Campos de los eventos registrados
La telemetría que el producto de seguridad instalado en el equipo del usuario envía a los servidores en la nube está compuesta por eventos.
Cada evento está formado por campos que describen la actividad registrada. Estos campos contienen la información específica del evento, como la fecha, la hora, el tipo de acción y otros elementos involucrados.
El campo eventtype indica el tipo de evento. Los eventos de tipo 1 (ProcessOps) indican el subtipo en el campo operation.
Un mismo campo puede tener nombres diferentes dependiendo del evento al que pertenece y de la consola de producto donde se muestra. La tabla incluye todos los posibles nombres de los campos y un enlace al nombre principal del campo, donde se documentan sus valores.
Por ejemplo, el campo times puede aparecer en los eventos 22 y 45 con es mismo nombre, y en los eventos 46 y 99 como los nombre alternativos querieddomaincount y napocurrences respectivamente, aunque dependiendo de la consola de producto donde se visualicen, pueden llamarse times.
times |
eventtype 22 (NetworkOps) Número de veces que se ha repetido una conexión creada por el mismo proceso, en la misma ruta, con los mismos localIP, RemoteIP y RemotePort. eventtype 45 (SystemOps) Número de peticiones WMI por tabla y proceso agrupadas en el intervalo de 1 hora. eventtype 46 (DnsOps) - querieddomaincount Número de dominios diferentes con resolución fallida del proceso en la última hora. eventtype 99 (RemediationOps) - napocurrences Número de veces que se ha registrado el mismo tipo de ataque de red con destino una misma IP en el intervalo de una hora. |
Numérico |
Para facilitar la búsqueda de campos con múltiples nombres, la tabla contiene enlaces al nombre del campo principal. En este ejemplo:
querieddomaincount |
Consulta times. |
napoccurrences |
Consulta times. |
En el campo descripción se incluyen los valores de cada campo.
Campo | Descripción | Tipo de campo |
---|---|---|
Identificador del cliente. |
Cadena de caracteres |
|
accesstype |
Máscara de acceso al fichero:
Para el resto de operaciones: |
Máscara de bits |
accnube |
El agente instalado en el equipo del cliente tiene acceso a la nube de Cytomic. |
Booleano |
Tipo de acción realizada por el agente Cytomic EDR o Cytomic EPDR, por el usuario o por el proceso afectado:
|
Enumeración |
|
actiontype |
Indica el tipo de sesión:
|
Enumeración |
administrators |
Lista de usuarios que pueden gestionar el grupo sin necesidad de ser root. Disponible en sistemas operativos Linux. |
Cadena de caracteres |
Configuración de las políticas de seguridad avanzada de Cytomic EDR o Cytomic EPDR. |
Cadena de caracteres |
|
age |
Fecha de última modificación del fichero. |
Fecha |
alertdatetime |
Fecha UTC del momento en que se produjo el evento en el equipo del cliente que genera el indicio. Incluye información horaria. Consulta pandatimestatus para interpretar correctamente este campo. |
Fecha |
allowedexecutor |
Propietario del fichero en sistemas operativos Linux. |
Cadena de caracteres |
alprotocoldetected |
Protocolo del nivel aplicación detectado en la conexión o uno de los valores siguientes :
|
Enumeración |
alprotocolexpected |
Protocolo del nivel aplicación esperado según el puerto utilizado en la conexión o uno de los valores siguientes:
|
Enumeración |
analysistime |
Tiempo transcurrido para analizar el fichero. |
Cadena de caracteres |
analyzeerr |
Código devuelto cuando se termina el análisis de un elemento.
|
Enumeración |
Identificador del dispositivo que se conecta a un equipo protegido con Control de acceso a endpoints. |
Cadena de caracteres |
|
blockreason |
Motivo de la aparición del mensaje emergente en el equipo:
|
Enumeración |
bytesreceived |
Total de bytes recibidos por el proceso monitorizado. |
Numérico |
bytessent |
Total de bytes enviados por el proceso monitorizado. |
Numérico |
callstack |
Consulta childfilesize . |
Numérico |
Atributos del proceso hijo:
0x0000002000000000 (SAFE_BOOT_MODE): el equipo se inició en modo seguro. |
Enumeración |
|
childattmask |
Consulta childattributes. | |
childblake |
Firma Blake2S del fichero hijo. |
Cadena de caracteres |
childclassification |
Clasificación del proceso hijo que realiza la acción registrada.
