Angriffsindikatoren-Ereignisse

accesstype

Dateizugriffsmaske:

• (54) WMI_CREATEPROC: Local WMI

Für alle anderen Vorgänge:

• https://docs.microsoft.com/en-us/windows/win32/ secauthz/access-mask
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-access-rights-constants
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-security-and-access-rights

accnube

Der auf dem Kundencomputer installierte Agent kann auf WatchGuard Cloud zugreifen.

Aktion

Typ der vom WatchGuard EDR- oder WatchGuard EPDR-Agenten durchgeführten Aktion, durch den Benutzer oder den betroffenen Prozess:

• 0 (Allow) — Der Agent hat die Ausführung des Prozesses zugelassen.
• 1 (Block) — Der Agent hat die Ausführung des Prozesses blockiert.
• 2 (BlockTimeout) — Der Agent hat dem Benutzer eine Pop-up-Meldung angezeigt, aber der Benutzer hat nicht rechtzeitig reagiert.
• 3 (AllowWL) — Der Agent hat die Ausführung des Prozesses zugelassen, weil er auf der lokalen Goodware-Zulassungsliste steht.
• 4 (BlockBL) — Der Agent hat die Ausführung des Prozesses blockiert, weil er auf der lokalen Malware-Blockierliste steht.
• 5 (Disinfect) — Der Agent hat den Prozess desinfiziert.
• 6 (Delete) — Der Agent hat den Prozess als Malware klassifiziert und gelöscht, weil er nicht desinfiziert werden konnte.
• 7 (Quarantine) — Der Agent hat den Prozess als Malware klassifiziert und ihn in den Quarantäne-Ordner auf dem Computer verschoben.
• 8 (AllowByUser) — Der Agent hat dem Benutzer eine Pop-up-Meldung angezeigt und der Benutzer hat mit "Ausführung zulassen" geantwortet.

• 9 (Informed) — Der Agent hat dem Benutzer eine Pop-up-Meldung angezeigt.
• 10 (Unquarantine) — Der Agent hat die Datei aus dem Quarantäne-Ordner entfernt.
• 11 (Rename) — Der Agent hat die Datei umbenannt. Diese Aktion wird nur zu Testzwecken genutzt.

• 12 (BlockURL) — Der Agent hat die URL blockiert.

• 13 (KillProcess) — Der Agent hat den Prozess geschlossen.

• 14 (BlockExploit) — Der Agent hat einen Versuch, einen gefährdeten Prozess auszunutzen, gestoppt.

• 15 (ExploitAllowByUser): Der Benutzer hat nicht zugelassen, dass der ausgenutzte Prozess abgebrochen wird.

• 16 (RebootNeeded) — Der Agent verlangt, dass der Computer neu gestartet wird, um den Exploit-Versuch zu blockieren.

• 17 (ExploitInformed) — Der Agent hat dem Benutzer eine Pop-up-Meldung angezeigt, um einen Versuch, einen gefährdeten Prozess auszunutzen, zu melden.

• 18 (AllowSonGWInstaller) — Der Agent hat die Ausführung des Prozesses zugelassen, weil er zu einem als Goodware klassifizierten Installationspaket gehört.

• 19 (EmbebedInformed) — Der Agent hat interne Betriebsinformationen zur Cloud gesendet, um Erkennungsroutinen zu verbessern.

• 21 (SuspendProcess) — Der überwachte Prozess hat versucht, den Virenschutz-Dienst auszusetzen.

• 22 (ModifyDiskResource) — Der überwachte Prozess hat versucht, eine vom Agent-Schild geschützte Ressource zu verändern.

• 23 (ModifyRegistry) — Der überwachte Prozess hat versucht, einen vom Agent-Schild geschützten Registry-Schlüssel zu verändern.

• 24 (RenameRegistry) — Der überwachte Prozess hat versucht, einen vom Agent-Schild geschützten Registry-Schlüssel umzubenennen.

• 25 (ModifyMarkFile) — Der überwachte Prozess hat versucht, eine vom Agent-Schild geschützte Datei zu verändern.

• 26 (Undefined) — Fehler bei der Überwachung der Prozessausführung.

