键字

ses.email.smtp_to

SMTP 信封 RCPT TO 命令的值。

关键字

ses.email_auth.dkim_domain

电子邮件的域名密钥识别邮件 (DKIM) 签名域。

关键字

ses.email_auth.dkim_id

电子邮件的域名密钥识别邮件 (DKIM) 状态。

关键字

ses.email_auth.dmarc_id

电子邮件的基于域的消息身份验证、报告和一致性 (DMARC) 状态。

关键字

ses.email_auth.dmarc_override

基于域的消息身份验证、报告和一致性 (DMARC) 覆盖操作。

关键字

ses.email_auth.dmarc_policy_id

基于域的消息身份验证、报告和一致性 (DMARC) 策略。

关键字

ses.email_auth.raw_header

电子邮件身份验证标头。

关键字

ses.email_auth.spf_id

电子邮件的发送者策略框架 (SPF) 状态。

关键字

ses.email_uid

电子邮件的唯一标识符,用于关联相关的电子邮件检测和活动事件。

关键字

ses.end_time

对于聚合事件,设备结束时间已调整为服务器时钟。

日期

ses.entity.data

作为 JSON 对象的受管实体内容。

扁平化

ses.entity.name

受管实体的名称。

关键字

ses.entity.type

受管实体类型。

关键字

ses.entity.uid

受管实体的唯一标识符。

关键字

ses.entity.version

受管实体的版本。

关键字

ses.entity_result.data

作为 JSON 对象的受管实体内容。

扁平化

ses.entity_result.name

受管实体的名称。

关键字

ses.entity_result.type

受管实体类型。

关键字

ses.entity_result.uid

受管实体的唯一标识符。

关键字

ses.entity_result.version

受管实体的版本。

关键字

ses.environment_name

事件发生的环境,例如生产、测试、开发、负载。

关键字

ses.environment_uid

预配置环境的唯一标识符。

关键字

ses.event_data_type

与事件关联的数据类型。

关键字

ses.event_duration

处理请求所花费的时间(以毫秒为单位)(从代理接收的客户端请求数据的第一个字节到代理发送给客户端的最后一个字节,包括 ICAP 等的所有延迟)。

长整型

ses.event_id

事件 ID 标识事件的语义、结构和结果。

关键字

ses.events

与事件或事故相关的其他事件。

扁平化

ses.feature_name

发起事件的功能的名称。注意:功能名称通常由产品 SKU 定义,但它可以是任何其他标识发起事件的软件组件的名称。

关键字

ses.feature_path

发起事件的功能的路径。

关键字

ses.feature_type

功能类型。

关键字

ses.feature_uid

发起事件的功能的唯一标识符。

关键字

ses.feature_ver

发起事件的功能的版本。

关键字

ses.file.accessed

上次访问文件的时间。

日期

ses.file.accessor

上次访问该对象的用户姓名。

关键字

ses.file.attribute_ids

文件属性数组。

关键字

ses.file.attributes

表示文件属性的位掩码值。

长整型

ses.file.company_name

发布该文件的公司名称。

关键字

ses.file.confidentiality_id

文件内容机密性指示符。

关键字

ses.file.content_type.family_id

顶层文件分类。

关键字

ses.file.content_type.subtype

数据类型的特定格式。

关键字

ses.file.content_type.type_id

文件的通用类型。

关键字

ses.file.created

文件创建的时间。

日期

ses.file.creator

创建文件的用户姓名。

关键字

ses.file.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.file.desc

文件系统返回的文件描述。

关键字

ses.file.folder

文件所在的父文件夹。

关键字

ses.file.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.file.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.file.md5

对象内容的 MD5 校验和。

关键字

ses.file.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.file.modified

上次修改文件的时间。

日期

ses.file.modifier

上次修改文件的用户姓名。

关键字

ses.file.name

文件名。

关键字

ses.file.normalized_path

CSIDL 规范化路径名。

关键字

ses.file.original_name

文件的原始名称。

关键字

ses.file.owner

文件的所有者。

关键字

ses.file.parent_name

包含此文件的文件的名称。

关键字

ses.file.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.file.path

文件的完整路径。

关键字

ses.file.product_name

包含该文件的产品名称。

关键字

ses.file.product_path

包含该文件的产品的路径。

关键字

ses.file.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.file.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.file.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.file.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.file.rep_score

文件的声誉分数。

长整型

ses.file.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.file.security_descriptor

对象安全描述符。

关键字

ses.file.sha1

对象内容的 SHA-1 校验和。

关键字

ses.file.sha2

对象内容的 SHA-256 校验和。

关键字

ses.file.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.file.signature_created_date

创建签名时的日期和时间。

日期

ses.file.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.file.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.file.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.file.signature_issuer

对象签名的颁发者。

关键字

ses.file.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.file.signature_serial_number

对象序列号。

关键字

ses.file.signature_value

数字签名位掩码。

长整型

ses.file.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.file.size

对象的大小(以字节为单位)。

长整型

ses.file.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.file.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.file.src_name

文件所在的宿主机的名称。

关键字

ses.file.type_id

文件类型。

关键字

ses.file.type_value

文件类型值。

关键字

ses.file.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.file.url.categories

URL 类别的数组。

关键字

ses.file.url.category_ids

URL 类别的数组。

关键字

ses.file.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.file.url.host

从 URL 中提取的 URL 主机。

关键字

ses.file.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.file.url.parent_categories

父 URL 类别的数组。

关键字

ses.file.url.path

从 URL 中提取的 URL 路径。

关键字

ses.file.url.port

URL 端口。

长整型

ses.file.url.provider

声誉和类别信息的来源。

关键字

ses.file.url.query

URL 的查询部分。

关键字

ses.file.url.referrer

在此之前访问的地址。

关键字

ses.file.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.file.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.file.url.rep_score_id

URL 的声誉分数。

关键字

ses.file.url.scheme

URL 的方案部分。

关键字

ses.file.url.text

URL。

关键字

ses.file.version

文件版本。

关键字

ses.file.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.file_diff

用于更改检测的文件内容差异。

关键字

ses.file_result.accessed

上次访问文件的时间。

日期

ses.file_result.accessor

上次访问该对象的用户姓名。

关键字

ses.file_result.attribute_ids

文件属性数组。

关键字

ses.file_result.attributes

表示文件属性的位掩码值。

长整型

ses.file_result.company_name

发布该文件的公司名称。

关键字

ses.file_result.confidentiality_id

文件内容机密性指示符。

关键字

ses.file_result.content_type.family_id

顶层文件分类。

关键字

ses.file_result.content_type.subtype

数据类型的特定格式。

关键字

ses.file_result.content_type.type_id

文件的通用类型。

关键字

ses.file_result.created

文件创建的时间。

日期

ses.file_result.creator

创建文件的用户姓名。

关键字

ses.file_result.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.file_result.desc

文件系统返回的文件描述。

关键字

ses.file_result.folder

文件所在的父文件夹。

关键字

ses.file_result.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.file_result.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.file_result.md5

对象内容的 MD5 校验和。

关键字

ses.file_result.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.file_result.modified

上次修改文件的时间。

日期

ses.file_result.modifier

上次修改文件的用户姓名。

关键字

ses.file_result.name

文件名。

关键字

ses.file_result.normalized_path

CSIDL 规范化路径名。

关键字

ses.file_result.original_name

文件的原始名称。

关键字

ses.file_result.owner

文件的所有者。

关键字

ses.file_result.parent_name

包含此文件的文件的名称。

关键字

ses.file_result.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.file_result.path

文件的完整路径。

关键字

ses.file_result.product_name

包含该文件的产品名称。

关键字

ses.file_result.product_path

包含该文件的产品的路径。

关键字

ses.file_result.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.file_result.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.file_result.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.file_result.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.file_result.rep_score

文件的声誉分数。

长整型

ses.file_result.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.file_result.security_descriptor

对象安全描述符。

关键字

ses.file_result.sha1

对象内容的 SHA-1 校验和。

关键字

ses.file_result.sha2

对象内容的 SHA-256 校验和。

关键字

ses.file_result.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.file_result.signature_created_date

创建签名时的日期和时间。

日期

ses.file_result.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.file_result.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.file_result.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.file_result.signature_issuer

对象签名的颁发者。

关键字

ses.file_result.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.file_result.signature_serial_number

对象序列号。

关键字

ses.file_result.signature_value

数字签名位掩码。

长整型

ses.file_result.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.file_result.size

对象的大小(以字节为单位)。

长整型

ses.file_result.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.file_result.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.file_result.src_name

文件所在的宿主机的名称。

关键字

ses.file_result.type_id

文件类型。

关键字

ses.file_result.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.file_result.url.categories

URL 类别的数组。

关键字

ses.file_result.url.category_ids

URL 类别的数组。

关键字

ses.file_result.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.file_result.url.host

从 URL 中提取的 URL 主机。

关键字

ses.file_result.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.file_result.url.parent_categories

父 URL 类别的数组。

关键字

ses.file_result.url.path

从 URL 中提取的 URL 路径。

关键字

ses.file_result.url.port

URL 端口。

长整型

ses.file_result.url.provider

声誉和类别信息的来源。

关键字

ses.file_result.url.query

URL 的查询部分。

关键字

ses.file_result.url.referrer

在此之前访问的地址。

关键字

ses.file_result.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.file_result.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.file_result.url.rep_score_id

URL 的声誉分数。

关键字

ses.file_result.url.scheme

URL 的方案部分。

关键字

ses.file_result.url.text

URL。

关键字

ses.file_result.version

文件版本。

关键字

ses.file_result.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.http_status

