Раздел Вредоносное ПО предназначен для мониторинга событий связанных с вредоносным ПО, в частности его обнаружением и устранением угроз заражения.
- Количество зараженных хостов / обнаруженных заражений / заблокированных заражений
- Статистика вредоносного ПО по типам
- Динамика обнаруженных / заблокированных заражений
- Топ обнаруженного / заблокированного вредоносного ПО
- Топ хостов по обнаруженному / заблокированному вредоносному ПО
- Статистика по событиям заражения с детализацией по хостам
- Статистика по событиям заражения с детализацией по вредоносному ПО
- Вредоносное ПО: Общие сведения
- Вредоносное ПО: Профиль зараженного хоста
- Вредоносное ПО: Профиль типа вредоносного ПО
В разделе используются нижеописанные поля источников данных. Используемый алиас: sm_cs_malware_indexes
.
Имя поля | Значение |
---|
event.kind | alert |
event.category | malware |
event.action | Из исходного события. |
Имя поля | Значение |
---|
host.ip | IP-адрес хоста, где обнаружено вредоносное ПО. |
host.name | Имя хоста, где обнаружено вредоносное ПО. |
Имя поля | Значение |
---|
user.name | Имя пользователя. |
user.domain | Домен пользователя. |
Имя поля | Значение |
---|
file.name | Имя файла с вредоносным ПО. |
file.path | Полный путь к файлу с вредоносным ПО. |
file.hash | Хэш файла с вредоносным ПО. |
Имя поля | Значение |
---|
event.original | Исходный текст события. |
Имя поля | Значение |
---|
message | Описание события. |
malware_description | Описание угрозы. |
Ниже приведена таблица справочников используемых разделом.
Название | Поля | Описание |
---|
sm_cs_malware_type | malware_description
malware_type | Справочник типов угроз. |
sm_cs_malware_action | event.action
malware_action - (detected | blocked ) | Справочник действий с угрозами. |