• 28 (AllowFGW) — Der Agent hat die vom überwachten Prozess ausgeführte Operation zugelassen, weil sie auf der lokalen Goodware-Zulassungsliste steht.

• 29 (AllowSWAuthorized): Der Agent hat die vom überwachten Prozess ausgeführte Operation zugelassen, weil der Administrator die Datei als autorisierte Software gekennzeichnet hat.

• 31 (ExploitAllowByAdmin) — Der Agent hat die vom überwachten Prozess ausgeführte Operation zugelassen, weil der Netzwerkadministrator den Exploit ausgenommen hat.

• 32 (IPBlocked) — Der Agent hat IPs blockiert, um einen RDP (Remote Desktop Protocol) Angriff abzumildern.

actiontype

Gibt den Session-Typ an:

• 0 (Login) — Anmeldung auf dem Kundencomputer.
• 1 (Logout) — Abmeldung auf dem Kundencomputer.
• -1 (Unknown) — Session-Typ kann nicht bestimmt werden.

age

Datum, an dem die Datei zuletzt verändert wurde.

blockreason

Grund, weshalb die Pop-up-Meldung auf dem Computer angezeigt wird:

• 0 — Die Datei wurde blockiert, weil sie unbekannt ist und der Advanced Protection-Modus von WatchGuard EPDR oder WatchGuard EDR auf Hardening oder Lock eingestellt ist.
• 1 — Die Datei wurde von lokalen Regeln blockiert.
• 2 — Die Datei wurde blockiert, weil die Quelle nicht vertrauenswürdig ist.
• 3 — Die Datei wurde von einer Kontextregel blockiert.
• 4 — Die Datei wurde blockiert, weil es sich um einen Exploit handelt.
• 5 — Die Datei wurde blockiert, nachdem der Benutzer aufgefordert wurde, den Prozess zu schließen.

bytesreceived

Summe der vom überwachten Prozess empfangenen Bytes.

bytessent

Summe der vom überwachten Prozess gesendeten Bytes.

callstack/sonsize

Größe der untergeordneten Datei in Bytes.

childattributes

Attribute des untergeordneten Prozesses:

• 0x0000000000000001 (ISINSTALLER) — Selbst-extrahierende (SFX) Datei
• 0x0000000000000002 (ISDRIVER) — Treiberartige Datei
• 0x0000000000000008 (ISRESOURCESDLL) — Ressource DLL-artige Datei
• 0x0000000000000010 (EXTERNAL) — Datei von außerhalb des Computers

• 0x0000000000000020 (ISFRESHUNK) — Datei, die kürzlich zur WatchGuard-Wissensdatenbank hinzugefügt wurde

• 0x0000000000000040 (ISDISSINFECTABLE) — Datei, für die es eine empfohlene Desinfektionsaktion gibt

• 0x0000000000000080 (DETEVENT_DISCARD) — Die ereignisbasierende Kontexterkennungstechnologie hat nichts Verdächtiges erkannt

• 0x0000000000000100 (WAITED_FOR_VINDEX) — Ausführung einer Datei, deren Erstellung nicht registriert worden war

• 0x0000000000000200 (ISACTIONSEND) — Der Client-Agent hat keine Malware in der Datei erkannt und sie wurde zur Klassifizierung an WatchGuard gesendet

• 0x0000000000000400 (ISLANSHARED) — Auf einem Netzwerklaufwerk gespeicherte Datei.

• 0x0000000000000800 (USERALLOWUNK) — Datei mit Berechtigung, unbekannte DLLs zu importieren

• 0x0000000000001000 (ISSESIONREMOTE) — Ereignis, das aus einer Remote-Session stammt

• 0x0000000000002000 (LOADLIB_TIMEOUT) — Die Zeitspanne zwischen dem Abfangen des Ladens der Bibliothek durch den Schutz und deren Scan überstieg 1 Sekunde. Deshalb hat der Scan von synchron zu asynchron gewechselt, um eine Beeinträchtigung der Leistung zu verhindern.