返回给客户端的 HTTP 状态代码。

长整型

ses.id

事件的结果。

长整型

ses.impersonator_customer_uid

模拟代理的唯一客户标识符。

关键字

ses.impersonator_domain_uid

模拟代理的唯一域标识符。

关键字

ses.impersonator_user_uid

模拟代理的唯一用户标识符。

关键字

ses.incident_uid

事件唯一标识符。

关键字

ses.incident_url

用于访问原始事件的 URL。

关键字

ses.injection_type_id

进程注入方法。

关键字

ses.interpreter

使用的脚本解释器。

关键字

ses.is_user_present

指示在事件生成时用户是否已登录。

布尔型

ses.js_canary_enabled

指示是否为客户启用了 JavaScript Canary。

布尔型

ses.kernel.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.kernel.name

内核资源的名称。

关键字

ses.kernel.system_call

调用的系统调用。

关键字

ses.kernel.type_id

内核资源的类型。

关键字

ses.kernel.type_value

内核资源的类型值。

关键字

ses.license.count

席位数。

长整型

ses.license.end_time

许可证过期的日期和时间。

日期

ses.license.name

许可证的名称。

关键字

ses.license.start_time

许可证生效的日期和时间。

日期

ses.license.type_id

许可证类型。

关键字

ses.license.uid

许可证的唯一标识符。

关键字

ses.lineage

参与者进程的沿袭。

关键字

ses.log_level

记录器子系统报告的日志级别。

关键字

ses.log_name

记录事件的数据库、索引或存档的名称。

关键字

ses.log_time

系统收集事件的时间。

日期

ses.logging_device_ip

记录事件的设备的 IP 地址。

IP 地址

ses.logging_device_name

记录事件的设备的名称。

关键字

ses.logging_device_post_time

记录设备记录事件的时间。

日期

ses.logging_device_ref_uid

从其他设备收集日志的设备的唯一标识符。

关键字

ses.logon_type_id

登录类型。

关键字

ses.message

事件的描述。

关键字

ses.message_code

消息的编码字符串表示形式,通常用于故障排除。

关键字

ses.message_id

消息的数字表示形式,通常用于翻译目的。

关键字

ses.modified

事件被修改的时间。

日期

ses.modifier

修改事件的用户的姓名。

关键字

ses.module.accessed

上次访问文件的时间。

日期

ses.module.accessor

上次访问该对象的用户姓名。

关键字

ses.module.attribute_ids

文件属性数组。

关键字

ses.module.attributes

表示文件属性的位掩码值。

长整型

ses.module.base_address

模块加载到的内存地址。

关键字

ses.module.company_name

发布该文件的公司名称。

关键字

ses.module.confidentiality_id

文件内容机密性指示符。

关键字

ses.module.content_type.family_id

顶层文件分类。

关键字

ses.module.content_type.subtype

数据类型的特定格式。

关键字

ses.module.content_type.type_id

文件的通用类型。

关键字

ses.module.created

创建模块的时间。

日期

ses.module.creator

创建模块的用户姓名。

关键字

ses.module.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.module.desc

文件系统返回的文件描述。

关键字

ses.module.folder

文件所在的父文件夹。

关键字

ses.module.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.module.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.module.load_type

加载类型描述模块在内存中的加载方式。

关键字

ses.module.load_type_id

加载类型标识模块在内存中的加载方式。

关键字

ses.module.md5

对象内容的 MD5 校验和。

关键字

ses.module.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.module.modified

上次修改模块的时间。

日期

ses.module.modifier

上次修改模块的用户姓名。

关键字

ses.module.name

文件名。

关键字

ses.module.normalized_path

CSIDL 规范化路径名。

关键字

ses.module.original_name

文件的原始名称。

关键字

ses.module.owner

文件的所有者。

关键字

ses.module.parent_name

包含此文件的文件的名称。

关键字

ses.module.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.module.path

文件的完整路径。

关键字

ses.module.product_name

包含该文件的产品名称。

关键字

ses.module.product_path

包含该文件的产品的路径。

关键字

ses.module.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.module.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.module.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.module.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.module.rep_score

文件的声誉分数。

长整型

ses.module.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.module.security_descriptor

对象安全描述符。

关键字

ses.module.sha1

对象内容的 SHA-1 校验和。

关键字

ses.module.sha2

对象内容的 SHA-256 校验和。

关键字

ses.module.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.module.signature_created_date

创建签名时的日期和时间。

日期

ses.module.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.module.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.module.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.module.signature_issuer

对象签名的颁发者。

关键字

ses.module.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.module.signature_serial_number

对象序列号。

关键字

ses.module.signature_value

数字签名位掩码。

长整型

ses.module.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.module.size

对象的大小(以字节为单位)。

长整型

ses.module.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.module.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.module.src_name

文件所在的宿主机的名称。

关键字

ses.module.type_id

文件类型。

关键字

ses.module.type_value

文件类型值。

关键字

ses.module.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.module.url.categories

URL 类别的数组。

关键字

ses.module.url.category_ids

URL 类别的数组。

关键字

ses.module.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.module.url.host

从 URL 中提取的 URL 主机。

关键字

ses.module.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.module.url.parent_categories

父 URL 类别的数组。

关键字

ses.module.url.path

从 URL 中提取的 URL 路径。

关键字

ses.module.url.port

URL 端口。

长整型

ses.module.url.provider

声誉和类别信息的来源。

关键字

ses.module.url.query

URL 的查询部分。

关键字

ses.module.url.referrer

在此之前访问的地址。

关键字

ses.module.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.module.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.module.url.rep_score_id

URL 的声誉分数。

关键字

ses.module.url.scheme

URL 的方案部分。

关键字

ses.module.url.text

URL。

关键字

ses.module.version

文件版本。

关键字

ses.module.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.module_type

模块的类型。

关键字

ses.net_detection_uid

应用程序生成的与此检测事件关联的网络检测事件的唯一标识符。

关键字

ses.num_archives

扫描的存档数量。

长整型

ses.num_detections

检测次数。

长整型

ses.num_errors

存在扫描或修复错误的文件的数量。

长整型

ses.num_files

扫描的文件数量。

长整型

ses.num_folders

扫描的文件夹数量。

长整型

ses.num_network

扫描的网络项目数量。

长整型

ses.num_processes

扫描的进程数量。

长整型

ses.num_registry

扫描的注册表项数量。

长整型

ses.num_resolutions

已解决的项目数量。

长整型

ses.num_skipped

跳过的项目数量。

长整型

ses.num_trusted

受信任的项目数量。

长整型

ses.num_unresolved

扫描到的存在威胁但未解决的项目数量。

长整型

ses.open_mask_id

打开注册表项所需的 Windows 设置。

关键字

ses.open_mode

文件打开的模式:读取 = false,写入 = true。适用于文件打开事件。

布尔型

ses.operation

启动事件的操作系统操作。

关键字

ses.org_unit_uid

组织单元的唯一标识符。

关键字

ses.orig_data

预先规范化的事件数据。

关键字

ses.override_duration

覆盖操作保持有效的分钟数,直到时间到期后恢复。如果未提供,则表示策略强制执行无限期,或直到发生其他策略操作为止。

长整型

ses.parent.app_name

可能与此进程关联的标签,例如,分配给进程的容器沙箱的名称,或者对于登录检测事件,登录应用程序(ssh、telnet、sql server 等)。

关键字

ses.parent.app_uid

可能与此进程关联的应用程序的标识符。

关键字

ses.parent.app_ver

可能与此进程关联的应用程序的版本。

关键字

ses.parent.cmd_line

用于启动启动应用程序、服务、进程或作业的命令行。

关键字

ses.parent.file.accessed

上次访问文件的时间。

日期

ses.parent.file.accessor

上次访问该对象的用户姓名。

关键字

ses.parent.file.attribute_ids

文件属性数组。

关键字

ses.parent.file.attributes

表示文件属性的位掩码值。

长整型

ses.parent.file.company_name

发布该文件的公司名称。

关键字

ses.parent.file.confidentiality_id

文件内容机密性指示符。

关键字

ses.parent.file.content_type.family_id

顶层文件分类。

关键字

ses.parent.file.content_type.subtype

数据类型的特定格式。

关键字

ses.parent.file.content_type.type_id

文件的通用类型。

关键字

ses.parent.file.created

文件创建的时间。

日期

ses.parent.file.creator

创建文件的用户姓名。

关键字

ses.parent.file.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.parent.file.desc

文件系统返回的文件描述。

关键字

ses.parent.file.folder

文件所在的父文件夹。

关键字

ses.parent.file.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.parent.file.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.parent.file.md5

对象内容的 MD5 校验和。

关键字

ses.parent.file.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.parent.file.modified

上次修改文件的时间。

日期

ses.parent.file.modifier

上次修改文件的用户姓名。

关键字

ses.parent.file.name

文件名。

关键字

ses.parent.file.normalized_path

CSIDL 规范化路径名。

关键字

ses.parent.file.original_name

文件的原始名称。

关键字

ses.parent.file.owner

文件的所有者。

关键字

ses.parent.file.parent_name

包含此文件的文件的名称。

关键字

ses.parent.file.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.parent.file.path

文件的完整路径。

关键字

ses.parent.file.product_name

包含该文件的产品名称。

关键字

ses.parent.file.product_path

包含该文件的产品的路径。

关键字

ses.parent.file.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.parent.file.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.parent.file.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.parent.file.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.parent.file.rep_score

文件的声誉分数。

长整型

ses.parent.file.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.parent.file.security_descriptor

对象安全描述符。

关键字

ses.parent.file.sha1

对象内容的 SHA-1 校验和。

关键字

ses.parent.file.sha2

对象内容的 SHA-256 校验和。

关键字

ses.parent.file.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.parent.file.signature_created_date

创建签名时的日期和时间。

日期

ses.parent.file.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.parent.file.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.parent.file.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.parent.file.signature_issuer

对象签名的颁发者。

关键字

ses.parent.file.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.parent.file.signature_serial_number

对象序列号。

关键字

ses.parent.file.signature_value

数字签名位掩码。

长整型

ses.parent.file.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.parent.file.size

对象的大小(以字节为单位)。

长整型

ses.parent.file.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.parent.file.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.parent.file.src_name

文件所在的宿主机的名称。

关键字

ses.parent.file.type_id

文件类型。

关键字

ses.parent.file.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.parent.file.url.categories

URL 类别的数组。

关键字

ses.parent.file.url.category_ids

URL 类别的数组。

关键字

ses.parent.file.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.parent.file.url.host

从 URL 中提取的 URL 主机。

关键字

ses.parent.file.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.parent.file.url.parent_categories

父 URL 类别的数组。

关键字

ses.parent.file.url.path

从 URL 中提取的 URL 路径。

关键字

ses.parent.file.url.port

URL 端口。

长整型

ses.parent.file.url.provider

声誉和类别信息的来源。

关键字

ses.parent.file.url.query

URL 的查询部分。

关键字

ses.parent.file.url.referrer

在此之前访问的地址。

关键字

ses.parent.file.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.parent.file.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.parent.file.url.rep_score_id

URL 的声誉分数。

关键字

ses.parent.file.url.scheme

URL 的方案部分。

关键字

ses.parent.file.url.text

URL。

关键字

ses.parent.file.version

文件版本。

关键字

ses.parent.file.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.parent.integrity_id

