Lijst met gebeurtenissen-ID’s van Windows exporteren voor beveiligde endpoints

Downloadopties

  • PDF     (238.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (71.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 juli 2024
Document-id:222136

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft alle gebeurtenis-ID’s voor Cisco Secure Endpoint en helpt u bij effectieve bewaking en respons op incidenten.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Vastlegging gebeurtenissen in Windows
    • Cisco Secure-endpoint

    Gebruikte componenten

    De informatie in dit document is gebaseerd op deze softwareversies:

    • Cisco Secure Endpoint 8.4.0.30201
    • Windows Server 2019

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleem

    Windows Event ID’s voor Cisco Secure Endpoint zijn essentieel voor effectieve bewaking en probleemoplossing. Het hebben van toegang tot deze Event IDs is cruciaal voor het diagnosticeren van problemen, het verzekeren van operationele efficiency, en het verbeteren van algemene veiligheid.

    Oplossing

    Open File Explorer, navigeer naar C:\Program Files\Cisco\AMP\<version_number>\AMPEevents.man bestand. U kunt dit bestand in Kladblok openen om alle informatie te bekijken die betrekking heeft op Windows-gebeurtenissen die door Cisco Secure Endpoint zijn gegenereerd.

    Geëxporteerde lijst van Event ID's uit het bestand AMPEevents.man:

    Event-ID Gebeurtenis Engine/taak Waterpas
    100 EXPREV_ATTACK_ZONDER_VERDACHTE_FILES_V1/V2/V3/V4 Preventie van uitbuiting informatie
    101 EXPREV_ATTACK_WITH_suspICIOUS_FILES_V1/V2/V3/V4 Preventie van uitbuiting informatie
    102 EXPREV_ATTACK_NOT_VERDACHTE_FILES_V3/V4_AUDIT Preventie van uitbuiting informatie
    103 EXPREV_ATTACK_WITH_suspICIOUS_FILES_V3/V4_AUDIT Preventie van uitbuiting informatie
    104 EXPREV_SCRIPT_CONTROL_ATTACK_V4 Preventie van uitbuiting informatie
    105 EXPREV_SCRIPT_CONTROL_ATTACK_V4_AUDIT Preventie van uitbuiting informatie
    200 KWAADAARDIGE_ACTIVITEIT_BESCHERMING_V1/V2 Kwaadaardige activiteitsbescherming informatie
    300 SD_BLOK_PROCES_ACTION_V1 Procesbescherming voor systemen informatie
    400 CCMS_TAAK_GESTART_V1 CCMS informatie
    401 JANUS_EVENT_V1   informatie
    500 ENDPOINT_ISOLATION_START_V1 Endpoint-isolatie informatie
    501 ENDPOINT_ISOLATION_STOPSTED_V1 Endpoint-isolatie informatie
    502 ENDPOINT_ISOLATION_STARTFAILL_V1 Endpoint-isolatie Fout
    503 ENDPOINT_ISOLATION_STOPFAILL_V1 Endpoint-isolatie Fout
    504 ENDPOINT_ISOLATION_UPDATE_V1 Endpoint-isolatie informatie
    505 ENDPOINT_ISOLATION_UPDATEFILED_V1 Endpoint-isolatie Fout
    600 ORBITAL_INSTALL_SUCCESS_V1 orbitaal informatie
    601 ORBITAL_INSTALL_FAILL_V1 orbitaal Fout
    602 ORBITAL_UPDATE_SUCCESS_V1 orbitaal informatie
    603 ORBITAL_UPDATE_FAILL_V1 orbitaal Fout
    700 ENDPOINT_ISOLATION_BRUTE_FORCE_TRY Endpoint-isolatie WAARSCHUWING
    800 SCRIPT_PROTECTION_DETECTION_V1 Script-bescherming informatie
    801 SCRIPT_PROTECTION_QUARANTAINE_V1 Script-bescherming informatie
    900 MOTOR_DETECTIE_BEHANDELD Gedragsbescherming informatie
    901 ENGINE_DETECTIE_NIET_BEHANDELD Gedragsbescherming Fout
    902 ENGINE_DETECTIE_AUDIT Gedragsbescherming informatie
    903 ENGINE_DETECTIE_NO_ACTION Gedragsbescherming informatie
    904 MOTOR_OPRUIMEN_VEREIST Gedragsbescherming informatie
    1248 SCAN_VOLTOOID_CLEAN_V1 Scannen informatie
    1249 SCAN_VOLTOOID_DIRTY_V1 Scannen informatie
    1250 SCAN_MISLUKT_V1 Scannen Fout
    1300 DETECTIE_V1 Detectie informatie
    1310 QUARANTAINE_SUCCESS_V1 quarantaine informatie
    1311 QUARANTAINE_MISLUKT_V1 quarantaine Fout
    1320 UITVOERING_BLOK_V1 ExecutionBlock informatie
    1321 UITVOERING_BLOK_BAD_PARENT_V1 ExecutionBlock informatie
    1700 WMI_RECON_V1 WMIRecon informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    18-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Sourav Kukreja
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten