イベントの概要の種類 ID

イベントの概要データは、次の値によって整理されます:
type_id
:
説明
. たとえば、Vantage イベントを分析している場合、
Symantec EDR
で 4113: Vantage Detection として表されます。
[イベントの概要(Event Summary)]フィールドの詳細については、「検索フィールドと説明」を参照してください。
type_id
イベントの種類と ID 番号
説明
1 = アプリケーション活動
エンドユーザーが実行したアプリケーション活動に関する状態情報を報告します。たとえば、管理者によるデータベース検索やエンドポイント検索の実行が該当します。または、管理者がコマンドラインインターフェースのコマンド (expand_storage など) を実行することがあります。
20: ユーザーセッションの監査 (User Session Audit)
管理コンソールまたは管理対象クライアントでのユーザーのログオンとログオフの活動を報告します。
21: エンティティ監査 (Entity Audit)
管理対象クライアント、マイクロサービス、または管理コンソールのユーザーによる活動を報告します。この活動には、管理対象エンティティでの作成、更新、削除操作が該当します。たとえば、ポリシーサービスはポリシーの変更イベントを記録し、SEP クライアントはローカルポリシーの変更を報告し、ポリシー管理者はコンソールでポリシーを更新します。
238: デバイス制御 (Device Control)
デバイス制御が無効なデバイスを報告します。
239: デバイス制御 (Device Control)
バッファオーバーフローイベントを報告します。
240: デバイス制御 (Device Control)
ソフトウェア保護が例外をスローしたことを報告します。
502: アプリケーション制御 (Application Control)
エージェントの動作イベントを報告します。
1000: システム健全性
Symantec EDR
アプライアンス、ソフトウェア、またはハードウェアの全体的な健全性に影響を与える、コンポーネントの健全性への変更を報告します。たとえば「DB 接続エラー/成功 (DB Connection failure/success)」、「ディスクの不足 (Low Disk)」、「高 CPU (High CPU)」などがあります。
4096: 評価ルックアップ (Reputation Lookup)
ファイルの評価に関する情報の要求が Symantec Insight または Symantec Mobile Insight に行われたときにレポートします。
4098: 侵入防止 (Intrusion Prevention)
Symantec Intrusion Prevention System が悪質な可能性のある IPS シグネチャを検出したときにレポートします。
4099: 疑わしいファイル検出 (Suspicious File Detection)
疑わしいファイルが検出されたときにレポートします。
4100: SONAR 検出 (SONAR Detection)
Symantec Online Network for Advanced Response (SONAR) 技術が新しい脅威を検出したときにレポートします。
SEDR に 4100 または 4102 イベントが表示されない
4102: ウイルス対策による検出 (エンドポイント)
エンドポイントでウイルス対策が検出されたときにレポートします。
SEDR に 4100 または 4102 イベントが表示されない
4109: エンドポイントからの Dynamic Adversary Intelligence
エンドポイント制御ポイントからの敵対者インテリジェンスです。
4110: ネットワークからの Dynamic Adversary Intelligence
ネットワーク制御ポイントからの敵対者インテリジェンスです。
4112: 拒否リスト (IP/URL/ドメイン)
シマンテックが提供する拒否リストまたは
Symantec EDR
の拒否リストに登録されている IP、URL、ドメインが検出されたときにレポートします。
4113: Vantage Detection
Symantec Vantage 技術がエンドポイントの悪質な活動を検出したか、ネットワークシステムに Vantage シグネチャベースの脅威が見つかったときにレポートします。
4115: インサイト検出 (Insight Detection)
Symantec Endpoint Protection がファイル評価サーバーで管理対象エンドポイントのファイルに関するクエリーを実行したか、Insight がネットワークで起きた悪質な活動を検出したときにレポートします。
4116: Mobile Insight 検出
Symantec Mobile Insight 技術が Android の実行可能ファイルに関する問題を検出したときに報告します。