进程完整性级别(仅限 Windows)。

关键字

ses.parent.lineage

参与者进程的沿袭。

关键字

ses.parent.loaded_modules

已加载模块名称的列表。

关键字

ses.parent.module.accessed

上次访问文件的时间。

日期

ses.parent.module.accessor

上次访问该对象的用户姓名。

关键字

ses.parent.module.attribute_ids

文件属性数组。

关键字

ses.parent.module.attributes

表示文件属性的位掩码值。

长整型

ses.parent.module.base_address

模块加载到的内存地址。

关键字

ses.parent.module.company_name

发布该文件的公司名称。

关键字

ses.parent.module.confidentiality_id

文件内容机密性指示符。

关键字

ses.parent.module.content_type.family_id

顶层文件分类。

关键字

ses.parent.module.content_type.subtype

数据类型的特定格式。

关键字

ses.parent.module.content_type.type_id

文件的通用类型。

关键字

ses.parent.module.created

创建模块的时间。

日期

ses.parent.module.creator

创建模块的用户姓名。

关键字

ses.parent.module.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.parent.module.desc

文件系统返回的文件描述。

关键字

ses.parent.module.folder

文件所在的父文件夹。

关键字

ses.parent.module.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.parent.module.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.parent.module.load_type

加载类型描述模块在内存中的加载方式。

关键字

ses.parent.module.load_type_id

加载类型标识模块在内存中的加载方式。

关键字

ses.parent.module.md5

对象内容的 MD5 校验和。

关键字

ses.parent.module.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.parent.module.modified

上次修改模块的时间。

日期

ses.parent.module.modifier

上次修改模块的用户姓名。

关键字

ses.parent.module.name

文件名。

关键字

ses.parent.module.normalized_path

CSIDL 规范化路径名。

关键字

ses.parent.module.original_name

文件的原始名称。

关键字

ses.parent.module.owner

文件的所有者。

关键字

ses.parent.module.parent_name

包含此文件的文件的名称。

关键字

ses.parent.module.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.parent.module.path

文件的完整路径。

关键字

ses.parent.module.product_name

包含该文件的产品名称。

关键字

ses.parent.module.product_path

包含该文件的产品的路径。

关键字

ses.parent.module.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.parent.module.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.parent.module.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.parent.module.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.parent.module.rep_score

文件的声誉分数。

长整型

ses.parent.module.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.parent.module.security_descriptor

对象安全描述符。

关键字

ses.parent.module.sha1

对象内容的 SHA-1 校验和。

关键字

ses.parent.module.sha2

对象内容的 SHA-256 校验和。

关键字

ses.parent.module.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.parent.module.signature_created_date

创建签名时的日期和时间。

日期

ses.parent.module.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.parent.module.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.parent.module.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.parent.module.signature_issuer

对象签名的颁发者。

关键字

ses.parent.module.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.parent.module.signature_serial_number

对象序列号。

关键字

ses.parent.module.signature_value

数字签名位掩码。

长整型

ses.parent.module.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.parent.module.size

对象的大小(以字节为单位)。

长整型

ses.parent.module.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.parent.module.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.parent.module.src_name

文件所在的宿主机的名称。

关键字

ses.parent.module.type_id

文件类型。

关键字

ses.parent.module.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.parent.module.url.categories

URL 类别的数组。

关键字

ses.parent.module.url.category_ids

URL 类别的数组。

关键字

ses.parent.module.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.parent.module.url.host

从 URL 中提取的 URL 主机。

关键字

ses.parent.module.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.parent.module.url.parent_categories

父 URL 类别的数组。

关键字

ses.parent.module.url.path

从 URL 中提取的 URL 路径。

关键字

ses.parent.module.url.port

URL 端口。

长整型

ses.parent.module.url.provider

声誉和类别信息的来源。

关键字

ses.parent.module.url.query

URL 的查询部分。

关键字

ses.parent.module.url.referrer

在此之前访问的地址。

关键字

ses.parent.module.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.parent.module.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.parent.module.url.rep_score_id

URL 的声誉分数。

关键字

ses.parent.module.url.scheme

URL 的方案部分。

关键字

ses.parent.module.url.text

URL。

关键字

ses.parent.module.version

文件版本。

关键字

ses.parent.module.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.parent.normalized_cmd_line

用于启动启动应用程序、服务、进程或作业的标准化 CSIDL 命令行(仅限 Windows)。

关键字

ses.parent.pid

操作系统报告的进程标识符。

长整型

ses.parent.sandbox_name

策略为此进程/模块分配的隔离区(沙箱)的名称。

关键字

ses.parent.session.auth_protocol_id

身份验证协议。

关键字

ses.parent.session.cleartext_credentials

指示凭据是否以明文形式传递。注意:如果凭据是通过诸如 FTP 或 TELNET 等明文协议传递的,或者如果 Windows 检测到用户的登录密码以明文形式传递给身份验证包,则为 True。

布尔型

ses.parent.session.direction_id

发起流量的方向。

关键字

ses.parent.session.id

操作系统报告的唯一会话标识符。

关键字

ses.parent.session.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.parent.session.logon_type_id

会话登录的类型。

关键字

ses.parent.session.port

远程会话连接到的端口;仅适用于远程会话。

长整型

ses.parent.session.previous_users

会话中使用的先前用户名列表(按从最近到最早的顺序排列)。

关键字

ses.parent.session.remote

指示会话是否为远程会话。

布尔型

ses.parent.session.remote_host

与远程会话关联的设备的主机名。

关键字

ses.parent.session.remote_ip

与远程会话关联的设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.parent.session.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.parent.session.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.parent.session.user.domain

定义用户的域。

关键字

ses.parent.session.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.parent.session.user.external_uid

用户的外部唯一标识符。

关键字

ses.parent.session.user.full_name

用户的全名。

关键字

ses.parent.session.user.groups

用户所属的管理组。

关键字

ses.parent.session.user.home

用户的起始目录。

关键字

ses.parent.session.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.parent.session.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.parent.session.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.parent.session.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.parent.session.user.shell

用户的登录 Shell。

关键字

ses.parent.session.user.sid

用户安全标识符 (SID)。

关键字

ses.parent.session.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.parent.session_id

启动进程的用户会话 ID。

关键字

ses.parent.start_time

进程启动的时间。

日期

ses.parent.tid

操作系统返回的与事件关联的线程标识符。

长整型

ses.parent.uid

进程的唯一标识符。

关键字

ses.parent.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.parent.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.parent.user.domain

定义用户的域。

关键字

ses.parent.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.parent.user.external_uid

用户的外部唯一标识符。

关键字

ses.parent.user.full_name

用户的全名。

关键字

ses.parent.user.groups

用户所属的管理组。

关键字

ses.parent.user.home

用户的起始目录。

关键字

ses.parent.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.parent.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.parent.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.parent.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.parent.user.shell

用户的登录 Shell。

关键字

ses.parent.user.sid

用户安全标识符 (SID)。

关键字

ses.parent.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.parent.xattributes

表示进程扩展属性的零个或多个名称/值对的无序集合。

扁平化

ses.peripheral_device.class

外围设备的类别。

关键字

ses.peripheral_device.instance_uid

外围设备实例的唯一标识符。

关键字

ses.peripheral_device.model

外围设备型号。

关键字

ses.peripheral_device.name

外围设备的名称。

关键字

ses.peripheral_device.serial

外围设备序列号。

关键字

ses.peripheral_device.vendor

外围设备供应商。

关键字

ses.policy.desc

策略的描述。

关键字

ses.policy.effective_date

特定策略和规则应用并开始生效的日期和时间。

日期

ses.policy.group_desc

策略所属组的描述。

关键字

ses.policy.group_name

策略所属组的名称。

关键字

ses.policy.group_uid

策略所属组的唯一标识符。

关键字

ses.policy.label

为策略设置的标签。

关键字

ses.policy.name

策略的指定名称。

关键字

ses.policy.rule_category_id

触发违规行为的主要规则的类别。

关键字

ses.policy.rule_desc

触发策略事件的主要规则的描述。

关键字

ses.policy.rule_group_desc

描述规则所属组的附加信息。

关键字

ses.policy.rule_group_name

规则所属组的名称。

关键字

ses.policy.rule_group_uid

规则所属组的唯一标识符。

关键字

ses.policy.rule_name

触发策略事件的主要规则的名称。

关键字

ses.policy.rule_uid

触发策略事件的主要规则的唯一标识符。

关键字

ses.policy.rules.category_id

规则的类别。

关键字

ses.policy.rules.desc

规则的描述。

关键字

ses.policy.rules.dlp_type_id

数据丢失防护特定的规则类型。

关键字

ses.policy.rules.name

规则的名称。

关键字

ses.policy.rules.num_violations

违反策略或规则的次数。

长整型

ses.policy.rules.uid

规则的唯一标识符。

关键字

ses.policy.state_ids

与策略相关的状态。

关键字

ses.policy.type_id

策略类型。

关键字

ses.policy.uid

包含生成事件的规则的策略实例的唯一标识符;通常是客户端或特定于应用程序的。

关键字

ses.policy.version

策略版本号。

关键字

ses.prev_location.city

城市名称。

关键字

ses.prev_location.continent

大洲名称。

关键字

ses.prev_location.coordinates

一个包含经度/纬度对的二元素数组。格式符合 GeoJSON。

float

ses.prev_location.country

ISO 3166-1 Alpha-2 国家/地区代码。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2 代码。注意:两个字母的国家/地区代码应大写。

关键字

ses.prev_location.desc

位置的描述。

关键字

ses.prev_location.isp

Internet 服务提供商 (ISP) 的名称。

关键字

ses.prev_location.on_premises

指示位置是否在本地。

布尔型

ses.prev_location.region

标识国家主要行政区划(例如,省或州)的字母数字代码。区域代码在 ISO 3166-2 中定义,长度限制为三个字符。

关键字

ses.prev_security_level_id

实体的先前安全级别。

关键字

ses.prev_security_state_ids

实体的先前安全状态。

关键字

ses.prev_ver

代码、内容、配置或策略的更新前版本。

关键字

ses.priority_id

事件优先级。

关键字

ses.privileges

用户权限。

关键字

ses.process.app_name

可能与此进程关联的标签。

关键字

ses.process.app_uid

可能与此进程关联的应用程序的标识符。

关键字

ses.process.app_ver

可能与此进程关联的应用程序的版本。

关键字

ses.process.cmd_line

用于启动启动应用程序、服务、进程或作业的命令行。

关键字

ses.process.file.accessed

上次访问文件的时间。

日期

ses.process.file.accessor

上次访问该对象的用户姓名。

关键字

ses.process.file.attribute_ids

文件属性数组。

关键字

ses.process.file.attributes

表示文件属性的位掩码值。

长整型

ses.process.file.company_name

发布该文件的公司名称。

关键字

ses.process.file.confidentiality_id

文件内容机密性指示符。

关键字

ses.process.file.content_type.family_id

顶层文件分类。

关键字

ses.process.file.content_type.subtype

数据类型的特定格式。

关键字

ses.process.file.content_type.type_id

文件的通用类型。

关键字

ses.process.file.created

文件创建的时间。

日期

ses.process.file.creator

创建文件的用户姓名。

关键字

ses.process.file.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.process.file.desc