|
Enumeración |
childdrive |
Tipo de unidad donde se registró la operación:
|
Numérico |
Nombre del proceso hijo. |
Cadena de caracteres |
|
childfileowner |
Propietario del fichero ejecutado. |
Cadena de caracteres |
Tamaño del fichero hijo registrado por el agente. |
Numérico |
|
childfiletime |
Fecha del fichero hijo registrado por el agente. |
Fecha |
Fecha en la que se ve el fichero por primera vez. |
Fecha |
|
childmd5 |
Hash del fichero hijo. |
Cadena de caracteres |
Ruta del fichero hijo que realiza la operación registrada. |
Cadena de caracteres |
|
childpid |
Identificador del proceso hijo. |
Numérico |
Firma SHA256 del proceso hijo de la operación. |
Cadena de caracteres |
|
childstatus |
Estado del proceso hijo.
|
Enumeración |
childfileowner |
Cuenta de usuario propietaria del fichero ejecutado. |
Cadena de caracteres |
childurl |
Url de descarga del fichero. |
Cadena de caracteres |
ciphertype |
Análisis del protocolo SSL/TLS y sus características en HTTPS (por ejemplo TLS_RSA_WITH_AES_128_GCM_SHA256). |
Cadena de caracteres |
classname |
Tipo del dispositivo donde reside el proceso. Se corresponde con la clase indicada en el fichero .inf asociado al dispositivo. |
Cadena de caracteres |
eventtype 65 (Users) Programa que se ejecuta al iniciar sesión, generalmente un intérprete de comandos (por ejemplo, /bin/bash) en sistemas operativos Linux. eventtype 66(SysOps) Linea de comandos que ejecuta la tarea en sistemas operativos Linux. eventtype 68 (XDG) Linea de comandos que se ejecuta cuando el fichero .desktop es interpretado en sistemas operativos Linux. eventtype 69 (Udev) Comando o script que se ejecuta cuando se activa la regla udev al conectar / desconectar un dispositivo. eventtype 1 (ProcessOps) eventtype 31 (ScriptOps) eventtype 45 (SystemOps) eventtype 99 (Action) eventtype 199 (HiddenAction) Línea de comandos configurada como tarea para ser ejecutada a través de WMI en sistemas operativos Windows. |
Cadena de caracteres |
|
confadvancedrules |
Consulta advancedrulesconf. |
Cadena de caracteres |
configservicelevel |
Configuración del modo de ejecución del agente. Puede diferir temporalmente del modo de ejecución en curso. Consulta servicelevel |
Enumeración |
configstring |
Consulta extendedinfo. |
Cadena de caracteres |
connectionstate |
Estado de la conexión notificada.
|
Enumeración |
contentencoding |
Codificación empleada en el contenido de la conexión HTTP. Consulta https://www.iana.org/assignments/http-parameters/http-parameters.xml |
Cadena de caracteres |
copy |
Nombre del servicio que desencadena el evento. |
Cadena de caracteres |
Nombre único del objeto dentro de la jerarquía WMI. |
Cadena de caracteres |
|
date |
Fecha UTC del momento en que se produjo el evento en el equipo del cliente. No incluye información horaria. Consulta pandatimestatus para interpretar correctamente este campo. |
Numérico |
datetime |
Fecha UTC del momento en que se produjo el evento en el equipo del cliente. Incluye información horaria. Consulta pandatimestatus para interpretar correctamente este campo. |
Numérico |
description |
Consulta extendedinfo. |
Cadena de caracteres |
Dirección IP del equipo destino en una conexión de red analizada por Network Attack Protection. |
Dirección IP |
|
Puerto del equipo destino en una conexión de red analizada por Network Attack Protection. |
Numérico |
|
details |
Resumen en forma de agrupación de campos relevantes del evento. eventtype 1 (ProcessOps) Contiene el campo commandline. eventtype 14 (Download) Contiene el campo url. eventtype 22 (NetworkOps) Contiene los campos direction, ipv4status, protocol y remoteport. eventtype 27 (RegistryOps) Contiene el campo valuedata eventtype 31 (ScriptLaunch) Contiene el campo commandline. eventtype 46 (DnsOps) Contiene el campo domainlist. eventtype 47 (DeviceOps) Contiene el campo devicetype. eventtype 50 (UserNotification) Contiene el campo parentfilename. eventtype 52 (LoginOutOp) Contiene los campos eventtype, sessiontype, loggeduser, remotemachinename y remoteip eventtype 99 (RemediationOps) Contiene los campos remoteip, remotemachinename, commandline y detectionid eventtype 555 (IOA) Contiene el campo extendedinfo |
Cadena de caracteres |
eventtype 1(ProcessOps) y operation=43 (Heuhooks) y winningtech=14(AntiExploit) y detectionid<=65 Nombre de la API o del grupo de APIs de Windows ejecutada por el proceso.
