يصف هذا المستند جميع معرفات الأحداث لنقطة النهاية الآمنة من Cisco، مما يساعد في المراقبة الفعالة والاستجابة للحوادث.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- تسجيل أحداث Windows
- نقطة نهاية آمنة من Cisco
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- Cisco Secure Endpoint 8.4.0.30201
- نظام التشغيل Windows Server 2019
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
تعد معرفات أحداث Windows لنقطة النهاية الآمنة من Cisco ضرورية للمراقبة الفعالة واستكشاف الأخطاء وإصلاحها. إن القدرة على الوصول إلى معرفات الحدث تلك هو أمر حيوي لتشخيص القضايا، وضمان الكفاءة العملياتية، وتعزيز الأمن بشكل عام.
الحل
افتح File Explorer، انتقل إلى C:\Program Files\Cisco\AMP\<version_number>\AMPEvents.man. يمكنك فتح هذا الملف في Notepad لعرض جميع المعلومات المتعلقة بأحداث Windows التي تم إنشاؤها بواسطة Cisco Secure Endpoint.
تم تصدير قائمة بمعرفات الأحداث من ملف AMPEvents.man:
| معرف الحدث |
حدث |
المحرك/المهمة |
مستوى |
| 100 |
EXPREV_ATTACK_WITHOUT_SUSPICIOUS_FILES_V1/V2/V3/V4 |
منع الاستغلال |
معلوماتي |
| 101 |
EXPREV_ATTACK_WITH_SUSPICIOUS_FILES_V1/V2/V3/V4 |
منع الاستغلال |
معلوماتي |
| 102 |
EXPREV_ATTACK_WITHOUT_SUSPICIOUS_FILES_V3/V4_AUDIT |
منع الاستغلال |
معلوماتي |
| 103 |
EXPREV_ATTACK_WITH_SUSPICIOUS_FILES_V3/V4_AUDIT |
منع الاستغلال |
معلوماتي |
| 104 |
EXPREV_SCRIPT_CONTROL_ATTACK_V4 |
منع الاستغلال |
معلوماتي |
| 105 |
EXPREV_SCRIPT_CONTROL_ATTACK_V4_AUDIT |
منع الاستغلال |
معلوماتي |
| 200 |
Malicious_activity_protection_v1/V2 |
MaliciousActivityProtection |
معلوماتي |
| 300 |
SD_BLOCK_PROCESS_ACTION_V1 |
حماية عملية النظام |
معلوماتي |
| 400 |
CCMS_JOB_START_V1 |
CCMS |
معلوماتي |
| 401 |
Janus_EVENT_V1 |
|
معلوماتي |
| 500 |
ENDPOINT_ISOLATION_START_V1 |
عزل نقطة النهاية |
معلوماتي |
| 501 |
ENDPOINT_ISOLATION_STOP_V1 |
عزل نقطة النهاية |
معلوماتي |
| 502 |
ENDPOINT_ISOLATION_STARTFAILED_V1 |
عزل نقطة النهاية |
الخطأ |
| 503 |
ENDPOINT_ISOLATION_STOPfailed_V1 |
عزل نقطة النهاية |
الخطأ |
| 504 |
ENDPOINT_ISOLATION_UPDATED_V1 |
عزل نقطة النهاية |
معلوماتي |
| 505 |
ENDPOINT_ISOLATION_UPDATEFAILED_V1 |
عزل نقطة النهاية |
الخطأ |
| 600 |
ORBITAL_INSTALL_SUCCESS_V1 |
مداري |
معلوماتي |
| 601 |
ORBITAL_INSTALL_FAILED_V1 |
مداري |
الخطأ |
| 602 |
ORBITAL_UPDATE_SUCCESS_V1 |
مداري |
معلوماتي |
| 603 |
ORBITAL_UPDATE_FAILED_V1 |
مداري |
الخطأ |
| 700 |
ENDPOINT_ISOLATION_BRUTE_FORCE_ATTEMPT |
عزل نقطة النهاية |
تحذير |
| 800 |
SCRIPT_PROTECTION_DETECTION_V1 |
ScriptProtection |
معلوماتي |
| 801 |
SCRIPT_PROTECTION_QUARANTINE_V1 |
ScriptProtection |
معلوماتي |
| 900 |
ENGINE_DETECTION_HANDLED |
الحماية السلوكية |
معلوماتي |
| 901 |
ENGINE_DETECTION_NOT_HANDLED |
الحماية السلوكية |
الخطأ |
| 902 |
Engine_DETECTION_AUDIT |
الحماية السلوكية |
معلوماتي |
| 903 |
ENGINE_DETECTION_NO_ACTION |
الحماية السلوكية |
معلوماتي |
| 904 |
ENGINE_CLEANUP_REQUIRED |
الحماية السلوكية |
معلوماتي |
| 1248 |
SCAN_COMPLETED_CLEAN_V1 |
مسح |
معلوماتي |
| 1249 |
SCAN_COMPLETED_DIRTY_V1 |
مسح |
معلوماتي |
| 1250 |
SCAN_FAILED_V1 |
مسح |
الخطأ |
| 1300 |
DETECTION_V1 |
اكتشاف |
معلوماتي |
| 1310 |
QUARANTINE_SUCCESS_V1 |
حجر |
معلوماتي |
| 1311 |
QUARANTINE_FAILED_V1 |
حجر |
الخطأ |
| 1320 |
execution_block_v1 |
ExecutionBlock |
معلوماتي |
| 1321 |
execution_block_bad_parent_v1 |
ExecutionBlock |
معلوماتي |
| 1700 |
WMI_RECON_V1 |
ويمير كون |
معلوماتي |
التعليقات