文件系统返回的文件描述。

关键字

ses.process.file.folder

文件所在的父文件夹。

关键字

ses.process.file.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.process.file.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.process.file.md5

对象内容的 MD5 校验和。

关键字

ses.process.file.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.process.file.modified

上次修改文件的时间。

日期

ses.process.file.modifier

上次修改文件的用户姓名。

关键字

ses.process.file.name

文件名。

关键字

ses.process.file.normalized_path

CSIDL 规范化路径名。

关键字

ses.process.file.original_name

文件的原始名称。

关键字

ses.process.file.owner

文件的所有者。

关键字

ses.process.file.parent_name

包含此文件的文件的名称。

关键字

ses.process.file.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.process.file.path

文件的完整路径。

关键字

ses.process.file.product_name

包含该文件的产品名称。

关键字

ses.process.file.product_path

包含该文件的产品的路径。

关键字

ses.process.file.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.process.file.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.process.file.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.process.file.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.process.file.rep_score

文件的声誉分数。

长整型

ses.process.file.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.process.file.security_descriptor

对象安全描述符。

关键字

ses.process.file.sha1

对象内容的 SHA-1 校验和。

关键字

ses.process.file.sha2

对象内容的 SHA-256 校验和。

关键字

ses.process.file.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.process.file.signature_created_date

创建签名时的日期和时间。

日期

ses.process.file.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.process.file.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.process.file.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.process.file.signature_issuer

对象签名的颁发者。

关键字

ses.process.file.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.process.file.signature_serial_number

对象序列号。

关键字

ses.process.file.signature_value

数字签名位掩码。

长整型

ses.process.file.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.process.file.size

对象的大小(以字节为单位)。

长整型

ses.process.file.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.process.file.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.process.file.src_name

文件所在的宿主机的名称。

关键字

ses.process.file.type_id

文件类型。

关键字

ses.process.file.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.process.file.url.categories

URL 类别的数组。

关键字

ses.process.file.url.category_ids

URL 类别的数组。

关键字

ses.process.file.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.process.file.url.host

从 URL 中提取的 URL 主机。

关键字

ses.process.file.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.process.file.url.parent_categories

父 URL 类别的数组。

关键字

ses.process.file.url.path

从 URL 中提取的 URL 路径。

关键字

ses.process.file.url.port

URL 端口。

长整型

ses.process.file.url.provider

声誉和类别信息的来源。

关键字

ses.process.file.url.query

URL 的查询部分。

关键字

ses.process.file.url.referrer

在此之前访问的地址。

关键字

ses.process.file.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.process.file.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.process.file.url.rep_score_id

URL 的声誉分数。

关键字

ses.process.file.url.scheme

URL 的方案部分。

关键字

ses.process.file.url.text

URL。

关键字

ses.process.file.version

文件版本。

关键字

ses.process.file.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.process.integrity_id

进程完整性级别(仅限 Windows)。

关键字

ses.process.lineage

参与者进程的沿袭。

关键字

ses.process.loaded_modules

已加载模块名称的列表。

关键字

ses.process.module.accessed

上次访问文件的时间。

日期

ses.process.module.accessor

上次访问该对象的用户姓名。

关键字

ses.process.module.attribute_ids

文件属性数组。

关键字

ses.process.module.attributes

表示文件属性的位掩码值。

长整型

ses.process.module.base_address

模块加载到的内存地址。

关键字

ses.process.module.company_name

发布该文件的公司名称。

关键字

ses.process.module.confidentiality_id

文件内容机密性指示符。

关键字

ses.process.module.content_type.family_id

顶层文件分类。

关键字

ses.process.module.content_type.subtype

数据类型的特定格式。

关键字

ses.process.module.content_type.type_id

文件的通用类型。

关键字

ses.process.module.created

创建模块的时间。

日期

ses.process.module.creator

创建模块的用户姓名。

关键字

ses.process.module.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.process.module.desc

文件系统返回的文件描述。

关键字

ses.process.module.folder

文件所在的父文件夹。

关键字

ses.process.module.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.process.module.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.process.module.load_type

加载类型描述模块在内存中的加载方式。

关键字

ses.process.module.load_type_id

加载类型标识模块在内存中的加载方式。

关键字

ses.process.module.md5

对象内容的 MD5 校验和。

关键字

ses.process.module.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.process.module.modified

上次修改模块的时间。

日期

ses.process.module.modifier

上次修改模块的用户姓名。

关键字

ses.process.module.name

文件名。

关键字

ses.process.module.normalized_path

CSIDL 规范化路径名。

关键字

ses.process.module.original_name

文件的原始名称。

关键字

ses.process.module.owner

文件的所有者。

关键字

ses.process.module.parent_name

包含此文件的文件的名称。

关键字

ses.process.module.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.process.module.path

文件的完整路径。

关键字

ses.process.module.product_name

包含该文件的产品名称。

关键字

ses.process.module.product_path

包含该文件的产品的路径。

关键字

ses.process.module.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.process.module.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.process.module.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.process.module.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.process.module.rep_score

文件的声誉分数。

长整型

ses.process.module.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.process.module.security_descriptor

对象安全描述符。

关键字

ses.process.module.sha1

对象内容的 SHA-1 校验和。

关键字

ses.process.module.sha2

对象内容的 SHA-256 校验和。

关键字

ses.process.module.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.process.module.signature_created_date

创建签名时的日期和时间。

日期

ses.process.module.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.process.module.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.process.module.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.process.module.signature_issuer

对象签名的颁发者。

关键字

ses.process.module.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.process.module.signature_serial_number

对象序列号。

关键字

ses.process.module.signature_value

数字签名位掩码。

长整型

ses.process.module.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.process.module.size

对象的大小(以字节为单位)。

长整型

ses.process.module.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.process.module.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.process.module.src_name

文件所在的宿主机的名称。

关键字

ses.process.module.type_id

文件类型。

关键字

ses.process.module.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.process.module.url.categories

URL 类别的数组。

关键字

ses.process.module.url.category_ids

URL 类别的数组。

关键字

ses.process.module.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.process.module.url.host

从 URL 中提取的 URL 主机。

关键字

ses.process.module.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.process.module.url.parent_categories

父 URL 类别的数组。

关键字

ses.process.module.url.path

从 URL 中提取的 URL 路径。

关键字

ses.process.module.url.port

URL 端口。

长整型

ses.process.module.url.provider

声誉和类别信息的来源。

关键字

ses.process.module.url.query

URL 的查询部分。

关键字

ses.process.module.url.referrer

在此之前访问的地址。

关键字

ses.process.module.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.process.module.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.process.module.url.rep_score_id

URL 的声誉分数。

关键字

ses.process.module.url.scheme

URL 的方案部分。

关键字

ses.process.module.url.text

URL。

关键字

ses.process.module.version

文件版本。

关键字

ses.process.module.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.process.normalized_cmd_line

用于启动启动应用程序、服务、进程或作业的标准化 CSIDL 命令行(仅限 Windows)。

关键字

ses.process.pid

操作系统报告的进程标识符。

长整型

ses.process.sandbox_name

策略为此进程/模块分配的隔离区(沙箱)的名称。

关键字

ses.process.session.auth_protocol_id

身份验证协议。

关键字

ses.process.session.cleartext_credentials

指示凭据是否以明文方式传递。

布尔型

ses.process.session.direction_id

发起流量的方向。

关键字

ses.process.session.id

操作系统报告的唯一会话标识符。

长整型

ses.process.session.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.process.session.logon_type_id

会话登录的类型。

关键字

ses.process.session.port

远程会话连接到的端口;仅适用于远程会话。

长整型

ses.process.session.previous_users

会话中使用的先前用户名列表(按从最近到最早的顺序排列)。

关键字

ses.process.session.remote

指示会话是否为远程会话。

布尔型

ses.process.session.remote_host

与远程会话关联的设备的主机名。

关键字

ses.process.session.remote_ip

与远程会话关联的设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.process.session.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.process.session.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.process.session.user.domain

定义用户的域。

关键字

ses.process.session.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.process.session.user.external_uid

用户的外部唯一标识符。

关键字

ses.process.session.user.full_name

用户的全名。

关键字

ses.process.session.user.groups

用户所属的管理组。

关键字

ses.process.session.user.home

用户的起始目录。

关键字

ses.process.session.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.process.session.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.process.session.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.process.session.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.process.session.user.shell

用户的登录 Shell。

关键字

ses.process.session.user.sid

用户安全标识符 (SID)。

关键字

ses.process.session.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.process.session_id

启动进程的用户会话 ID。

关键字

ses.process.start_time

进程启动的时间。

日期

ses.process.tid

操作系统返回的与事件关联的线程标识符。

长整型

ses.process.uid

进程的唯一标识符。

关键字

ses.process.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.process.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.process.user.domain

定义用户的域。

关键字

ses.process.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.process.user.external_uid

用户的外部唯一标识符。

关键字

ses.process.user.full_name

用户的全名。

关键字

ses.process.user.groups

用户所属的管理组。

关键字

ses.process.user.home

用户的起始目录。

关键字

ses.process.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.process.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.process.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.process.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.process.user.shell

用户的登录 Shell。

关键字

ses.process.user.sid

用户安全标识符 (SID)。

关键字

ses.process.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.process.xattributes