Resto de casos Nombre del malware o ataque detectado. |
Cadena de caracteres |
|
deviceid |
Consulta attackerDeviceId. |
Numérico |
Tipo de unidad donde reside el proceso o fichero que desencadenó la operación registrada.
|
Enumeración |
|
eventtype 22 (NetworkOps): Sentido de la conexión de red.
eventtype 99 (RemediationOps) - napdirection Sentido de la conexión de red.
|
Enumeración |
|
Consulta list. |
|
|
Entropía del contenido del mensaje POST para categorizar la probabilidad de robo y extracción de datos. |
Cadena de caracteres |
|
entropia |
Consulta entropy. |
Numérico |
errorcode |
Código de error suministrado por el sistema operativo ante un inicio de sesión fallido.
|
en |
errorevent |
Consulta extendedinfo. |
Cadena de caracteres |
errorstring |
Consulta extendedinfo. |
Cadena de caracteres |
Tipo de evento registrado por el agente.
|
Enumeración |
|
executinggroup |
Especifica el grupo que se utilizará para ejecutar el proceso registrado en el evento. disponible en sistemas operativos Linux. |
Cadena de caracteres |
executinguser |
Especifica el usuario que se utilizará para ejecutar el proceso registrado en el evento. Disponible en sistemas operativos Linux. |
Cadena de caracteres |
exploitorigin |
Origen del intento de explotación del proceso.
|
Enumeración |
eventtype 0 (SvcStatus): Estado en el que se encuentra el agente del producto de seguridad:
eventtype 1 (ProcessOps) - errorstrings: Cadena de caracteres con información de depuración sobre la configuración del producto de seguridad. Para los eventos con el campo operation establecido en DirCreate, CMOpened, o CMPCreat, el campo errorstring actúa como un contador de agrupación de eventos: Dentro de una misma hora, los 50 primeros eventos se registran individualmente. Una vez alcanzado el límite de 50 eventos en una hora, los eventos adicionales del mismo tipo se agrupan y no se envían hasta que se registra el primer evento del mismo tipo en una nueva hora. En este momento se envía el evento agrupuado con el campo errorstring incluyendo tanto los eventos agrupados como los 50 primeros eventos, y se reinicia el contador. eventtype 26 (DataAccess):
eventtype 27 (RegistryOps):
eventtype 40 (Detection) - infodiscard: Información interna del fichero de cuarentena. eventtype 45 (SystemOps): Información adicional sobre los eventos con Type:
eventtype 47 (DeviceOps) - description
eventtype 61 (ErrorEvents):
eventtype 99 (RemediationOps) - remediationdata: Cadena de caracteres con los siguientes campos separados por *:
eventtype 555 (IOA): Información de los procesos que generaron el IOA. |
Cadena de caracteres |
|
failedqueries |
Número de peticiones de resolución DNS fallidas producidas por el proceso en la última hora. |
Numérico |
fingerprint |
JSON en base64 con los fingerprints detectados en la conexión TLS:
|
Cadena de caracteres |
firstseen |
Consulta childfirstseen |
Fecha |
friendlyname |
Nombre legible del dispositivo. |
Cadena de caracteres |
guidrule |
Consulta ruleid. |
|
groupid |
Identificador de grupo al que pertenece la cuenta de usuario involucrada en el evento en sistemas operativos Linux. Si es 0, el grupo es root. |
Numérico |
groupmembers |
Lista de usuarios separados por coma que pertenecen al grupo en sistemas operativos Linux. |
Cadena de caracteres |
headerhttp |
Volcado de la cabecera HTTP cuando se detecta una comunicación por un túnel HTTP. Este campo solo incluye información si el modo auditoría del software de protección está activado. |
Cadena de caracteres |
hostname |
