ID de tipo de resumen de eventos

Los datos de Event Summary (Resumen de eventos) están organizados por
type_id
:
descripción
. Por ejemplo, si analiza eventos de Vantage, esto se representa en
Symantec EDR
como 4113: Vantage Detection.
Para obtener más información sobre las descripciones del campo Event Summary (Resumen de eventos), consulte Campos de búsqueda y descripciones.
type_ids
Tipo de evento y número de Id.
Descripción
1 = Actividad de aplicaciones
Informa el estado de la actividad de una aplicación que realizó un usuario final. Por ejemplo, un administrador ejecuta una búsqueda de base de datos o una búsqueda de endpoint. O el administrador ejecuta un comando de interfaz de la línea de comandos (por ejemplo, expand_storage).
20: Auditoría de sesión de usuario
Informa sobre la actividad de inicio y cierre de sesión del usuario en una consola de administración o un cliente administrado.
21: Auditoría de entidad
Informa sobre la actividad de un cliente administrado, un microservicio o un usuario en una consola de administración. La actividad puede ser una operación de creación, actualización y eliminación en una entidad administrada. Por ejemplo, el servicio de política registra los eventos de cambio de política, el cliente SEP informa los cambios de la política local y el administrador de políticas actualiza las políticas en la consola.
238: Control de dispositivos
Informa un dispositivo deshabilitado por Control de dispositivos.
239: Control de dispositivos
Informa un evento de desbordamiento de búfer.
240: Control de dispositivos
Informa que la protección de software generó una excepción.
502: Control de aplicaciones
Informa los eventos de comportamiento del agente.
1000 = Estado del sistema
Informa cualquier cambio en el estado de un componente que afecte el estado general del appliance, el software o el hardware de
Symantec EDR
. Por ejemplo "DB Connection failure/success “ (Conexión con la BD exitosa/con error), "Low Disk” (Poco espacio en disco), o "High CPU” (Alto uso de la CPU).
4096: Reputation Lookup (4096: Búsqueda de reputación)
Informe cuando realiza una solicitud a Symantec Insight o Symantec Mobile Insight para obtener información acerca de la reputación de un archivo.
4098: Intrusion Prevention (4098: Prevención de intrusiones)
Informa cuando un sistema de prevención de intrusiones de Symantec detecta una posible firma IPS maliciosa.
4099: Suspicious File Detection (4099: Detección de archivo sospechoso)
Informa cuando se detecta un archivo sospechoso.
4100: SONAR Detection (4100: Detección de SONAR)
Informa cuando la Red en línea de Symantec para respuesta avanzada tecnología (SONAR) detectó una nueva amenaza.
SEDR no muestra ningún evento 4100 o 4102
4102: Antivirus Detection (Endpoint)
Informa cuando se detecta un antivirus en un endpoint.
SEDR no muestra ningún evento 4100 o 4102
4109: Dynamic Adversary Intelligence from Endpoint
Inteligencia sobre adversarios desde el punto de control del endpoint.
4110: Dynamic Adversary Intelligence from Network
Inteligencia sobre adversarios desde el punto de control de la red.
4112: Deny List (IP/URL/Domain)
Informa sobre cuándo se ha detectado una dirección IP, una dirección URL o un dominio que pertenece a una lista de denegación proporcionada por Symantec o a una lista de denegación de
Symantec EDR
.
4113: Vantage Detection
Informa cuando la tecnología de Symantec Vantage ha detectado actividad maliciosa en un endpoint o se encontraron amenazas basadas en firmas de Vantage en el sistema de redes.
4115: Insight Detection (4115: Detección de Insight)
Informa cuando Symantec Endpoint Protection ha consultado al servidor de reputación de archivos acerca de un archivo en un endpoint administrado o acerca de actividad maliciosa detectada por Insight que se produjo en su red.
4116: Mobile Insight Detection
Informa cuando tecnología de Symantec Mobile Insight detecta problemas con un archivo ejecutable para Android.