表示进程扩展属性的零个或多个名称/值对的无序集合。

扁平化

ses.product_data

报告产品特有的事件属性。

扁平化

ses.product_lang

由 ISO 639-1 定义的两个字母的小写语言代码。

关键字

ses.product_name

发起事件的产品名称。

关键字

ses.product_uid

发起事件的产品的唯一标识符。

关键字

ses.product_ver

产品的版本。

关键字

ses.proxy_device_ip

从其他设备收集事件的代理设备的 IP 地址。

IP 地址

ses.proxy_device_name

从其他设备收集事件的代理设备的名称。

关键字

ses.quarantine_uid

如果事件 ID 是以下之一:[12] 已隔离 [13] 已还原,则表示被隔离或从隔离区还原的项目的唯一标识符。

关键字

ses.raw_data

收到的事件数据。

扁平化

ses.reason

检测的原因。

关键字

ses.reason_id

检测的原因。

关键字

ses.recipient

点击时保护电子邮件的地址。

关键字

ses.ref_event

事件源的事件 ID。

长整型

ses.ref_event_name

事件源的事件名称。

关键字

ses.ref_incident_uid

原始事件的唯一标识符。

关键字

ses.ref_log_name

参考事件的日志名称。

关键字

ses.ref_log_time

参考事件的日志时间。

日期

ses.ref_orig_uid

如果适用,与参考事件 ID (ref_uid) 相对应的外部事件的唯一标识符。

关键字

ses.ref_uid

用于记录事件的唯一外部原始消息或事件标识符。

关键字

ses.reg_key.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.reg_key.last_write

上次写入注册表项的时间。

日期

ses.reg_key.path

注册表项的完整路径。

关键字

ses.reg_key.security_descriptor

注册表项的安全描述符。

关键字

ses.reg_key_result.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.reg_key_result.last_write

上次写入注册表项的时间。

日期

ses.reg_key_result.path

注册表项的完整路径。

关键字

ses.reg_key_result.security_descriptor

注册表项的安全描述符。

关键字

ses.reg_value.data

注册表值的数据。

关键字

ses.reg_value.is_default_value

指示该值是否来自默认值名称。例如,值名称可能缺失。

布尔型

ses.reg_value.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.reg_value.last_write

上次写入注册表值的时间。

日期

ses.reg_value.name

注册表值的名称。

关键字

ses.reg_value.path

注册表项的完整路径,值位于其中。

关键字

ses.reg_value.type

值类型的字符串表示形式。

关键字

ses.reg_value.type_id

winnt.h 中定义的 Windows 值类型。

关键字

ses.reg_value_result.data

注册表值的数据。

关键字

ses.reg_value_result.is_default_value

指示该值是否来自默认值名称。

布尔型

ses.reg_value_result.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.reg_value_result.last_write

上次写入注册表值的时间。

日期

ses.reg_value_result.name

注册表值的名称。

关键字

ses.reg_value_result.path

注册表项的完整路径,值位于其中。

关键字

ses.reg_value_result.type

值类型的字符串表示形式。

关键字

ses.reg_value_result.type_id

winnt.h 中定义的 Windows 值类型。

关键字

ses.remediated

指示是否已修复事件。

布尔型

ses.remediation

修复信息。

关键字

ses.remediation_ref

对修复信息的引用。注意:该信息可以是报告产品内部的,也可以是外部的。

关键字

ses.remediation_uid

修复信息的唯一标识符。

关键字

ses.remote_device_name

与远程进程关联的设备名称。

关键字

ses.remote_process.app_name

可能与此进程关联的标签,例如,分配给进程的包含沙盒的名称,或者,对于登录检测事件,则为登录应用程序。

关键字

ses.remote_process.app_uid

可能与此进程关联的应用程序的标识符。

关键字

ses.remote_process.app_ver

可能与此进程关联的应用程序的版本。

关键字

ses.remote_process.cmd_line

用于启动启动应用程序、服务、进程或作业的命令行。

关键字

ses.remote_process.file.accessed

上次访问文件的时间。

日期

ses.remote_process.file.accessor

上次访问该对象的用户姓名。

关键字

ses.remote_process.file.attribute_ids

文件属性数组。

关键字

ses.remote_process.file.attributes

表示文件属性的位掩码值。

长整型

ses.remote_process.file.company_name

发布该文件的公司名称。

关键字

ses.remote_process.file.confidentiality_id

文件内容机密性指示符。

关键字

ses.remote_process.file.content_type.family_id

顶层文件分类。

关键字

ses.remote_process.file.content_type.subtype

数据类型的特定格式。

关键字

ses.remote_process.file.content_type.type_id

文件的通用类型。

关键字

ses.remote_process.file.created

文件创建的时间。

日期

ses.remote_process.file.creator

创建文件的用户姓名。

关键字

ses.remote_process.file.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.remote_process.file.desc

文件系统返回的文件描述。

关键字

ses.remote_process.file.folder

文件所在的父文件夹。

关键字

ses.remote_process.file.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.remote_process.file.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.remote_process.file.md5

对象内容的 MD5 校验和。

关键字

ses.remote_process.file.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.remote_process.file.modified

上次修改文件的时间。

日期

ses.remote_process.file.modifier

上次修改文件的用户姓名。

关键字

ses.remote_process.file.name

文件名。

关键字

ses.remote_process.file.normalized_path

CSIDL 规范化路径名。

关键字

ses.remote_process.file.original_name

文件的原始名称。

关键字

ses.remote_process.file.owner

文件的所有者。

关键字

ses.remote_process.file.parent_name

包含此文件的文件的名称。

关键字

ses.remote_process.file.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.remote_process.file.path

文件的完整路径。

关键字

ses.remote_process.file.product_name

包含该文件的产品名称。

关键字

ses.remote_process.file.product_path

包含该文件的产品的路径。

关键字

ses.remote_process.file.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.remote_process.file.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.remote_process.file.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.remote_process.file.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.remote_process.file.rep_score

文件的声誉分数。

长整型

ses.remote_process.file.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.remote_process.file.security_descriptor

对象安全描述符。

关键字

ses.remote_process.file.sha1

对象内容的 SHA-1 校验和。

关键字

ses.remote_process.file.sha2

对象内容的 SHA-256 校验和。

关键字

ses.remote_process.file.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.remote_process.file.signature_created_date

创建签名时的日期和时间。

日期

ses.remote_process.file.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.remote_process.file.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.remote_process.file.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.remote_process.file.signature_issuer

对象签名的颁发者。

关键字

ses.remote_process.file.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.remote_process.file.signature_serial_number

对象序列号。

关键字

ses.remote_process.file.signature_value

数字签名位掩码。

长整型

ses.remote_process.file.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.remote_process.file.size

对象的大小(以字节为单位)。

长整型

ses.remote_process.file.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.remote_process.file.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.remote_process.file.src_name

文件所在的宿主机的名称。

关键字

ses.remote_process.file.type_id

文件类型。

关键字

ses.remote_process.file.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.remote_process.file.url.categories

URL 类别的数组。

关键字

ses.remote_process.file.url.category_ids

URL 类别的数组。

关键字

ses.remote_process.file.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.remote_process.file.url.host

从 URL 中提取的 URL 主机。

关键字

ses.remote_process.file.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.remote_process.file.url.parent_categories

父 URL 类别的数组。

关键字

ses.remote_process.file.url.path

从 URL 中提取的 URL 路径。

关键字

ses.remote_process.file.url.port

URL 端口。

长整型

ses.remote_process.file.url.provider

声誉和类别信息的来源。

关键字

ses.remote_process.file.url.query

URL 的查询部分。

关键字

ses.remote_process.file.url.referrer

在此之前访问的地址。

关键字

ses.remote_process.file.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.remote_process.file.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.remote_process.file.url.rep_score_id

URL 的声誉分数。

关键字

ses.remote_process.file.url.scheme

URL 的方案部分。

关键字

ses.remote_process.file.url.text

URL。

关键字

ses.remote_process.file.version

文件版本。

关键字

ses.remote_process.file.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.remote_process.integrity_id

进程完整性级别(仅限 Windows)。

关键字

ses.remote_process.lineage

参与者进程的沿袭。

关键字

ses.remote_process.loaded_modules

已加载模块名称的列表。

关键字

ses.remote_process.module.accessed

上次访问文件的时间。

日期

ses.remote_process.module.accessor

上次访问该对象的用户姓名。

关键字

ses.remote_process.module.attribute_ids

文件属性数组。

关键字

ses.remote_process.module.attributes

表示文件属性的位掩码值。

长整型

ses.remote_process.module.base_address

模块加载到的内存地址。

关键字

ses.remote_process.module.company_name

发布该文件的公司名称。

关键字

ses.remote_process.module.confidentiality_id

文件内容机密性指示符。

关键字

ses.remote_process.module.content_type.family_id

顶层文件分类。

关键字

ses.remote_process.module.content_type.subtype

数据类型的特定格式。

关键字

ses.remote_process.module.content_type.type_id

文件的通用类型。

关键字

ses.remote_process.module.created

创建模块的时间。

日期

ses.remote_process.module.creator

创建模块的用户姓名。

关键字

ses.remote_process.module.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.remote_process.module.desc

文件系统返回的文件描述。

关键字

ses.remote_process.module.folder

文件所在的父文件夹。

关键字

ses.remote_process.module.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.remote_process.module.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.remote_process.module.load_type

加载类型描述模块在内存中的加载方式。

关键字

ses.remote_process.module.load_type_id

加载类型标识模块在内存中的加载方式。

关键字

ses.remote_process.module.md5

对象内容的 MD5 校验和。

关键字

ses.remote_process.module.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.remote_process.module.modified

上次修改模块的时间。

日期

ses.remote_process.module.modifier

上次修改模块的用户姓名。

关键字

ses.remote_process.module.name

文件名。

关键字

ses.remote_process.module.normalized_path

CSIDL 规范化路径名。

关键字

ses.remote_process.module.original_name

文件的原始名称。

关键字

ses.remote_process.module.owner

文件的所有者。

关键字

ses.remote_process.module.parent_name

包含此文件的文件的名称。

关键字

ses.remote_process.module.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.remote_process.module.path

文件的完整路径。

关键字

ses.remote_process.module.product_name

包含该文件的产品名称。

关键字

ses.remote_process.module.product_path

包含该文件的产品的路径。

关键字

ses.remote_process.module.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.remote_process.module.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.remote_process.module.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.remote_process.module.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.remote_process.module.rep_score

文件的声誉分数。

长整型

ses.remote_process.module.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.remote_process.module.security_descriptor

对象安全描述符。

关键字

ses.remote_process.module.sha1

对象内容的 SHA-1 校验和。

关键字

ses.remote_process.module.sha2

对象内容的 SHA-256 校验和。

关键字

ses.remote_process.module.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.remote_process.module.signature_created_date