Consulta remotemachinename |
Cadena de caracteres |
huntingruleid |
Consulta ruleid. |
Cadena de caracteres |
huntingrulemitre |
TTPs asociados a la Hunting rule. |
Cadena de caracteres |
huntingrulemode |
Indica si la regla está activada o no en el Threat Engine para generar indicios. |
Booleano |
huntingrulename |
Nombre de la regla del Radar de ciberataques que detectó el indicio. |
Cadena de caracteres |
huntingruleseverity |
Importancia del impacto del indicio generado por la Hunting rule:
|
Enumeración |
huntingruletype |
Tipo de Hunting rule:
|
Enumeración |
idname |
Nombre del dispositivo. |
Cadena de caracteres |
indicatortimestamp |
Consulta ioatimestamp |
Fecha |
infodiscard |
Consulta extendedinfo |
Cadena de caracteres |
initialdomain |
Consulta url. |
Cadena de caracteres |
insertiondatetime |
Fecha en formato UTC del momento en el que Cytomic Orion registró en sus servidores el evento enviado por el equipo. Esta fecha siempre será algo posterior al resto de fechas ya que los eventos se encolan para ser procesados. |
Fecha |
Indica si es un inicio de sesión de usuario interactiva. |
Binario |
|
IOAId |
Identificador del indicio. |
Cadena de caracteres |
IOAIds |
Cuando una secuencia de eventos sigue un patrón descrito en la matriz MITRE, Cytomic Orion crea un indicio (IOA) y añade su identificador a todos los eventos que lo forman. |
Numérico |
Fecha UTC en formato epoch (número de segundos transcurridos desde el 1 de enero de 1970) del momento en que se produjo el último evento que desencadenó la creación del indicio. |
Fecha |
|
Tipo de direccionamiento IP:
|
Enumeración |
|
isdenied |
Indica si se ha denegado la acción reportada sobre el dispositivo. |
Binario |
islocal |
Indica si la tarea se ha creado en el equipo local o en uno remoto. |
Binario |
islocalipv6 |
Indica si la IP es v6 o v4. |
Booleano |
isremoteipv6 |
Indica si la IP es v6 o v4. |
Booleano |
issessioninteractive |
Consulta interactive. |
Binario |
key |
Rama o clave del registro afectado. |
Cadena de caracteres |
lastquery |
Última consulta del agente Cytomic EDR o Cytomic EPDR a la nube. |
Fecha |
eventtype 46 (DnsOps) - DomainList:
eventtype 99 (RemediationOps) - url:
|
Cadena de caracteres |
|
localdatetime |
Fecha en formato UTC que tiene el equipo en el momento en que se produce el evento registrado. Esta fecha depende de la configuración del equipo y por lo tanto puede ser errónea. |
Fecha |
eventtype 22 (NetworkOps) - localip Contiene la dirección IP del equipo donde se registra el evento, independientemente de la dirección de la conexión (campo direction). Consulta remoteip y direction. eventtype 99 (RemediationOps) - naporiginip: Dirección IP del equipo origen en una conexión de red analizada por Network Attack Protection. |
Dirección IP |
|
eventtype 22 (NetworkOps) - localport Contiene el puerto del equipo donde se registra el evento o del otro extremo de la conexión dependiente del campo direction:
Consulta direction. eventtype 99 (RemediationOps) - naporiginport: Puerto del equipo origen en una conexión de red analizada por Network Attack Protection. |
Numérico |
|
Usuario logueado en el equipo en el momento de la generación del evento. |
Cadena de caracteres |
|
machinename |
Nombre del equipo que ejecuta el proceso. |
Cadena de caracteres |
Modo de inicio del equipo:
|
Enumeración |
|
Estado del equipo:
|
Enumeración |
|
manufacturer |
Fabricante del dispositivo. |
Cadena de caracteres |
method |
Método de la conexión HTTP cuando se detecta una comunicación a través de un túnel HTTP.
Este campo solo incluye información si el modo auditoria del software de protección está activado. |
Numérico |
MUID |
Identificador interno del equipo del cliente. |
Cadena de caracteres |
napattack |
Dirección del ataque de red.
|
Numérico |
napdestinationip |
Consulta destinationip. |
|
napdestinationport |
Consulta destinationport. |
|
napdirection |
Consulta direction. |
|
napoccurrences |
Consulta times. |
|
naporiginip |
Consulta localip. |
|
naporiginport |
Consulta localport |
|
notificationtype |
Uso interno. |
Cadena de caracteres |
numcacheclassifiedelements |
Número de elementos cuya clasificación está cacheada en el software de seguridad. |
Numérico |
objectname |
Consulta datacontanier. |
|
occurrences |
Número de indicios agrupados. Consulta Agrupación de indicios |
Numérico |
opstatus |
|
Enumeración |
opentstamp |
Fecha de la notificación WMI cuando el evento es de tipo WMI_CREATEPROC (54). |
Máscara de bits |
opentstamp |
||
Tipo de operación ejecutada por el proceso. eventtype 1 (ProcessOps) Operación genérica con elementos del sistema operativo.
eventtype 26 (DataAccess) Tipo de operación ejecutada sobre el fichero
eventtype 45 (SystemOps) Tipo de operación WMI ejecutada por el proceso.
eventtype 65 (Users) Tipo de operación con las cuentas de usuario en sistemas operativos Linux.
eventtype 66 (SysOps) Tipo de modificación en la configuración de sistemas operativos Linux.
|
Enumeración |
|
eventtype 1 (ProcessOps) - operationflags Indica el nivel de integridad asignado por Windows al elemento. Consulta https://learn.microsoft.com/en-us/windows/win32/secauthz/mandatory-integrity-control.
eventtype 22 (NetworkOps) - SocketOpFlags Indica el algoritmo de agrupación utilizado para minimizar el registro de conexiones de red que tienen las mismas direcciones IP y puertos de origen y destino. Las agrupaciones se producen por periodos de tiempo, registrándose una única conexión del grupo cuando termina el periodo. El periodo de tiempo varia en función del número de conexiones registradas:
Cuando se registra el número de conexiones indicado en el nivel de agrupación actual se incrementa el nivel de agrupación. Cada hora se reevalúa el número de conexiones registradas para ajustar a la baja el nivel de agrupación, si es necesario. |
Numérico |
|
operationmonitoredopen |
Consulta operation. |
|
operationstatus |
Consulta opstatus. |
Numérico |
operationsvc |
Consulta operation. |
|
operationsysops |
Consulta operation. |
|
operationudev |
Consulta operation. |
|
operationusers |
Consulta operation. |
|
operationxdg |
Consulta operation. |
|
Indica si el evento debe ser enviado a Cytomic Insights o no:
|
Enumeracion |
|
origusername |
Usuario del equipo que realiza la operación. |
Cadena de caracteres |
pandaalertid |
Identificador interno del indicio. |
Cadena de caracteres |
pandaid |
Consulta accountid. |
Numérico |
Indica el algoritmo utilizado para calcular las fechas de los campos Date, DateTime y TimeStamp:
|
Enumeración |
|
Atributos del proceso padre.
|
Enumeración |
|
parentattmask |
Consulta parentattributes. | |
parentblake |
Firma Blake2S del padre de la operación. |
Cadena de caracteres |
parentcount |
Número de procesos con accesos DNS fallidos. |
Numérico |
parentdrive |
Tipo de unidad donde se registró la operación:
|
Numérico |
Nombre del fichero padre. |
Cadena de caracteres |
|
parentmd5 |
Hash del fichero padre. |
Cadena de caracteres |
Ruta del fichero padre que realizó la operación registrada. |
Cadena de caracteres |
|
parentpid |
Identificador del proceso padre. |
Numérico |
parentstatus |
|
Enumeración |
passwordstatus |
Estado de la contraseña en sistemas operativos Linux.
|
Enumeración |
pecreationsource |
Tipo de unidad donde fue creado el fichero:
|
Numérico |
phonedescription |
Descripción del teléfono si la operación involucró a un dispositivo de este tipo. |
Cadena de caracteres |
pid |
Identificador del proceso que inicia la sesión. |
Numérico |
processtreeid |
Identificador de un árbol de procesos. |
Numérico |
Protocolo de comunicaciones utilizado por el proceso.
|
Enumeración |
|
proxyconnection |
La conexión sale por un proxy. |
Booleano |
querieddomaincount |
Consulta times. |
Numérico |
realservicelevel |
Modo de funcionamiento del agente en curso (puede diferir temporalmente del modo asignado por configuración). Consulta servicelevel . |
Enumeración |
redirection |
Se ha detectado una redirección HTTP. Este campo solo incluye información si el modo auditoría del software de protección está activado. |
Booleano |
registryaction |
Tipo de operación realizada en el registro del equipo.
