In diesem Dokument werden alle Ereignis-IDs für Cisco Secure Endpoint beschrieben, um eine effektive Überwachung und Reaktion auf Vorfälle zu ermöglichen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Windows-Ereignisprotokollierung
- Sichere Endgeräte von Cisco
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:
- Cisco Secure Endpoint 8.4.0.30201
- Windows Server 2019
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Problem
Windows Event IDs für Cisco Secure Endpoint sind für eine effektive Überwachung und Fehlerbehebung unerlässlich. Der Zugriff auf diese Ereignis-IDs ist für die Diagnose von Problemen, die Sicherstellung der Betriebseffizienz und die Verbesserung der allgemeinen Sicherheit von entscheidender Bedeutung.
Lösung
Öffnen Sie den Datei-Explorer, und navigieren Sie zur Datei C:\Program Files\Cisco\AMP\<Versionsnummer>\AMPEvents.man. Sie können diese Datei im Editor öffnen, um alle Informationen zu Windows-Ereignissen anzuzeigen, die von Cisco Secure Endpoint generiert wurden.
Liste der Ereignis-IDs aus der Datei AMPEvents.man exportiert:
Ereignis-ID |
Veranstaltung |
Engine/Task |
Stufe |
100 |
EXPREV_ATTACK_OHNE_VERDÄCHTIGE_DATEIEN_V1/V2/V3/V4 |
ExploitPrevention |
Informatorisch |
101 |
EXPREV_ATTACK_WITH_SUSPICIOUS_FILES_V1/V2/V3/V4 |
ExploitPrevention |
Informatorisch |
102 |
EXPREV_ATTACK_OHNE_VERDÄCHTIGE_DATEIEN_V3/V4_AUDIT |
ExploitPrevention |
Informatorisch |
103 |
EXPREV_ATTACK_WITH_SUSPICIOUS_FILES_V3/V4_AUDIT |
ExploitPrevention |
Informatorisch |
104 |
EXPREV_SCRIPT_CONTROL_ATTACK_V4 |
ExploitPrevention |
Informatorisch |
105 |
EXPREV_SCRIPT_CONTROL_ATTACK_V4_AUDIT |
ExploitPrevention |
Informatorisch |
200 |
SCHÄDLICHE_AKTIVITÄT_SCHUTZ_V1/V2 |
Schutz vor böswilligen Aktivitäten |
Informatorisch |
300 |
SD_BLOCK_PROCESS_ACTION_V1 |
SystemProzessSchutz |
Informatorisch |
400 |
CCMS_JOB_STARTS_V1 |
CCMS |
Informatorisch |
401 |
JANUS_EVENT_V1 |
|
Informatorisch |
500 |
ENDPUNKT_ISOLATION_STARTED_V1 |
Endpunktisolierung |
Informatorisch |
501 |
ENDPUNKT_ISOLATION_STOPPED_V1 |
Endpunktisolierung |
Informatorisch |
502 |
ENDPUNKT_ISOLATION_STARTFAILED_V1 |
Endpunktisolierung |
Fehler |
503 |
ENDPUNKT_ISOLATION_STOPFAILED_V1 |
Endpunktisolierung |
Fehler |
504 |
ENDPUNKT_ISOLATION_UPDATED_V1 |
Endpunktisolierung |
Informatorisch |
505 |
ENDPUNKT_ISOLATION_UPDATEFAILED_V1 |
Endpunktisolierung |
Fehler |
600 |
ORBITAL_INSTALL_SUCCESS_V1 |
Orbital |
Informatorisch |
601 |
ORBITAL_INSTALL_FAILED_V1 |
Orbital |
Fehler |
602 |
ORBITAL_UPDATE_SUCCESS_V1 |
Orbital |
Informatorisch |
603 |
ORBITALE_UPDATE_FAILED_V1 |
Orbital |
Fehler |
700 |
ENDPUNKT_ISOLIERUNG_BRUTE_FORCE_VERSUCH |
Endpunktisolierung |
Warnung |
800 |
SCRIPT_PROTECTION_DETECTION_V1 |
Skriptschutz |
Informatorisch |
801 |
SCRIPT_PROTECTION_QUARANTINE_V1 |
Skriptschutz |
Informatorisch |
900 |
MOTOR_ERKENNUNG_BEARBEITET |
VerhaltensbasierterSchutz |
Informatorisch |
901 |
MOTOR_ERKENNUNG_NICHT_BEHANDELT |
VerhaltensbasierterSchutz |
Fehler |
902 |
MODUL_ERKENNUNG_PRÜFUNG |
VerhaltensbasierterSchutz |
Informatorisch |
903 |
MOTOR_ERKENNUNG_KEINE_AKTION |
VerhaltensbasierterSchutz |
Informatorisch |
904 |
MOTOR_CLEANUP_REQUITED |
VerhaltensbasierterSchutz |
Informatorisch |
1248 |
SCAN_COMPLET_CLEAN_V1 |
Scannen |
Informatorisch |
1249 |
SCANNEN_ABGESCHLOSSEN_SCHMUTZ_V1 |
Scannen |
Informatorisch |
1250 |
SCAN_FAILED_V1 |
Scannen |
Fehler |
1300 |
ERKENNUNG_V1 |
Erkennung |
Informatorisch |
1310 |
QUARANTÄNE_ERFOLG_V1 |
Quarantäne |
Informatorisch |
1311 |
QUARANTÄNE_FEHLGESCHLAGEN_1 |
Quarantäne |
Fehler |
1320 |
EXECUTION_BLOCK_V1 |
Ausführungsblock |
Informatorisch |
1321 |
EXECUTION_BLOCK_BAD_PARENT_V1 |
Ausführungsblock |
Informatorisch |
1700 |
WMI_RECON_V1 |
WMIRecon |
Informatorisch |