创建签名时的日期和时间。

日期

ses.remote_process.module.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.remote_process.module.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.remote_process.module.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.remote_process.module.signature_issuer

对象签名的颁发者。

关键字

ses.remote_process.module.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.remote_process.module.signature_serial_number

对象序列号。

关键字

ses.remote_process.module.signature_value

数字签名位掩码。

长整型

ses.remote_process.module.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.remote_process.module.size

对象的大小(以字节为单位)。

长整型

ses.remote_process.module.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.remote_process.module.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.remote_process.module.src_name

文件所在的宿主机的名称。

关键字

ses.remote_process.module.type_id

文件类型。

关键字

ses.remote_process.module.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.remote_process.module.url.categories

URL 类别的数组。

关键字

ses.remote_process.module.url.category_ids

URL 类别的数组。

关键字

ses.remote_process.module.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.remote_process.module.url.host

从 URL 中提取的 URL 主机。

关键字

ses.remote_process.module.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.remote_process.module.url.parent_categories

父 URL 类别的数组。

关键字

ses.remote_process.module.url.path

从 URL 中提取的 URL 路径。

关键字

ses.remote_process.module.url.port

URL 端口。

长整型

ses.remote_process.module.url.provider

声誉和类别信息的来源。

关键字

ses.remote_process.module.url.query

URL 的查询部分。

关键字

ses.remote_process.module.url.referrer

在此之前访问的地址。

关键字

ses.remote_process.module.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.remote_process.module.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.remote_process.module.url.rep_score_id

URL 的声誉分数。

关键字

ses.remote_process.module.url.scheme

URL 的方案部分。

关键字

ses.remote_process.module.url.text

URL。

关键字

ses.remote_process.module.version

文件版本。

关键字

ses.remote_process.module.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.remote_process.normalized_cmd_line

用于启动启动应用程序、服务、进程或作业的标准化 CSIDL 命令行(仅限 Windows)。

关键字

ses.remote_process.pid

操作系统报告的进程标识符。

长整型

ses.remote_process.sandbox_name

策略为此进程/模块分配的隔离区(沙箱)的名称。

关键字

ses.remote_process.session.auth_protocol_id

身份验证协议。

关键字

ses.remote_process.session.cleartext_credentials

指示凭据是否以明文形式传递。注意:如果凭据是通过诸如 FTP 或 TELNET 等明文协议传递的,或者如果 Windows 检测到用户的登录密码以明文形式传递给身份验证包,则为 True。

布尔型

ses.remote_process.session.direction_id

发起流量的方向。

关键字

ses.remote_process.session.id

操作系统报告的唯一会话标识符。

长整型

ses.remote_process.session.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.remote_process.session.logon_type_id

会话登录的类型。

关键字

ses.remote_process.session.port

远程会话连接到的端口;仅适用于远程会话。

长整型

ses.remote_process.session.previous_users

会话中使用的先前用户名列表(按从最近到最早的顺序排列)。

关键字

ses.remote_process.session.remote

指示会话是否为远程会话。

布尔型

ses.remote_process.session.remote_host

与远程会话关联的设备的主机名。

关键字

ses.remote_process.session.remote_ip

与远程会话关联的设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.remote_process.session.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.remote_process.session.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.remote_process.session.user.domain

定义用户的域。

关键字

ses.remote_process.session.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.remote_process.session.user.external_uid

用户的外部唯一标识符。

关键字

ses.remote_process.session.user.full_name

用户的全名。

关键字

ses.remote_process.session.user.groups

用户所属的管理组。

关键字

ses.remote_process.session.user.home

用户的起始目录。

关键字

ses.remote_process.session.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.remote_process.session.user.logon_name

与事件关联的已验证主体的名称。如果事件源自计算机上的某个功能,则 logon_name 是该软件功能运行所使用的用户的名称,例如“root”或“admin”。如果事件源自移动设备,则 logon_name 是操作系统报告的用户名。

关键字

ses.remote_process.session.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.remote_process.session.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.remote_process.session.user.shell

用户的登录 Shell。

关键字

ses.remote_process.session.user.sid

用户安全标识符 (SID)。

关键字

ses.remote_process.session.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.remote_process.session_id

启动进程的用户会话 ID。

关键字

ses.remote_process.start_time

进程启动的时间。

日期

ses.remote_process.tid

操作系统返回的与事件关联的线程标识符。

长整型

ses.remote_process.uid

进程的唯一标识符。

关键字

ses.remote_process.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.remote_process.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.remote_process.user.domain

定义用户的域。

关键字

ses.remote_process.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.remote_process.user.external_uid

用户的外部唯一标识符。

关键字

ses.remote_process.user.full_name

用户的全名。

关键字

ses.remote_process.user.groups

用户所属的管理组。

关键字

ses.remote_process.user.home

用户的起始目录。

关键字

ses.remote_process.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.remote_process.user.logon_name

与事件关联的已验证主体的名称。如果事件源自计算机上的某个功能,则 logon_name 是该软件功能运行所使用的用户的名称,例如“root”或“admin”。如果事件源自移动设备,则 logon_name 是操作系统报告的用户名。

关键字

ses.remote_process.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.remote_process.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.remote_process.user.shell

用户的登录 Shell。

关键字

ses.remote_process.user.sid

用户安全标识符 (SID)。

关键字

ses.remote_process.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.remote_process.xattributes

表示进程扩展属性的零个或多个名称/值对的无序集合。

扁平化

ses.request_uid

请求的唯一标识符。

关键字

ses.requested_permissions

执行者进程请求的权限。

长整型

ses.resolution_id

事件解决方式。

关键字

ses.resolution_value

事件解决方式值。

关键字

ses.resource

目标资源。

关键字

ses.restart_required

设备需要重新启动才能完成“id”字段中标识的处置。

布尔型

ses.risk_ref_value

反恶意软件扫描接口 (AMSI) 风险级别。

长整型

ses.rule_criteria_target

规则条件的目标。

关键字

ses.rule_name

触发事件的规则。

关键字

ses.scan_end

扫描结束的时间。

日期

ses.scan_name

管理员提供的或应用程序生成的扫描名称。

关键字

ses.scan_start

扫描开始的时间。

日期

ses.scan_type_id

扫描的类型。

关键字

ses.scan_type_value

扫描的类型值。

关键字

ses.scan_uid

此扫描的标识符。

关键字

ses.schedule_uid

与此扫描事件关联的计划标识符;如果扫描是由计划启动的,则为必填项。

关键字

ses.sender_ip

发送方的 IP 地址,采用 IPv4 或 IPv6 格式。

IP 地址

ses.seq_num

一个 32 位正数,指示客户端发送的事件顺序。

长整型

ses.session.auth_protocol_id

身份验证协议。

关键字

ses.session.auth_protocol_value

身份验证协议值。

关键字

ses.session.cleartext_credentials

指示凭据是否以明文形式传递。注意:如果凭据是通过诸如 FTP 或 TELNET 等明文协议传递的,或者如果 Windows 检测到用户的登录密码以明文形式传递给身份验证包,则为 True。

布尔型

ses.session.direction_id

发起流量的方向。

关键字

ses.session.id

操作系统报告的唯一会话标识符。

长整型

ses.session.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.session.logon_type_id

会话登录的类型。

关键字

ses.session.port

远程会话连接到的端口;仅适用于远程会话。

长整型

ses.session.previous_users

会话中使用的先前用户名列表(按从最近到最早的顺序排列)。

关键字

ses.session.remote

指示会话是否为远程会话。

布尔型

ses.session.remote_host

与远程会话关联的设备的主机名。

关键字

ses.session.remote_ip

与远程会话关联的设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.session.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.session.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.session.user.domain

定义用户的域。

关键字

ses.session.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.session.user.external_uid

用户的外部唯一标识符。

关键字

ses.session.user.full_name

用户的全名。

关键字

ses.session.user.groups

用户所属的管理组。

关键字

ses.session.user.home

用户的起始目录。

关键字

ses.session.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.session.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.session.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.session.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.session.user.shell

用户的登录 Shell。

关键字

ses.session.user.sid

用户安全标识符 (SID)。

关键字

ses.session.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.session_id

执行替代操作的用户会话 ID(仅限 Windows)。

关键字

ses.session_uid

与事件相关的用户会话的唯一 ID。

关键字

ses.sessions.auth_protocol_id

身份验证协议。

关键字

ses.sessions.cleartext_credentials

指示凭据是否以明文形式传递。注意:如果凭据是通过诸如 FTP 或 TELNET 等明文协议传递的,或者如果 Windows 检测到用户的登录密码以明文形式传递给身份验证包,则为 True。

布尔型

ses.sessions.direction_id

发起流量的方向。

关键字

ses.sessions.id

操作系统报告的唯一会话标识符。

长整型

ses.sessions.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.sessions.logon_type_id

会话登录的类型。

关键字

ses.sessions.port

远程会话连接到的端口;仅适用于远程会话。

长整型

ses.sessions.previous_users

会话中使用的先前用户名列表(按从最近到最早的顺序排列)。

关键字

ses.sessions.remote

指示会话是否为远程会话。

布尔型

ses.sessions.remote_host

与远程会话关联的设备的主机名。

关键字

ses.sessions.remote_ip

与远程会话关联的设备的 IP 地址。格式为 IPv4 或 IPv6。

IP 地址

ses.sessions.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.sessions.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.sessions.user.domain

定义用户的域。

关键字

ses.sessions.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.sessions.user.external_uid

用户的外部唯一标识符。

关键字

ses.sessions.user.full_name

用户的全名。

关键字

ses.sessions.user.groups

用户所属的管理组。

关键字

ses.sessions.user.home

用户的起始目录。

关键字

ses.sessions.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.sessions.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.sessions.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.sessions.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.sessions.user.shell

