事件偵測類型和說明

Open/Close Topics Navigation

Product Menu

Topics

事件偵測類型和說明

在雲端主控台的「調查」頁面上檢視從系統活動、威脅偵測、稽核等產生的事件。

每個事件皆由一個事件類型 ID 識別，並與 Integrated Cyber Defense (ICD) 綱要所定義事件類型相關聯。Symantec Endpoint Security 技術會使用相同的綱要，來產生針對所支援事件類型分類的事件。綱要網站包含有關每種事件類型的重要資訊，包括處置方式 (或結果)。如需使用綱要的説明，請參閱 整合的網路防禦綱要説明。如需詳細資訊，請參考下列各節： 事件類型概述8027 和 8031 事件類型的處理方式 事件類型概述

每個事件都有一個事件類型 ID 號碼和事件類型名稱 (例如， 8001 程序活動)。您可以使用「調查」頁面上的欄選取器，來新增「事件類型」和「事件類型 ID」欄。然後，您可以根據各種事件類型排序或過濾清單。如需更多詳細資訊，請參閱 events-summary-view-v134408648-d38e87738.html#v134408648_section_1。如需更多有關每個類型的詳細資料，請在「ICD 綱要事件類型」頁面的搜尋方塊中，依事件類型 ID 號碼或事件類型名稱進行搜尋 (例如，輸入「11」或「指令活動」)。 下表列出了這類事件的類型以及使用的技術。

事件類型資訊

事件類型 ID

事件類型

技術

說明

2

應用程式生命週期事件

代理程式框架

此事件類型報告應用程式或服務的安裝、移除、啟動、停止和活動訊號。

3

更新

代理程式框架

此事件類型報告對應用程式或服務所做的程式碼、內容、架構或政策更新。

5

檔案信譽

端點偵測和回應

此事件類型報告位於裝置上檔案的信譽。

信譽分數及其說明如下：

良好：檔案是可信的。未證明：沒有足夠的可用資訊來攔截檔案。惡意：該檔案已損壞或惡意。

11

指令活動

用戶端管理

此事件類型會報告指令的狀態。

12

動作要求

端點偵測和回應

此事件類型報告動作要求的要求者、動作、目標，和狀態資訊。

13

動作回應

端點偵測和回應

此事件類型報告對動作要求的回應，包括 HTTP 狀態。

20

使用者階段作業稽核

使用者角色管理

此事件類型報告主控台或受管裝置上的使用者登入和登出活動。

21

實體稽核

端點偵測和回應

此事件類型透過受管用戶端、微服務或管理主控台中的使用者來報告活動。活動可以是受管實體上的建立、更新和刪除作業。

例如，政策服務記錄政策變更事件、SEP 用戶端報告本機政策變更，以及政策管理員在主控台上更新政策。

42

URL 信譽

端點偵測和回應

此事件類型報告所存取的 URL 信譽。URL 信譽可識別來自網域和可託管惡意程式內容的網站 URL 的威脅。

1000

狀態事件

代理程式框架

此事件類型報告顯示元件 (例如，服務、應用程式或裝置) 狀態的狀態事件。

此事件類型報告訊息屬性中的狀態資訊。例如，「連線失敗」、「磁碟不足」，或「高 CPU」。

如果您需要其他狀態資訊，請包括常見的延伸狀態屬性，例如 status_detail、status_os、status_exception 和 status_stack_trace。 如果需要特定程序的報告狀態，請包含「程序」物件。

8000

階段作業事件

端點偵測和回應

此事件類型報告使用者何時嘗試登入或登出 (成功或其他情況)。

8001

程序事件

端點偵測和回應

此事件類型報告程序何時啟動、終止或開啟另一個程序 (成功或其他情況)。

8002

模組活動

端點偵測和回應

此事件類型報告程序何時載入或卸載模組。

8003

檔案活動事件

端點偵測和回應

此事件類型報告針對檔案系統物件 (如建立、刪除、開啟、修改和重新命名) 的作業。

此事件類型對於查看排程任務建立、修改或刪除等作業非常有用。

針對可疑的 PE (可攜式可執行檔) 檔案，事件資料會包含匯入表格上針對「分析」欄位出現的資訊，如下所示：處置方式：12 - 檔案活動 - 已掃描。

根據您的使用案例，此事件類型可以傳回下列類型的資料：

針對可疑的 PE 檔案，「分析」欄會顯示 PE 匯入表中的檔案。 針對連結檔案，「分析」欄會顯示目標指令行和目標程序。 如果是 PowerShell 檔案，「分析」欄會顯示靜態分析的一般中繼資料。

