ID d'Event Summary (Récapitulatif d'événements)

Les données d'Event Summary (Récapitulatif d'événements) sont organisées par
type_id (ID de type)
:
description
. Par exemple, si vous analysez les événements Vantage, ils sont représentés dans
Symantec EDR
comme 4113: Vantage Detection.
Pour en savoir plus sur les descriptions des champs Events Summary (Récapitulatif des événements), consultez la section Champs de recherche et descriptions.
type_ids
Type d'événement et numéro d'identification
Description
1 : Activité d'application
Signale les informations d'état à propos d'une activité d'application effectuée par un utilisateur final. Par exemple, un administrateur exécute une recherche de base de données ou une recherche de terminal. L'administrateur exécute une commande d'interface de ligne de commande (par exemple, expand_storage).
20 : audit de session utilisateur
Rapports d'activité de connexion à une console de gestion ou à un client géré et déconnexion de l'utilisateur.
21 : audit d'entité
Génère des rapports d'activité d'un client géré, d'un micro-service ou d'un utilisateur sur une console de gestion. L'activité peut être une opération de création, de mise à jour et de suppression sur une entité gérée. Par exemple, le service de politique enregistre les événements de modification de politique, le client SEP signale les modifications de la politique locale et l'administrateur de politique met à jour les politiques sur la console.
238 : contrôle des périphériques
Signale un périphérique de contrôle de périphérique désactivé.
239 : contrôle des périphériques
Signale un événement de débordement de mémoire tampon.
240 : contrôle des périphériques
Signale que la protection de logiciel a lancé une exception.
502 : contrôle des applications
Signale les événements de comportement de l'agent.
1 000 : Intégrité du système
Signale toute modification apportée à l'intégrité d'un composant qui affecte l'intégrité globale de l'appliance, du logiciel ou du matériel
Symantec EDR
. Par exemple, « Échec/succès de la connexion DB », « Disque faible », ou « UC élevée ».
4096: Reputation Lookup (Recherche de réputation)
Signale lorsqu'une demande est effectuée à Symantec Insight ou Symantec Mobile Insight pour plus d'informations sur la réputation d'un fichier.
4098: Intrusion Prevention (Prévention d'intrusion)
Signale lorsqu'un système de prévention d'intrusion Symantec a détecté une signature IPS potentiellement malveillante.
4099: Suspicious File Detection (Détection de fichier suspect)
Signale lorsqu'un fichier suspect a été détecté.
4100: SONAR Detection (Détection SONAR)
Signale lorsque la technologie Symantec Online Network for Advanced Response (SONAR) a détecté une nouvelle menace.
SEDR n'affiche aucun événement 4100 ou 4102
4102 : détection antivirus (terminal)
4109 : Dynamic Adversary Intelligence (DAI) (Renseignements dynamiques sur les adversaires) depuis un terminal
Renseignements sur les adversaires depuis le point de contrôle du terminal.
4110 : Dynamic Adversary Intelligence (Renseignements dynamiques sur les adversaires) depuis le réseau
Renseignements sur les adversaires depuis le point de contrôle du réseau.
4112 : Liste d'interdictions (adresse IP, adresse URL, domaine)
Indique la détection d'une adresse IP, d'une adresse URL ou d'un domaine qui se trouve dans une liste d'interdictions fournie par Symantec ou la liste d'interdictions de
Symantec EDR
.
4113: Vantage Detection (Détection Vantage)
Signale lorsque la technologie Symantec Vantage a détecté une activité malveillante sur un terminal ou que des menaces basées sur les signatures Vantage ont été trouvées dans le système de réseau.
4115: Insight Detection (Détection Insight)
Signale lorsque Symantec Endpoint Protection a interrogé le serveur de réputation de fichiers concernant un fichier sur un terminal géré ou qu'Insight a détecté une activité malveillante survenue dans votre réseau.
4116 : détection Mobile Insight
Signale lorsque la technologie Symantec Mobile Insight a détecté des problèmes avec un fichier exécutable Android.