4117: サンドボックス式検出 (Sandboxing Detection)
サンドボックス式技術がネットワークで悪質なファイルを確認したときにレポートします。
4118: 拒否リスト (ファイル)
シマンテックが提供する拒否リストまたは
Symantec EDR
の拒否リストに登録されているファイルが検出されたときにレポートします。
4123: エンドポイントの検出 (ファイル)
疑わしいファイルがエンドポイントで検出されたときにレポートします。Symantec EDR 4.5 以降と SEPM 14.3 RU1 以降では、このイベントにも SHA256 ハッシュ遮断イベントが含まれます。
4124: エンドポイントの検出 (IP/URL/ドメイン)
疑わしい IP、URL、ドメインがエンドポイントで検出されたときにレポートします。また、アプリケーション制御 (Application Control) イベントとデバイス制御 (Device Control) イベントも報告します。
4125: 電子メールの検出 (Email Detection)
疑わしい電子メールが検出されたときにレポートします。
4353: ウイルス対策検出 (ネットワーク)
ネットワークでウイルス対策が検出されたことをレポートします。
8000: セッションイベント (Session Event)
ユーザーがログオンやログオフを試みるときに、その成否に関わらずレポートします。
8001: プロセスイベント (Process Event)
プロセスが起動、終了したり、別のプロセスを開いたりするときに、その成否に関わらずレポートします。
8002: モジュールイベント (Module Event)
プロセスがモジュールをロードまたはアンロードするときにレポートします。
8003: ファイルイベント (File Event)
ファイルシステムオブジェクトでの操作をレポートします。
8004: ディレクトリイベント (Directory Event)
ディレクトリでの操作をレポートします。
8005: レジストリキーイベント (Registry Key Event)
Windows のレジストリキーでの処理をレポートします。
8006: レジストリ値イベント (Registry Value Event)
Windows のレジストリ値に関する処理をレポートします。
8007: ネットワークイベント (Network Event)
ネットワーク接続の試みを、その成否に関わらずレポートします。
8009: カーネルイベント (Kernel Event)
実行元プロセスがカーネルオブジェクトの作成、読み取り、削除を実行するときにレポートします。
8015: ETW (Windows イベント トレーシング) イベント
ETW の活動をレポートします。
8016: スタートアップ アプリケーションの設定変更
スタートアップ アプリケーションの設定が作成、削除、または変更された場合にレポートします。
8018: AMSI (AntiMalware Scan Interface) イベント
AMSI の活動をレポートします。
8080: セッションのクエリー結果 (Session Query Result)
既存のユーザーセッションについての情報をレポートします。
8081: プロセスのクエリー結果 (Process Query Result)
実行中のプロセスに関する情報をレポートします。
8082: モジュールのクエリー結果 (Module Query Result)
ロードされたモジュールに関する情報をレポートします。
8083: ファイルのクエリー結果 (File Query Result)
ファイルシステムオブジェクトに関する情報をレポートします。
8084: ディレクトリのクエリー結果 (Directory Query Result)
ディレクトリ情報をレポートします。
8085: レジストリキーのクエリー結果 (Registry Key Query Result)
Windows のレジストリキーに関する情報をレポートします。
8086: レジストリ値のクエリー結果 (Registry Value Query Result)
Windows のレジストリ値に関する情報をレポートします。
8089: カーネルオブジェクトのクエリー結果 (Kernel Object Query Result)
カーネルオブジェクトに関する情報をレポートします。
8090: サービスのクエリー結果 (Service Query Result)
サービスのクエリー情報をレポートします。
8099: クエリーコマンドエラー (Query Command Errors)
EOC (侵害の痕跡) クエリーコマンドエラーに関する情報をレポートします。
8103: ファイルの修復 (File Remediation)
ファイルシステムオブジェクトに関する情報をレポートします。
8119: ファイルの修復エラー (File Remediation Errors)
EOC (侵害の痕跡) ファイルの修復処理から生じるエラーに関する情報をレポートします。