Liste der Windows-Ereignis-IDs für sichere Endpunkte exportieren

Download-Optionen

  • PDF     (239.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:18. Juli 2024
Dokument-ID:222136

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden alle Ereignis-IDs für Cisco Secure Endpoint beschrieben, um eine effektive Überwachung und Reaktion auf Vorfälle zu ermöglichen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Windows-Ereignisprotokollierung
    • Sichere Endgeräte von Cisco

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:

    • Cisco Secure Endpoint 8.4.0.30201
    • Windows Server 2019

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Problem

    Windows Event IDs für Cisco Secure Endpoint sind für eine effektive Überwachung und Fehlerbehebung unerlässlich. Der Zugriff auf diese Ereignis-IDs ist für die Diagnose von Problemen, die Sicherstellung der Betriebseffizienz und die Verbesserung der allgemeinen Sicherheit von entscheidender Bedeutung.

    Lösung

    Öffnen Sie den Datei-Explorer, und navigieren Sie zur Datei C:\Program Files\Cisco\AMP\<Versionsnummer>\AMPEvents.man. Sie können diese Datei im Editor öffnen, um alle Informationen zu Windows-Ereignissen anzuzeigen, die von Cisco Secure Endpoint generiert wurden.

    Liste der Ereignis-IDs aus der Datei AMPEvents.man exportiert:

    Ereignis-ID Veranstaltung Engine/Task Stufe
    100 EXPREV_ATTACK_OHNE_VERDÄCHTIGE_DATEIEN_V1/V2/V3/V4 ExploitPrevention Informatorisch
    101 EXPREV_ATTACK_WITH_SUSPICIOUS_FILES_V1/V2/V3/V4 ExploitPrevention Informatorisch
    102 EXPREV_ATTACK_OHNE_VERDÄCHTIGE_DATEIEN_V3/V4_AUDIT ExploitPrevention Informatorisch
    103 EXPREV_ATTACK_WITH_SUSPICIOUS_FILES_V3/V4_AUDIT ExploitPrevention Informatorisch
    104 EXPREV_SCRIPT_CONTROL_ATTACK_V4 ExploitPrevention Informatorisch
    105 EXPREV_SCRIPT_CONTROL_ATTACK_V4_AUDIT ExploitPrevention Informatorisch
    200 SCHÄDLICHE_AKTIVITÄT_SCHUTZ_V1/V2 Schutz vor böswilligen Aktivitäten Informatorisch
    300 SD_BLOCK_PROCESS_ACTION_V1 SystemProzessSchutz Informatorisch
    400 CCMS_JOB_STARTS_V1 CCMS Informatorisch
    401 JANUS_EVENT_V1   Informatorisch
    500 ENDPUNKT_ISOLATION_STARTED_V1 Endpunktisolierung Informatorisch
    501 ENDPUNKT_ISOLATION_STOPPED_V1 Endpunktisolierung Informatorisch
    502 ENDPUNKT_ISOLATION_STARTFAILED_V1 Endpunktisolierung Fehler
    503 ENDPUNKT_ISOLATION_STOPFAILED_V1 Endpunktisolierung Fehler
    504 ENDPUNKT_ISOLATION_UPDATED_V1 Endpunktisolierung Informatorisch
    505 ENDPUNKT_ISOLATION_UPDATEFAILED_V1 Endpunktisolierung Fehler
    600 ORBITAL_INSTALL_SUCCESS_V1 Orbital Informatorisch
    601 ORBITAL_INSTALL_FAILED_V1 Orbital Fehler
    602 ORBITAL_UPDATE_SUCCESS_V1 Orbital Informatorisch
    603 ORBITALE_UPDATE_FAILED_V1 Orbital Fehler
    700 ENDPUNKT_ISOLIERUNG_BRUTE_FORCE_VERSUCH Endpunktisolierung Warnung
    800 SCRIPT_PROTECTION_DETECTION_V1 Skriptschutz Informatorisch
    801 SCRIPT_PROTECTION_QUARANTINE_V1 Skriptschutz Informatorisch
    900 MOTOR_ERKENNUNG_BEARBEITET VerhaltensbasierterSchutz Informatorisch
    901 MOTOR_ERKENNUNG_NICHT_BEHANDELT VerhaltensbasierterSchutz Fehler
    902 MODUL_ERKENNUNG_PRÜFUNG VerhaltensbasierterSchutz Informatorisch
    903 MOTOR_ERKENNUNG_KEINE_AKTION VerhaltensbasierterSchutz Informatorisch
    904 MOTOR_CLEANUP_REQUITED VerhaltensbasierterSchutz Informatorisch
    1248 SCAN_COMPLET_CLEAN_V1 Scannen Informatorisch
    1249 SCANNEN_ABGESCHLOSSEN_SCHMUTZ_V1 Scannen Informatorisch
    1250 SCAN_FAILED_V1 Scannen Fehler
    1300 ERKENNUNG_V1 Erkennung Informatorisch
    1310 QUARANTÄNE_ERFOLG_V1 Quarantäne Informatorisch
    1311 QUARANTÄNE_FEHLGESCHLAGEN_1 Quarantäne Fehler
    1320 EXECUTION_BLOCK_V1 Ausführungsblock Informatorisch
    1321 EXECUTION_BLOCK_BAD_PARENT_V1 Ausführungsblock Informatorisch
    1700 WMI_RECON_V1 WMIRecon Informatorisch

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    18-Jul-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Sourav Kukreja
      Technischer Berater

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.