用户的登录 Shell。

关键字

ses.sessions.user.sid

用户安全标识符 (SID)。

关键字

ses.sessions.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.severity_id

事件的严重性。

关键字

ses.severity_value

事件的严重性值。

关键字

ses.source.facility

提供事件数据的子系统或应用程序。

关键字

ses.source.facility_detail

有关源设施的其他详细信息。例如,详细信息可以包括特定应用程序实例的名称(例如数据库名称)或受监视的日志文件的路径。

关键字

ses.source.facility_uid

设施的唯一标识符。

关键字

ses.source.type_id

从中派生事件的源的类型。

关键字

ses.startup_app.cmd_line

用于启动启动应用程序、服务、进程或作业的命令行。

关键字

ses.startup_app.desc

启动应用程序的描述。

关键字

ses.startup_app.device_os_integrity_protection

操作系统完整性保护状态。

布尔型

ses.startup_app.file.accessed

上次访问文件的时间。

日期

ses.startup_app.file.accessor

上次访问该对象的用户姓名。

关键字

ses.startup_app.file.attribute_ids

文件属性数组。

关键字

ses.startup_app.file.attributes

表示文件属性的位掩码值。

长整型

ses.startup_app.file.company_name

发布该文件的公司名称。

关键字

ses.startup_app.file.confidentiality_id

文件内容机密性指示符。

关键字

ses.startup_app.file.content_type.family_id

顶层文件分类。

关键字

ses.startup_app.file.content_type.subtype

数据类型的特定格式。

关键字

ses.startup_app.file.content_type.type_id

文件的通用类型。

关键字

ses.startup_app.file.created

文件创建的时间。

日期

ses.startup_app.file.creator

创建文件的用户姓名。

关键字

ses.startup_app.file.creator_process

创建(或下载)文件或模块的进程名称。

关键字

ses.startup_app.file.desc

文件系统返回的文件描述。

关键字

ses.startup_app.file.folder

文件所在的父文件夹。

关键字

ses.startup_app.file.folder_uid

文件所在的文件夹的唯一标识符。

关键字

ses.startup_app.file.is_system

指示对象是否是操作系统的一部分。

布尔型

ses.startup_app.file.md5

对象内容的 MD5 校验和。

关键字

ses.startup_app.file.mime_type

文件的多用途互联网邮件扩展 (MIME) 类型(如果适用)。

关键字

ses.startup_app.file.modified

上次修改文件的时间。

日期

ses.startup_app.file.modifier

上次修改文件的用户姓名。

关键字

ses.startup_app.file.name

文件名。

关键字

ses.startup_app.file.normalized_path

CSIDL 规范化路径名。

关键字

ses.startup_app.file.original_name

文件的原始名称。

关键字

ses.startup_app.file.owner

文件的所有者。

关键字

ses.startup_app.file.parent_name

包含此文件的文件的名称。

关键字

ses.startup_app.file.parent_sha2

父文件的 SHA-256 校验和。

关键字

ses.startup_app.file.path

文件的完整路径。

关键字

ses.startup_app.file.product_name

包含该文件的产品名称。

关键字

ses.startup_app.file.product_path

包含该文件的产品的路径。

关键字

ses.startup_app.file.rep_discovered_band

发现模糊带编号,表示自发现以来的天数。

长整型

ses.startup_app.file.rep_discovered_date

声誉文件或 URL 的赛门铁克发现日期。

日期

ses.startup_app.file.rep_prevalence

文件声誉流行度,由声誉查询提供。

长整型

ses.startup_app.file.rep_prevalence_band

文件声誉流行度模糊带编号。

长整型

ses.startup_app.file.rep_score

文件的声誉分数。

长整型

ses.startup_app.file.rep_score_band

文件声誉分数模糊带编号。

长整型

ses.startup_app.file.security_descriptor

对象安全描述符。

关键字

ses.startup_app.file.sha1

对象内容的 SHA-1 校验和。

关键字

ses.startup_app.file.sha2

对象内容的 SHA-256 校验和。

关键字

ses.startup_app.file.signature_company_name

签署文件的证书上的公司名称。

关键字

ses.startup_app.file.signature_created_date

创建签名时的日期和时间。

日期

ses.startup_app.file.signature_developer_uid

签署文件的证书上的开发人员 ID。

关键字

ses.startup_app.file.signature_fingerprints.algorithm

用于创建指纹的算法。

关键字

ses.startup_app.file.signature_fingerprints.value

指纹值。注意:提交格式为小写字符串。

关键字

ses.startup_app.file.signature_issuer

对象签名的颁发者。

关键字

ses.startup_app.file.signature_level_id

签名级别的数字表示形式。签名级别由 STAR 定义。

关键字

ses.startup_app.file.signature_serial_number

对象序列号。

关键字

ses.startup_app.file.signature_value

数字签名位掩码。

长整型

ses.startup_app.file.signature_value_ids

从签名位导出的签名值数组。

关键字

ses.startup_app.file.size

对象的大小(以字节为单位)。

长整型

ses.startup_app.file.size_compressed

对象的压缩大小(以字节为单位)。

长整型

ses.startup_app.file.src_ip

文件所在的宿主机的 IP 地址。

IP 地址

ses.startup_app.file.src_name

文件所在的宿主机的名称。

关键字

ses.startup_app.file.type_id

文件类型。

关键字

ses.startup_app.file.uid

存储系统(例如文件系统文件 ID)定义的文件的唯一标识符。

关键字

ses.startup_app.file.url.categories

URL 类别的数组。

关键字

ses.startup_app.file.url.category_ids

URL 类别的数组。

关键字

ses.startup_app.file.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.startup_app.file.url.host

从 URL 中提取的 URL 主机。

关键字

ses.startup_app.file.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.startup_app.file.url.parent_categories

父 URL 类别的数组。

关键字

ses.startup_app.file.url.path

从 URL 中提取的 URL 路径。

关键字

ses.startup_app.file.url.port

URL 端口。

长整型

ses.startup_app.file.url.provider

声誉和类别信息的来源。

关键字

ses.startup_app.file.url.query

URL 的查询部分。

关键字

ses.startup_app.file.url.referrer

在此之前访问的地址。

关键字

ses.startup_app.file.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.startup_app.file.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.startup_app.file.url.rep_score_id

URL 的声誉分数。

关键字

ses.startup_app.file.url.scheme

URL 的方案部分。

关键字

ses.startup_app.file.url.text

URL。

关键字

ses.startup_app.file.version

文件版本。

关键字

ses.startup_app.file.xattributes

零个或多个名称/值对的无序集合,其中每对表示文件或目录扩展属性。

扁平化

ses.startup_app.name

启动应用程序的唯一名称。

关键字

ses.startup_app.normalized_cmd_line

用于启动启动应用程序、服务、进程或作业的标准化 CSIDL 命令行(仅限 Windows)。

关键字

ses.startup_app.run_state_id

服务状态。

关键字

ses.startup_app.start_id

服务或启动应用程序的启动类型。

关键字

ses.startup_app.subtype_ids

类别标识符数组。

关键字

ses.startup_app.subtypes

类别标识符数组。

关键字

ses.startup_app.type_ids

启动应用程序类型标识符。

关键字

ses.startup_app.vendor

签署系统扩展的供应商的 ID。

关键字

ses.state_id

事件状态。

关键字

ses.state_value

事件状态值。

关键字

ses.status_detail

状态详细信息。

关键字

ses.status_exception

操作系统异常消息。

关键字

ses.status_id

跨平台事件状态。

关键字

ses.status_os

操作系统结果代码。

关键字

ses.status_os_src

指示为请求的操作返回给应用程序的操作系统代码 (status_os) 是由操作系统 (0) 返回还是由安全产品 (1) 生成。

长整型

ses.status_stack_trace

引发异常时应用程序正在执行的调用列表。

关键字

ses.status_thread_name

与状态相关的线程的名称。

关键字

ses.status_value

跨平台事件状态值。

关键字

ses.stic_has_pii

指示事件是否包含任何个人身份信息 (PII)。

布尔型

ses.stic_hw_uid

设备硬件 ID。

关键字

ses.stic_ip_hash

IP 地址的 STIC 哈希。

关键字

ses.stic_legacy_ent_uids

与设备关联的企业 ID(与许可证授权相关)列表。

关键字

ses.stic_legacy_hw_uids

与设备关联的硬件 ID 列表。

关键字

ses.stic_legacy_uids

与设备关联的计算机 ID 列表。

关键字

ses.stic_schema_id

遥测提交控制数据标识符,表示为 8 字节十六进制字符串。

关键字

ses.stic_uid

设备机器 ID。

关键字

ses.stic_version

STIC 库的版本。

关键字

ses.subfeature_name

发起事件的子功能名称。

关键字

ses.summary

最初使用生成式 AI 技术生成的事件摘要。

关键字

ses.suspected_breach

是否怀疑发生违规的指示。

布尔型

ses.target

目标是操作的对象。

扁平化

ses.target_name

目标名称。

关键字

ses.threat.classification

威胁分类。

关键字

ses.threat.classification_ids

威胁分类数组。

关键字

ses.threat.cve_uid

通用漏洞和暴露 (CVE) 标识符。

关键字

ses.threat.id

检测引擎报告的威胁标识符;例如,病毒 ID 或 IPS 签名 ID。

长整型

ses.threat.name

检测引擎报告的威胁名称。

关键字

ses.threat.provider

声誉和类别信息的来源。

关键字

ses.threat.risk_id

由 Foresight 策略定义的威胁的累积风险评级。

关键字

ses.threat.risk_value

由 Foresight 策略定义的威胁的累积风险评级值。

关键字

ses.threat.sub_id

检测引擎报告的威胁子标识符。

关键字

ses.threat.type_id

检测引擎报告的威胁类型。

关键字

ses.threat.type_value

检测引擎报告的威胁类型值。

关键字

ses.threats.classification

威胁分类。

关键字

ses.threats.classification_ids

威胁分类数组。

关键字

ses.threats.cve_uid

通用漏洞和暴露 (CVE) 标识符。

关键字

ses.threats.id

检测引擎报告的威胁标识符;例如,病毒 ID 或 IPS 签名 ID。

长整型

ses.threats.name

检测引擎报告的威胁名称。

关键字

ses.threats.provider

声誉和类别信息的来源。

关键字

ses.threats.risk_id

由 Foresight 策略定义的威胁的累积风险评级。

关键字

ses.threats.sub_id

检测引擎报告的威胁子标识符。

关键字

ses.threats.type_id

检测引擎报告的威胁类型。

关键字

ses.time

调整到服务器时钟的事件发生时间(设备时间)。

日期

ses.timezone

返回一个 Long 值,表示此时间区域中的本地时间与协调世界时 (UTC) 之间的分钟差值。

长整型

ses.total

已扫描的项目总数;如果未扫描任何项目,则为零。除 START 事件外,所有事件都必需此项。

长整型

ses.type

事件类型。

关键字

ses.type_id

事件类型 ID。

关键字

ses.url.categories

URL 类别的数组。

关键字

ses.url.category_ids

URL 类别的数组。

关键字

ses.url.extension

从原始请求的 URL 中提取的文档扩展名。

关键字

ses.url.host

从 URL 中提取的 URL 主机。

关键字

ses.url.method

URL 请求中使用的 HTTP 方法。

关键字

ses.url.parent_categories

父 URL 类别的数组。

关键字

ses.url.path

从 URL 中提取的 URL 路径。

关键字

ses.url.port

URL 端口。

长整型

ses.url.provider

声誉和类别信息的来源。

关键字

ses.url.query

URL 的查询部分。

关键字

ses.url.referrer

在此之前访问的地址。

关键字

ses.url.referrer_categories

Referrer 标头 URL 的所有内容类别。

关键字

ses.url.referrer_category_ids

Referrer URL 类别 ID 数组。

关键字

ses.url.rep_score_id

URL 的声誉分数。

关键字

ses.url.scheme

URL 的方案部分。

关键字

ses.url.text

URL。

关键字

ses.user.account_disabled

指示用户的帐户是否已禁用。

布尔型

ses.user.cloud_resource_uid

此用户的云资源唯一标识符。

关键字

ses.user.domain

定义用户的域。

关键字

ses.user.external_account_uid

用户的外部帐户唯一标识符。

关键字

ses.user.external_uid

用户的外部唯一标识符。

关键字

ses.user.full_name

用户的全名。

关键字

ses.user.groups

用户所属的管理组。

关键字

ses.user.home

用户的起始目录。

关键字

ses.user.is_admin

指示用户或用户会话是否为管理员/root。

布尔型

ses.user.logon_name

与事件关联的经过身份验证的主体的名称。

关键字

ses.user.name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.user.password_expires