8004

目錄事件

端點偵測和回應

此事件類型報告目錄上的作業。此事件類型還提供對檔案和目錄搜尋嘗試的可見性。

8005

登錄機碼事件

端點偵測和回應

此事件類型報告 Windows 登錄機碼上的動作，例如機碼建立、修改或刪除。

Windows 登錄檔包含架構設定、喜好設定以及硬體、軟體和使用者設定檔的關鍵資訊的階層資料庫。該登錄檔還可以揭示使用者數位歷史記錄的蒐證資料。

此事件類型也可讓您看到協助您調查違規的作業，例如：

帳戶建立排定的任務建立或刪除服務建立或刪除群組政策修改

8006

登錄值活動

端點偵測和回應

此事件類型報告 Windows 登錄值上的動作，例如登錄值建立、刪除或修改。

登錄值可以將資料儲存為字串值或整數值。

此事件類型還可以提供處理 MITRE 技術的動作，如排定任務、服務修改和群組政策修改。

8007

主機網路活動 Netstat 事件

端點偵測和回應

此事件類型報告透過支援的連線通訊協定 (例如 TCP 或 UDP) 嘗試網路連線是否成功。

此事件類型還會顯示「連線 URL 路徑」欄位的連線 URL 路徑。

關於 Netstate 事件

Netstat 事件是網路事件的子類別。Netstat 事件報告網路活動的高階摘要，例如，使用的通訊協定，以及在本機與遠端電腦之間所傳輸的資料量。網路事件摘要會顯示該事件的處理方式值為 3 -主機網路活動-統計資料。

在「檔案」欄位中列出了下載或上載的檔案。

若您為現有使用者，您必須升級偵測和回應政策，以產生 Netstat 事件，其中包含以下項目：處置方式：3 - 主機網路活動 - 統計資料。

8009

核心事件

端點偵測和回應

此事件類型報告參與者程序何時建立、讀取或刪除核心物件。此事件類型也包括互斥建立和為建立的管道命名。命名管道允許與其他程式進行程序通訊 (IPC)。

8015

受監控來源

端點偵測和回應

此事件類型報告感興趣的事件或訊息何時記錄至監控來源。

如果監控的來源事件可以對應至特定的「整合式資安」事件，則會傳送相應的「整合式資安」事件，並包含「事件來源」物件。

此事件類型還可以揭示出許多發現技術。這類技術的一些範例包括帳戶登入、排定的任務建立或修改。該事件類型還建立對用於持續性的 Windows Management Instrumentation (WMI) 事件訂閱的可見性。

8018

AMSI 活動

端點偵測和回應

此事件類型報告 AMSI 活動事件何時發生。

8020

掃描

惡意軟體防護

此事件類型報告掃描的開始、完成和結果。掃描事件包括已掃描的項目數及已解決的偵測數。

8026

使用者階段作業偵測

TDAD (訊息碼：NetUser)

此事件類型報告 Threat Defense for AD 偵測到的 Active Directory 違規攻擊資訊，例如，NetUser - 遮罩帳戶暴力攻擊。

8027

程序偵測

應用程式控制

行為分析

端點偵測和回應

竄改防護

此事件類型報告程序威脅或政策違規的偵測和解決方案。

瞭解這個事件類型的處置方式或結果非常重要。有時，SES 可以緩解威脅。有時 SES 會提醒您其偵測到威脅，但沒有採取任何緩解動作，無論是有意為之還是由於某些外部因素。在這種情況下，威脅仍然存在。如需詳細瞭解處置方式，請參閱「8027 和 8031 事件類型的處置方式」。