4117: Sandboxing Detection (Détection de sandboxing)
Signale lorsque la technologie de sandboxing a observé un fichier malveillant dans votre réseau.
4118 : liste d'interdictions (fichier)
Indique la détection d'un fichier qui se trouve dans une liste d'interdictions fournie par Symantec ou la liste d'interdictions de
Symantec EDR
.
4123 : détection sur un terminal (fichier)
Signale lorsqu'un fichier suspect a été détecté sur un terminal.   Depuis la version Symantec EDR 4.5 et les versions ultérieures et SEPM 14.3 RU1 et les versions ultérieures, cet événement inclut également les événements de blocage de hachage SHA256.
4124 : détection sur un terminal (adresse IP, adresse URL, domaine)
Signale lorsqu'une adresse IP, une URL ou un domaine suspect(e) a été détecté(e) sur un terminal. Signale également les événements de contrôle des applications et de contrôle des appareils.
4125: Email Detection (Détection de message électronique)
Signale lorsqu'un message électronique suspect a été détecté.
4353 : détection antivirus  (réseau)
Signale lorsqu'un antivirus a été détecté sur un réseau.
8000: Session Event (Événement de session)
Signale lorsqu'un utilisateur tente une connexion ou une déconnexion, avec succès ou non.
8001: Process Event (Événement de processus)
Signale lorsqu'un processus lance, termine ou ouvre un autre processus, avec succès ou non.
8002: Module Event (Événement de module)
Signale lorsqu'un processus charge ou décharge un module.
8003: File Event (Événement de fichier)
Signale les opérations sur les objets de système de fichiers.
8004: Directory Event (Événement de répertoire)
Signale les opérations sur les répertoires.
8005: Registry Key Event (Événement de clé de registre)
Signale les actions sur les clés de registre Windows.
8006: Registry Value Event (Événement de valeur de registre)
Signale les actions sur les valeurs de registre Windows.
8007: Network Event (Événement réseau)
Signale les tentatives de connexion réseau, avec succès ou non.
8009: Kernel Event (Événement de noyau)
Signale lorsqu'un processus acteur crée, lit ou supprime un objet de noyau.
8015 : événement ETW (Event Tracing for Windows) (Suivi des événements pour Windows)
Génère des rapports sur l'activité ETW.
8016: Startup Application Configuration Change (Changement de configuration de l'application de démarrage)
Signale la création, suppression ou modification d'une configuration d'application de démarrage.
8018 : événement AMSI (AntiMalware Scan Interface (Interface de recherche de programmes malveillants)
Rapport d'activité AMSI.
8080: Session Query Result (Résultat de requête de session)
Signale des informations sur les sessions utilisateur existantes.
8081: Process Query Result (Résultat de requête de processus)
Signale des informations sur un processus en cours d'exécution.
8082: Module Query Result (Résultat de requête de module)
Signale des informations sur les modules chargés.
8083: File Query Result (Résultat de requête de fichier)
Signale des informations sur les objets de système de fichiers.
8084: Directory Query Result (Résultat de requête de répertoire)
Signale des informations de répertoire.
8085: Registry Key Query Result (Résultat de registre de clé de registre)
Signale des informations sur les clés de registre Windows.
8086: Registry Value Query Result (Résultat de requête de valeur de registre)
Signale des informations sur les valeurs de registre Windows.
8089: Kernel Object Query Result (Résultat de requête d'objet de noyau)
Signale des informations sur les objets de noyau.
8090: Service Query Result (Résultat de requête de service)
Signale des informations sur les requêtes de service.
8099: Query Command Errors (Erreurs de commande de requête)
Signale des informations sur les erreurs de commande de requête EOC (preuve de compromission).
8103: File Remediation (Remédiation de fichier)
Signale des informations sur les objets de système de fichiers.
8119: File Remediation Errors (Erreurs de remédiation de fichier)
Signale des informations sur les erreurs qui résultent d'une action de remédiation de fichier EOC (preuve de compromission).