高级事件类别
JSA 日志源中的事件被分组为高级类别。每个活动都会被分配到一个特定的高级类别。
对传入事件进行分类可确保您可以轻松搜索数据。
下表介绍了高级事件类别。
类别 |
类别 ID |
描述 |
---|---|---|
1000 |
与扫描相关的事件以及用于识别网络资源的其他技术(例如,网络或主机端口扫描)。 |
|
2000 |
与针对服务或主机的拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击相关的事件,例如暴力网络 DoS 攻击。 |
|
3000 |
与身份验证控制、组或权限更改相关的事件,例如登录或退出。 |
|
4000 |
尝试访问网络资源而产生的事件,例如防火墙接受或拒绝。 |
|
5000 |
与应用程序漏洞和缓冲区溢出尝试相关的事件,例如缓冲区溢出或 Web 应用程序漏洞。 |
|
6000 |
与病毒、特洛伊木马、后门攻击或其他形式的恶意软件相关的事件。恶意软件事件可能包括病毒、木马、恶意软件或间谍软件。 |
|
7000 |
威胁的性质未知,但行为可疑。威胁可能包括可能表示隐匿技术的协议异常,例如数据包分片或已知的入侵检测系统 (IDS) 隐匿技术。 |
|
8000 |
与系统更改、软件安装或状态消息相关的事件。 |
|
9000 |
与违反公司政策或误用有关的事件。 |
|
10000 |
与系统上未知活动相关的事件。 |
|
12000 |
攻击 或 事件规则生成的事件。 |
|
13000 |
事件与潜在的应用程序漏洞和缓冲区溢出尝试有关。 |
|
14000 |
与流操作相关的事件。 |
|
15000 |
与用户定义的对象相关的事件。 |
|
16000 |
与用户与控制台交互和管理功能相关的事件。 |
|
17000 |
与 VIS 组件发现的主机、端口或漏洞相关的事件。 |
|
18000 |
与应用程序活动相关的事件。 |
|
19000 |
与审计活动相关的事件。 |
|
20000 |
JSA Risk Manager 中与风险活动相关的事件。 |
|
21000 |
与 JSA Risk Manager 中的审计活动相关的事件。 |
|
22000 |
与您的硬件系统相关的事件。 |
|
23000 |
与资产配置文件相关的事件。 |
|
24000 |
与 UBA 相关的活动。 |