• 0x0000000000004000 (ISPE) — Ausführbare Datei

• 0x0000000000008000 (ISNOPE) — Nicht ausführbare Datei

• 0x0000000000020000 (NOSHELL) — Der Agent hat keine Ausführung eines Shell-Befehls im System erkannt

• 0x0000000000080000 (ISNETNATIVE) — NET Native-Datei

• 0x0000000000100000 (ISSERIALIZER) — Serializer-Datei

• 0x0000000000400000 (SONOFGWINSTALLER) — Von einem als Goodware klassifizierten Installationsprogramm erstellte Datei

• 0x0000000000800000 (PROCESS_EXCLUDED): Datei wurde aufgrund von WatchGuard EPDR-Ausschlüssen nicht gescannt

• 0x0000000001000000 (INTERCEPTION_TXF) — Die abgefangene Operation stammte von einer ausführbaren Datei, deren Image auf dem Laufwerk geändert wird

• 0x0000000002000000 (HASMACROS) — Microsoft Office-Dokument mit Makros

• 0x0000000008000000 (ISPEARM) — Ausführbare Datei für ARM Mikroprozessoren

• 0x0000000010000000 (ISDYNFILTERED) — Die Datei wurde auf dem Computer zugelassen, weil es keine Technologien zu ihrer Klassifizierung gab

• 0x0000000020000000 (ISDISINFECTED) — Die Datei wurde desinfiziert

• 0x0000000040000000 (PROCESSLOST) — Die Operation wurde nicht protokolliert

• 0x0000000080000000 (OPERATION_LOST) — Operation mit einem Pre-Scan-Bericht, für die der Post-Scan-Bericht noch nicht empfangen wurde

childblake

Blake2-Signatur der untergeordneten Datei.

childclassification

Klassifizierung des untergeordneten Prozesses, der die protokollierte Aktion ausgeführt hat.

• 0 (Unknown) — Datei, die derzeit klassifiziert wird
• 1 (Goodware) — Als Goodware klassifizierte Datei
• 2 (Malware) — Als Malware klassifizierte Datei
• 3 (Suspect) — Die Datei wird derzeit klassifiziert und es handelt sich höchstwahrscheinlich um Malware
• 4 (Compromised) — Prozess wurde durch einen Exploit-Angriff kompromittiert
• 5 (GWNotConfirmed) — Die Datei wird derzeit klassifiziert und es handelt sich höchstwahrscheinlich um Malware
• 6 (Pup) — Als unerwünschtes Programm klassifizierte Datei
• 7 (GwUnwanted) — Äquivalent mit PUP
• 8 (GwRanked) — Als Goodware klassifizierter Prozess
• -1 (Unknown)

childfiletime

Datum, an dem die untergeordnete Datei vom Agent protokolliert wurde.

childfilesize

Größe der untergeordneten Datei, die vom Agent protokolliert wurde.

childmd5

Hash der untergeordneten Datei.

childpath

Pfad der untergeordneten Datei, die die protokollierte Operation ausgeführt hat.

ChildPID

Prozess-ID der untergeordneten Datei.

childurl

URL Datei-Download.

childstatus

Prozess-Status der untergeordneten Datei:

• 0 (StatusOk) — Status OK
• 1 (NotFound) — Element nicht gefunden
• 2 (UnexpectedError) — Unbekannter Fehler
• 3 (StaticFiltered) — Datei wurde unter Verwendung statischer Informationen im WatchGuard EDR oder WatchGuard EPDR-Schutz als Malware identifiziert
• 4 (DynamicFiltered) — Datei wurde mittels in WatchGuard EDR oder WatchGuard EPDR implementierter lokaler Technologie als Malware identifiziert
• 5 (FileIsTooBig) — Datei ist zu groß
• 6 (PEUploadNotAllowed) — Senden von Dateien ist deaktiviert
• 11 (FileWasUploaded) — Datei wurde zur Analyse an die Cloud gesendet
• 12 (FiletypeFiltered) — Resource DLL, NET Native oder Serializer-Typ-Datei
• 13 (NotUploadGWLocal) — Goodware-Datei wurde nicht zu WatchGuard Cloud gespeichert
• 14 (NotUploadMWdisinfect) — Desinfizierte Malware-Datei wurde nicht zu WatchGuard Cloud gespeichert

classname

Art des Geräts, in dem sich der Prozess befindet. Entspricht der in der mit dem Gerät assoziierten .INF-Datei angegebenen Klasse.

configstring

In Verwendung befindliche Version der MVMF.xml-Datei.

commandline

Als über WMI auszuführende Aufgabe konfigurierte Befehlszeile.

confadvancedrules

Erweiterte Sicherheitsregeleinstellungen von WatchGuard EDR oder WatchGuard EPDR.

copy

Name des Dienstes, der das Ereignis ausgelöst hat.