|
Enumeración |
remediationdata | Consulta extendedinfo. | |
remediationresult |
Respuesta del usuario ante el mensaje emergente mostrado por Cytomic EPDR o Cytomic EDR.
|
Enumeración |
eventtype 1 (ProcessOps) Dirección IP del equipo remoto que ejecutó la acción en el equipo monitorizado. eventtype 22 (Networkops) Contiene la dirección IP del otro extremo de la conexión, independientemente de la dirección de la conexión (campo direction). Consulta localip y direction. eventtype 42 (BandwidthUsage) Dirección IP del dispositivo al que se conecta el equipo monitorizado para descargar datos. eventtype 45 (SystemOps) Dirección IP del equipo que se conecta al equipo monitorizado para ejecutar una petición WMI. |
Dirección IP |
|
eventtype 1 (ProcessOps) Nombre del equipo remoto que ejecutó la acción en el equipo monitorizado. eventtype 22 (Networkops) - hostname Nombre del equipo remoto. eventtype 42 (BandwidthUsage) Nombre del dispositivo al que se conecta el equipo monitorizado para descargar datos. eventtype 45 (SystemOps) Nombre del equipo que se conecta al equipo monitorizado para ejecutar una petición WMI. eventtype 99 (RemediationOps) Nombre del equipo remoto que inicia la conexión monitorizada por Endpoint Access Enforcement. |
Cadena de caracteres |
|
eventtype 22 (Networkops) Contiene el puerto del equipo donde se registra el evento o del otro extremo de la conexión dependiente del campo direction:
Consulta localport y direction. eventtype 42 (BandwidthUsage) Puerto del dispositivo al que se conecta el equipo monitorizado para descargar datos. |
Numérico |
|
remoteusername |
Nombre del usuario remoto que realiza la operación en el equipo monitorizado. |
Cadena de caracteres |
responseclassification |
Clasificación del proceso.
|
Enumeración |
Estado del dispositivo que inicia la conexión con el equipo protegido que determinó el bloqueo o la monitorización de la conexión en la tecnología Control de acceso a Endpoints.
|
Enumeración |
|
riskdetected |
Consulta risk. |
|
eventtype 555 (IOA) - huntingruleid: Nombre de la regla del Radar de ciberataques que detectó el indicio. eventtype 22 (IOA) - ruleid: Regla de Snort que detectó la comunicación a través de un túnel HTTP. Este campo solo incluye información si el modo auditoria del software de protección está activado. |
Cadena de caracteres |
|
Modo de ejecución del agente.
|
Enumeración |
|
sessiondate |
Fecha de inicio del servicio del antivirus por última vez, o desde la última actualización. |
Fecha |
sessionid |
Identificador de la sesión. |
Numérico |
Tipo de creación o inicio de sesión:
|
Enumeración |
|
sha256 |
Consulta childsha256. |
Cadena de caracteres |
shash |
Patrón de caracteres alfanuméricos que sigue el hash del proceso hijo. |
Cadena de caracteres |
socketopflags |
Consulta operationflags/ integrityLevel. | |
telemetrytype |
|
Enumeración |
threadid |
Identificador de un hilo de un proceso. |
Numérico |
timeout |
El análisis en local tardó demasiado tiempo en completarse y el proceso se delega en otros mecanismos que no impacten en el rendimiento. |
Booleano |
eventtype 22 (NetworkOps) Número de veces que se ha repetido una conexión creada por el mismo proceso, en la misma ruta, con los mismos localIP, RemoteIP y RemotePort. eventtype 45 (SystemOps) Número de peticiones WMI por tabla y proceso agrupadas en el intervalo de 1 hora. eventtype 46 (DnsOps) - querieddomaincount Número de dominios diferentes con resolución fallida del proceso en la última hora. eventtype 99 (RemediationOps) - napocurrences Número de veces que se ha registrado el mismo tipo de ataque de red con destino una misma IP en el intervalo de una hora. eventtype 99 (RemediationOps) - napocurrences, winningtech = 16, 17 o 18 Número de veces que se ha detectado el mismo tipo de política de seguridad en el intervalo de una hora. La primera detección se registra con el campo a 1. |
Numérico |
|
timestamp |
Fecha UTC en formato epoch (número de nanosegundos transcurridos desde el 1 de enero de 1970) del momento en que se produjo el evento en el equipo del cliente. Consulta pandatimestatus para interpretar correctamente este campo. |
Fecha |
totalresolutiontime |
Indica el tiempo que ha tardado la nube en responder, y si ha habido error en la consulta del código de error.