4117: Sandboxing Detection (4117: Detección de aislamiento de procesos)
Informa cuando la tecnología de aislamiento de procesos observó un archivo malicioso en su red.
4118: Deny List (file)
Informa sobre cuándo se ha detectado un archivo que pertenece a una lista de denegación proporcionada por Symantec o a una lista de denegación de
Symantec EDR
.
4123: Endpoint Detection (file)
Informa cuando un archivo sospechoso fue detectado en un endpoint. A partir de Symantec EDR 4.5 y posteriores y a partir de SEPM 14.3 RU1 y posteriores, este evento también incluye eventos de bloqueo de hash SHA256.
4124: Endpoint Detection (IP/URL/Domain)
Informa cuando una IP, una URL o un dominio sospechoso fue detectado en un endpoint. Además, informa los eventos de Control de aplicaciones y dispositivos.
4125: Email Detection (4125: Detección de correo electrónico)
Informa cuando se detecta un correo electrónico sospechoso.
4353: Antivirus Detection  (Network)
Informa cuando se detecta un antivirus en una red.
8000: Session Event (8000: Evento de sesión)
Informa cuando un usuario intenta un iniciar o cerrar sesión, tanto correctamente como no.
8001: Process Event (8001: Evento de proceso)
Informa cuando un proceso se inicia, finaliza o abre otro proceso, tanto correctamente como no.
8002: Module Event (8002: Evento de módulo)
Informa cuando un proceso carga o descarga un módulo.
8003: File Event (8003: Evento de archivo)
Informa sobre operaciones en objetos de sistema de archivos.
8004: Directory Event (8004: Evento de directorio)
Informa sobre operaciones en directorios.
8005: Registry Key Event (8005: Evento de clave de registro)
Informa sobre acciones en claves de registro de Windows.
8006: Registry Value Event (8006: Evento de valor de registro)
Informes sobre acciones en los valores del registro de Windows.
8007: Network Event (8007: Evento de red)
Informa sobre intentos de conexión de red tanto correctos como incorrectos.
8009: Kernel Event (8009: Evento de kernel)
Informa cuando el proceso de un ejecutor crea, lee o elimina un objeto de kernel.
8015:  ETW (Event Tracing for Windows) Event
Informa sobre la actividad de ETW.
8016: Startup Application Configuration Change (8016: Cambio de configuración de la aplicación de inicio)
Informa cuando se crea, elimina o modifica una configuración de la aplicación de inicio.
8018:  AMSI (AntiMalware Scan Interface) Event
Informa sobre la actividad de AMSI.
8080: Session Query Result (8080: Resultado de consulta de sesión)
Informa acerca de sesiones de usuario existentes.
8081: Process Query Result (8081: Resultado de consultas de proceso)
Informa acerca de un proceso en ejecución.
8082: Module Query Result (8082: Resultado de consultas de módulos)
Informa acerca de módulos cargados.
8083: File Query Result (8083: Resultado de consulta de archivos)
Informa acerca de objetos de sistemas de archivos.
8084: Directory Query Result (8084: Resultado de consulta de directorio)
Informa datos sobre un directorio.
8085: Registry Key Query Result (8085: Resultado de consulta de clave de registro)
Informa acerca de claves de registro de Windows.
8086: Registry Value Query Result (8086: Resultado de consulta de valor de registro)
Informa acerca de valores del registro de Windows.
8089: Kernel Object Query Result (8089: Resultado de consulta de objeto de kernel)
Informa acerca de objetos de kernel.
8090: Service Query Result (8090: Resultado de consulta de servicio)
Informa acerca de consultas de servicio.
8099: Query Command Errors (8099: Errores de comando de consultas)
Informa acerca de EOC (errores en comandos de consulta de prueba de peligro.
8103: File Remediation (8103: Reparación de archivos)
Informa acerca de objetos de sistemas de archivos.
8119: File Remediation Errors (8119: Errores de reparación de archivos)
Informa acerca de errores que resultan de una acción de reparación de archivo de EOC (prueba de peligro).