8031

檔案偵測

惡意軟體防護

自訂應用程式行為

此事件類型報告檔案威脅或政策違規的偵測和解決方案。

針對「檔案信譽」欄，分數與相對值如下所示：

分數 = 0 顯示 = 未知 分數 >= 25 和分數 <= 127 顯示 = 良好 分數 >= -5、分數 <= 24 和分數 != 0 顯示 = 未證明 分數 >= -127 和分數 <= -6 顯示 = 不良

瞭解這個事件類型的處置方式或結果非常重要。有時，SES 可以緩解威脅。有時 SES 會提醒您其偵測到威脅，但沒有採取任何緩解動作，無論是有意為之還是由於某些外部因素。在這種情況下，威脅仍然存在。如需詳細瞭解處置方式，請參閱「8027 和 8031 事件類型的處置方式」。

8038

週邊裝置偵測

裝置控制

此事件類型報告週邊裝置政策違規的偵測和解決方案。

8040

主機網路偵測

TDAD (訊息碼：NetComputer、PSAM、PLDA)

網路 IPS (複合事件)

此事件類型報告由 Threat Defense for AD 偵測到的 Active Directory 違規攻擊資訊，例如： NetComputer - 詐騙水平擴散 PSAM - SMB 通訊協定濫用 PLDAP - LDAP 通訊協定濫用

主機網路事件

此事件類型報告主機網路威脅或政策違規的偵測和解決方案。

8044

WMI 回應

-

此事件類型報告解釋為對偵測的回應的 WMI 修復動作。

8061

實體變更事件

SES 行動裝置

Opstate Assessment Service

此事件類型報告 SES Mobile 應用程式之安全性狀態變更的相關資訊 (Android 和 iOS)。

此事件類型也會報告 Symantec Agent for Windows, Linux, and Mac。

8071

主機合規性掃描

合規性

SES 行動裝置

此事件類型報告掃描 SES Mobile 裝置 (Android 和 iOS) 合規性時的資訊。

此事件類型報告合規性和矯正檢查的結果。

8080

使用者階段作業查詢

端點偵測和回應

此事件類型報告現有使用者階段作業的相關資訊。

8081

程序查詢

端點偵測和回應

此事件類型報告執行中程序的相關資訊。

8082

模組查詢

端點偵測和回應

此事件類型報告所載入模組的相關資訊。

8083

檔案查詢

端點偵測和回應

此事件類型報告檔案系統物件的相關資訊。

8084

目錄查詢

端點偵測和回應

此事件類型報告目錄資訊。

8085

登錄機碼查詢

端點偵測和回應

此事件類型報告 Windows 登錄機碼的相關資訊。

8086

登錄檔值查詢

端點偵測和回應

此事件類型報告 Windows 登錄值的相關資訊。

8087

網路查詢

端點偵測和回應

此事件類型報告網路查詢的資訊。

8089

核心物件查詢

端點偵測和回應

此事件類型報告核心物件的相關資訊。

8090

服務查詢

端點偵測和回應

此事件類型報告資訊服務查詢。

更多資訊 支援的 OS 特定 EAR 事件類型支援的 OS 特定 EoC 事件類型8027 和 8031 事件類型的處理方式

處理方式是事件的結果。下表詳細說明 8027 程序偵測和 8031 檔案偵測事件類型的處理方式。如需這些事件類型的完整資訊，請參閱 ICD 綱要：程序偵測事件檔案偵測事件