|
Numérico |
triggertarget |
Nombre de la unidad de systemd (fichero .service, .socket o .path) que se activará cuando el temporizador programado expire. Disponible en sistemas operativos Linux. |
Cadena de caracteres |
TTPs |
Lista de las técnicas, tácticas y subtécnicas asociadas al evento MITRE. |
Cadena de caracteres |
type |
Consulta operation. |
Enumeración |
uniqueid |
Identificador único del dispositivo. |
Cadena de caracteres |
eventtype 14 (Download) - childurl Url de descarga lanzada por el proceso que generó el evento registrado. eventtype 22 (NetworkOps) - inicitaldomain Dominio origen cuando se detecta una redirección HTTP. Este campo solo incluye información si el modo auditoría del software de protección está activado. eventtype 99 (RemediationOps) Lista de 10 urls enviadas por el monitor de procesos separadas por * en el caso de detectar un exploit. |
Cadena de caracteres |
|
userid |
Identificador de la cuenta de usuario involucrada en el evento en sistemas operativos Linux. |
Numérico |
username |
Consulta loggeduser. | |
value |
Rama y clave del registro. |
Enumeración |
Tipo del dato del valor contenido en la clave del registro y valor que contiene:
|
Enumeración |
|
valuedatalength |
Tamaño del dato almacenado en el registro de Windows. |
Numérico |
Versión de las dlls PSNMVHookPlg32 y PSNAntiExploitPLG.dll |
Cadena de caracteres |
|
Versión del fichero bloomfilter que contiene la caché de goodware local. |
Cadena de caracteres |
|
vcontroller |
Consulta versioncontroller. | |
Versión del fichero de filtros para la tecnología de detección contextual (deteventfilter) |
Cadena de caracteres |
|
verbosemode |
El equipo está configurado en modo detallado. |
Binario |
version |
Versión del sistema operativo del equipo que ejecuta el software vulnerable. |
Cadena de caracteres |
versionagent |
Versión del agente instalado. |
Cadena de caracteres |
versionantiexploit |
Consulta vantiexploit. |
Cadena de caracteres |
versionbloomfilter |
Consulta vbloomfilter. |
Cadena de caracteres |
Versión de la dll psnmvctrl.dll. |
Cadena de caracteres |
|
versiondetectevent |
Versión de la dll deteven.dll. |
Cadena de caracteres |
versiondetection |
||
versiondetevenfilter |
Consulta vdeteventfilter. |
|
versionfilterantiexploit |
Consulta vtfilterantiexploit. |
|
versionhelper |
Versión de la dll HELPER_XX.exe |
Cadena de caracteres |
versioninjectionplg |
Versión de la dll PSNInyectorPLG.dll |
Cadena de caracteres |
versionioaplg |
Consulta vioaplg. | |
versionnopeanalysisfilter |
Versión del filtro del modelo en el fichero nn.sig para analizar scripts. |
Cadena de caracteres |
versionproduct |
Versión del producto de protección instalado. |
Cadena de caracteres |
versionramsomevent |
Consulta vramsomevent. |
|
versionsherlockplg |
Consulta vsherlockplg. | |
versiontabledetection |
Consulta vtabledetevent. |
|
versiontableramsom |
Consulta vtableramsomevent. |
|
versionttpplg |
Consulta vttpplg. | |
Versión de la dll PSNIOAPlg.dll. |
Cadena de caracteres |
|
Versión de la dll TblEven.dll. |
Cadena de caracteres |
|
Versión de la dll TblRansomEven.dll. |
Cadena de caracteres |
|
Versión de la dll RansomEvent.dll. |
Cadena de caracteres |
|
Versión de la dll PSNEVMGRAG.dll. |
Cadena de caracteres |
|
Versión de la dll PSINJHOOKPLG32.dll. |
Cadena de caracteres |
|
Versión de la dll PSNMitrePlg.dll. |
Cadena de caracteres |
|
Tecnología del agente Cytomic EPDR o Cytomic EDR que provoca el evento.
|
Enumeración |
|
wsdocs |
Lista de documentos abiertos cuando se produce un detección de exploit. |
Cadena de caracteres |