Details

Zusammenfassung in Form einer Gruppe relevanter Felder des Ereignisses.

description

Beschreibung des USB-Geräts, das die Operation ausgeführt hat.

detectionid

Unverwechselbare Kennung der Erkennung.

devicetype

Art des Laufwerks, auf dem sich der Prozess oder die Datei, der/die die protokollierte Operation ausgelöst hat, befindet:

• 0 (UNKNOWN) — Unbekannt
• 1 (CD_DVD) — CD- oder DVD-Laufwerk
• 2 (USB_STORAGE) — USB-Speichergerät
• 3 (IMAGE) — Image-Datei
• 4 (BLUETOOTH) — Bluetooth-Gerät
• 5 (MODEM) — Modem
• 6 (USB_PRINTER) — USB-Drucker
• 7 (PHONE) — Mobiltelefon
• 8 (KEYBOARD) — Tastatur
• 9 (HID) — Maus

direction

Richtung der Netzwerkverbindung.

• 0 (UnKnown) — Unbekannt
• 1 (Incoming) — Verbindung, die von außerhalb des Netzwerks zu einem Computer im Kundennetzwerk etabliert wurde.
• 2 (Outgoing) — Verbindung, die von einem Computer im Kundennetzwerk zu einem Computer außerhalb des Netzwerks etabliert wurde.
• 3 (Bidirectional) — Zweiseitig

domainlist

Liste der Domänen, die von dem Prozess zur Auflösung an den DNS-Server gesendet wurde und Anzahl der Auflösungen je Domäne.

domainname

Name der Domäne, auf die der Prozess zuzugreifen versucht/die er zu lösen versucht.

errorcode

Der vom Betriebssystem ausgegebene Fehlercode bei einem fehlgeschlagenen Anmeldeversuch:

• 1073740781 (Firewall protected) — Der Computer, bei dem Sie sich anmelden, wird durch einen Authentifizierungs-Firewall geschützt. Das angegebene Konto ist nicht zugelassen, sich am Gerät zu authentifizieren
• 1073741074 (Session start error) — Bei der Anmeldung ist ein Fehler aufgetreten
• 1073741260 (Account blocked) — Der Zugriff wurde blockiert
• 1073741275 (Windows error (no risk)) — Ein Fehler in Windows und keine Gefahr
• 1073741276 (Password change required on reboot) — Das Benutzerpasswort muss beim nächsten Hochfahren geändert werden
• 1073741477 (Invalid permission) — Der Benutzer hat einen Anmeldetyp erbeten, der nicht gewährt wurde
• 1073741421 (Account expired) — Das Konto ist abgelaufen
• 1073741422 (Netlogon not initialized) — Anmeldung wurde versucht, aber der Netlogon-Dienst wurde nicht gestartet
• 1073741428 (Domains trust failed) — Die Anmelde-Anfrage ist fehlgeschlagen, weil das Vertrauensverhältnis zwischen der primären Domäne und der vertrauenswürdigen Domäne fehlgeschlagen ist
• 1073741517 (Clock difference is too big) — Die Uhren der verbundenen Computer sind zu unterschiedlich
• 1073741604 (Sam server is invalid) — Der Validierungsserver ist fehlgeschlagen. Vorgang kann nicht ausgeführt werden.
• 1073741710 (Account disabled) — Konto deaktiviert
• 1073741711 (Password expired) — Das Passwort ist abgelaufen
• 1073741712 (Invalid workstation for login) — Es wurde eine Anmeldung von einem nicht autorisierten Computer versucht
• 1073741713 (User account day restriction) — Es wurde eine Anmeldung zu einer beschränkten Zeit versucht
• 1073741714 (Invalid username or password) — Unbekannter Benutzername oder falsches Passwort
• 1073741715 (Invalid username or authentication info) — Der Benutzername oder die Authentifizierungsdaten sind falsch
• 1073741718 (Invalid password) — Der Benutzername ist richtig, aber das Passwort ist falsch
• 1073741724 (Invalid username) — Der Benutzername existiert nicht
• 1073741730 (Login server is unavailable) — Der zur Validierung der Anmeldung erforderliche Server ist nicht verfügbar