8027 程序偵測事件類型的處理方式

值

處理方式

說明

0

不明

處理方式不明。

1

攔截

動作遭欄截，且沒有進一步的矯正。例如：程序終止。

2

已允許

已允許動作。管理員建立的例外 / 排除。

3

無動作

矯正動作失敗。

4

已記錄

僅記錄。未採取任何動作。

5

指令碼執行

該事件觸發指令碼執行，以回應偵測。例如，指令碼緩解了威脅或自動啟動蒐證調查

6

已糾正

已修復。例如：已清除。

7

部分糾正

部分修復。

8

未糾正

仍受感染。

10

已延遲

需要重新開機才能完成作業。已棄用。

11

已刪除

已透過刪除來清除。

12

已隔離

已移至隔離所。

13

已還原

已從隔離所釋放。

14

偵測到

結果有待分析。

15

已終止

程序已結束。

8031 檔案偵測事件類型的處理方式

值

處理方式

說明

0

不明

處理方式不明。

1

攔截

動作遭欄截，且沒有進一步的矯正。例如：拒絕檔案存取。

2

已允許

已允許動作。管理員建立的例外 / 排除。

3

無動作

矯正動作失敗。

4

已記錄

僅記錄。未採取任何動作。

指令碼執行

該事件觸發指令碼執行，以回應偵測。例如：指令碼緩解了威脅或自動啟動蒐證調查。

6

已糾正

已修復。例如：已清除。

7

部分糾正

部分修復。

8

未糾正

仍受感染。

10

已延遲

需要重新開機才能完成作業。已棄用。

11

已刪除

已透過刪除來清除。

12

已隔離

已移至隔離所。 您也可以取消隔離已隔離的檔案，並將其還原。若要取消隔離檔案，請前往「調查 > 事件摘要」網格，選取事件，然後按一下「檔案動作 > 取消隔離檔案」。

13

已還原

已從隔離所釋放。

14

偵測到

結果有待分析。

15

已判定免責

已不可疑 (重新評分)。

16

已標記

以延伸屬性標記。

下表提供了有關 8027 和 8031 處置方式常見問題的答案。

8027 和 8031 事件類型處理方式的常見問題

問題

答

「已攔截」是什麼意思？

「已攔截」表示 Symantec Endpoint Security 發現潛在威脅，並透過執行下列其中一個動作來防止惡意或不需要的行為：

終止程序並防止進一步執行拒絕存取檔案

有時，Symantec Endpoint Security 會攔截特定信任的應用程式執行。在這種情況下，管理員可為要執行的應用程式建立例外。

「允許」和「已標記」之間有什麼區別？

「已記錄」是 Symantec Agents 的特定動作，允許以「只記錄」模式進行偵測。對於惡意軟體，第一個動作是修正，但是由於任何原因無法矯正威脅時，會記錄偵測，而不是允許偵測。

「允許」用於政策型動作，例如允許網路流量或處理管理員架構的例外或排除。在這些情況下，Symantec Endpoint Security 看到了事件記錄的活動，但未停止活動。

在 8027 行為偵測事件中，「已糾正」和「部分糾正」是什麼意思？

如果矯正由於某種原因未成功，Symantec Endpoint Security 會改為記錄部分糾正。若為 8027 行為偵測事件，請注意以下區別：

「已糾正」表示 Symantec Endpoint Security 清除了在所需重新啟動後仍然存在的任何威脅的偵測副作用。「部分糾正」表示惡意程序已終止。例如，Symantec Endpoint Security 判定應隔離 PE 檔案，但 PE 檔案隔離失敗。如果重新啟動可以完成隔離，則還會記錄事件進行必要的重新啟動。

「隔離」是什麼意思？

對於程序，「已隔離」表示阻止該程序執行，並且其檔案已被移除至隔離區。

對於檔案，「隔離」表示支援事件所參考程序的檔案 (例如，badfile.exe 支援執行中程序 badfile.exe) 已新增至 Symantec Agent 隔離區並從作用中檔案系統中刪除。

「已終止」是什麼意思？

此處置方式僅適用於程序。

「已終止」表示 Symantec Endpoint Security 已停止執行中的程序。但 Symantec Endpoint Security 未刪除、隔離或矯正已啟動該程序的支援檔案。因此，該程序可能會再次啟動。

在哪些情況下會發生「指令碼執行」處理方式？

「指令碼執行」表示事件觸發指令碼執行以回應偵測。偵測事件的回應是執行指令碼，緩解威脅和/或自動啟動蒐證調查。

調查事件

Content feedback and comments