指示是否配置用户的密码过期。

布尔型

ses.user.shell

用户的登录 Shell。

关键字

ses.user.sid

用户安全标识符 (SID)。

关键字

ses.user.uid

与事件关联的用户的唯一标识符。

关键字

ses.user_name

发起或导致事件的用户的名称(如果事件涉及用户),或代表其发生事件的用户的名称。

关键字

ses.user_uid

与事件关联的用户的唯一标识符。

关键字

ses.uuid

系统分配的事件发生唯一标识符。

关键字

ses.verdict_id

扫描的结果。

关键字

ses.verdict_value

扫描的结果值。

关键字

ses.version

事件类型版本,格式为 major.minor。

关键字

事件

编辑

这是 Incident 数据集。

示例

一个 incident 的示例事件如下所示

{
    "@timestamp": "2023-04-26T21:46:10.400Z",
    "agent": {
        "ephemeral_id": "d020ce5f-a051-44f6-9381-6690b0aeb6ae",
        "id": "6959e46f-8a34-4f03-83ab-616183948946",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "symantec_endpoint_security.incident",
        "namespace": "83934",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "6959e46f-8a34-4f03-83ab-616183948946",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "malware"
        ],
        "created": "2023-04-26T21:46:10.400Z",
        "dataset": "symantec_endpoint_security.incident",
        "id": "8e7edfb1-27d2-4837-98ca-e7d794119c3b",
        "ingested": "2024-07-23T06:59:56Z",
        "kind": "alert",
        "original": "{\"category_id\":1,\"conclusion\":\"Suspicious Activity\",\"created\":\"2023-04-26T21:46:10.400+00:00\",\"customer_uid\":\"TEST-JvOsaJktSS-eyL-dXhxOvA\",\"detection_type\":\"Advanced Analytics\",\"device_time\":1682545570400,\"domain_uid\":\"TEST-ZBg_IqnyTAijNjP2BOOcuw\",\"event_id\":8075004,\"id\":4,\"incident_uid\":\"8e7edfb1-27d2-4837-98ca-e7d794119c3b\",\"incident_url\":\"https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details\",\"message\":\"Victim-2:Signed Binary Proxy Execution, Deobfuscate/Decode Files or Information, Command and Scripting Interpreter: PowerShell, System Services: Service Execution\",\"modified\":\"2023-04-26T22:01:58.648+00:00\",\"priority_id\":4,\"product_name\":\"Symantec Integrated Cyber Defense Manager\",\"product_uid\":\"31B0C880-0229-49E8-94C5-48D56B1BD7B9\",\"ref_incident_uid\":102110,\"remediation\":\"Investigate further activity at the endpoint by downloading a full dump of the endpoint's recorded data. Give particular attention to activities performed by cmd.exe.\",\"resolution_id\":1,\"rule_name\":\"Advanced Attack Technique\",\"severity_id\":4,\"state_id\":1,\"suspected_breach\":\"Yes\",\"time\":1682545570400,\"type\":\"INCIDENT_CREATION\",\"type_id\":8075,\"version\":\"1.0\"}",
        "provider": "Symantec Integrated Cyber Defense Manager",
        "reason": "Suspicious Activity",
        "severity": 4,
        "type": [
            "info"
        ],
        "url": "https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details"
    },
    "http": {
        "version": "1.0"
    },
    "input": {
        "type": "cel"
    },
    "message": "Victim-2:Signed Binary Proxy Execution, Deobfuscate/Decode Files or Information, Command and Scripting Interpreter: PowerShell, System Services: Service Execution",
    "rule": {
        "name": "Advanced Attack Technique"
    },
    "ses": {
        "incident": {
            "category": "Security",
            "category_id": "1",
            "conclusion": "Suspicious Activity",
            "created": "2023-04-26T21:46:10.400Z",
            "customer_uid": "TEST-JvOsaJktSS-eyL-dXhxOvA",
            "detection_type": "Advanced Analytics",
            "device_time": "2023-04-26T21:46:10.400Z",
            "domain_uid": "TEST-ZBg_IqnyTAijNjP2BOOcuw",
            "event": "Incident Creation: Logged",
            "event_id": "8075004",
            "id": "4",
            "incident_uid": "8e7edfb1-27d2-4837-98ca-e7d794119c3b",
            "incident_url": "https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details",
            "message": "Victim-2:Signed Binary Proxy Execution, Deobfuscate/Decode Files or Information, Command and Scripting Interpreter: PowerShell, System Services: Service Execution",
            "modified": "2023-04-26T22:01:58.648Z",
            "outcome": "Logged",
            "priority": "Critical",
            "priority_id": "4",
            "product_name": "Symantec Integrated Cyber Defense Manager",
            "product_uid": "31B0C880-0229-49E8-94C5-48D56B1BD7B9",
            "ref_incident_uid": "102110",
            "remediation": "Investigate further activity at the endpoint by downloading a full dump of the endpoint's recorded data. Give particular attention to activities performed by cmd.exe.",
            "resolution": "Insufficient data",
            "resolution_id": "1",
            "rule_name": "Advanced Attack Technique",
            "severity": "Major",
            "severity_id": 4,
            "state": "New",
            "state_id": "1",
            "suspected_breach": true,
            "time": "2023-04-26T21:46:10.400Z",
            "type": "INCIDENT_CREATION",
            "type_id": "8075",
            "version": "1.0"
        }
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "ses-incident"
    ],
    "url": {
        "domain": "sep.securitycloud.symantec.com",
        "original": "https://sep.securitycloud.symantec.com/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details",
        "path": "/v2/incidents/incidentListing/8e7edfb1-27d2-4837-98ca-e7d794119c3b/details",
        "scheme": "https"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.dataset

事件数据集。

常量关键字

event.module

事件模块。

常量关键字

input.type

Filebeat 输入的类型。

关键字

log.offset

日志偏移量。

长整型

ses.incident.category

关键字

ses.incident.category_id

事件类型类别。

关键字

ses.incident.conclusion

关键字

ses.incident.created

事件的创建时间,采用 ISO 8601 格式。

日期

ses.incident.customer_uid

客户 ID。

关键字

ses.incident.detection_type

关键字

ses.incident.device_time

事件发生在设备上的时间。

日期

ses.incident.domain_uid

域 ID。

关键字

ses.incident.event

关键字

ses.incident.event_id

标识语义、结构和结果的 ID。

关键字

ses.incident.id

事件的结果。

关键字

ses.incident.incident_uid

此事件的唯一标识符。

关键字

ses.incident.incident_url

指向此事件详细信息的 ICDM 控制台的 URL。

关键字

ses.incident.log_time

日期

ses.incident.message

关键字

ses.incident.modified

日期

ses.incident.outcome

关键字

ses.incident.priority

关键字

ses.incident.priority_id

关键字

ses.incident.product_name

发起事件的产品名称。

关键字

ses.incident.product_uid

发起事件的产品的唯一标识符。

关键字

ses.incident.ref_incident_uid

此 incident_uid 的用户友好 ID。

关键字

ses.incident.remediation

建议的操作。

关键字

ses.incident.resolution

关键字

ses.incident.resolution_id

关键字

ses.incident.rule_name

触发事件的规则。

关键字

ses.incident.severity

关键字

ses.incident.severity_id

长整型

ses.incident.state

关键字

ses.incident.state_id

关键字

ses.incident.suspected_breach

布尔型

ses.incident.time

事件发生时间。

日期

ses.incident.type

事件类型。

关键字

ses.incident.type_id

关键字

ses.incident.version

API 版本,格式为 major.minor。

关键字

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.4.0

增强 (查看拉取请求)
不要在主摄取管道中删除 event.original

8.13.0 或更高版本

1.3.0

增强 (查看拉取请求)
将“preserve_original_event”标记添加到 event.kind 设置为“pipeline_error”的文档中。

8.13.0 或更高版本

1.2.1

错误修复 (查看拉取请求)
修复 ses.device_name 到 ECS 字段的映射。

8.13.0 或更高版本

1.2.0

增强 (查看拉取请求)
增加了对 Azure Blob Storage 输入的支持,并相应地更新了文档和字段映射。

8.13.0 或更高版本

1.0.1

错误修复 (查看拉取请求)
在摄取管道中引用变量时,请使用三括号 Mustache 模板。

8.13.0 或更高版本

1.0.0

增强 (查看拉取请求)
将软件包作为 GA 发布。

8.13.0 或更高版本

0.3.2

错误修复 (查看拉取请求)
处理 null 值情况。

0.3.1

错误修复 (查看拉取请求)
改进标量 raw_data 字段值的处理。

0.3.0

增强 (查看拉取请求)
将 Symantec EDR Cloud 合并到 Symantec Endpoint Security 中。

0.2.0

增强 (查看拉取请求)
删除了 import_mappings。将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使其冗余的 ECS 字段。

0.1.0

增强 (查看拉取请求)
初始版本。

« 赛门铁克端点保护集成 适用于 Linux 的 Sysmon 集成 »