errorstring

Zeichenkette mit Fehlersuchinformationen in den Sicherheitsprodukteinstellungen.

eventtype

Vom Agent protokollierter Ereignistyp:

• 1 (ProcessOps) — Der Prozess hat Vorgänge auf der Festplatte des Computers ausgeführt
• 14 (Download) — Der Prozess hat Daten heruntergeladen
• 22 (NetworkOps) — Der Prozess hat Netzwerkoperationen ausgeführt
• 26 (DataAccess) — Der Prozess hat auf Datendateien zugegriffen, die auf internen Massenspeichergeräten gehostet sind
• 27 (RegistryOps) — Der Prozess hat auf die Windows Registry zugegriffen
• 30 (ScriptOps) — Operation wurde von einem skriptartigen Prozess ausgeführt
• 31 (ScriptOps) — Operation wurde von einem skriptartigen Prozess ausgeführt
• 40 (Detection) — Erkennung durch den aktiven Schutz von WatchGuard EDR
• 42 (BandwidthUsage) — Volumen der von den einzelnen vom Prozess ausgeführten Datentransferoperationen gehandhabten Informationen
• 45 (SystemOps) — Von der WMI-Engine des Windows Betriebssystem ausgeführte Operation
• 46 (DnsOps) — Der Prozess hat auf den DNS-Namensserver zugegriffen
• 47 (DeviceOps) — Der Prozess hat auf ein externes Gerät zugegriffen
• 50 (UserNotification) — Dem Benutzer angezeigte Benachrichtigung und Antwort (falls zutreffend)
• 52 (LoginOutOps) — Vom Benutzer ausgeführte Anmelde- oder Abmeldeoperation
• 99 (RemediationOps) — Erkennungs-, Blockierungs- und Desinfizierungsereignisse des WatchGuard EDR oder WatchGuard EPDR Agent
• 100 (HeaderEvent) — Administratives Ereignis mit Informationen über die Einstellungen und Version der Schutzsoftware sowie Computer- und Kundeninformationen
• 199 (HiddenAction) — Erkennungsereignis, das keine Warnmeldung ausgelöst hat

exploitorigin

Ursprung des Prozess-Exploit-Versuchs:

• 1 (URL) — URL-Adresse
• 2 (FILE) — Datei

extendedinfo

Zusätzliche Informationen über Typ-Ereignisse:

• 0 (Erstellung Befehlszeilenereignis) — Leer
• 1 (Erstellung aktives Skriptereignis) — Skriptdateiname
• 2 (Ereignis Verbraucher zu Verbraucher filtern) — Leer
• 3 (Ereignis Verbraucher zu Abfrage filtern) — Leer
• 4 (Benutzer erstellen) — Leer
• 5 (Benutzer löschen) — Leer
• 6 (Benutzergruppe hinzufügen) — Gruppen-SID
• 7 (Benutzergruppe löschen) — Gruppen-SID
• 8 (Benutzergruppe-Admin) — Gruppen-SID
• 9 (Benutzergruppe RDP) — Gruppen-SID

failedqueries

Anzahl fehlgeschlagener DNS-Resolution-Anfragen, die in der letzten Stunde vom Prozess gesendet wurden.

friendlyname

Ein leicht lesbarer Gerätename.

firstseen

Datum, an dem die Datei das erste Mal gesehen wurde.

hostname

Name des Computers, der den Prozess ausgeführt hat.

infodiscard

Interne Informationen der Quarantänedatei.

ipv4status

IP-Adress-Typ:

• 0 (Privat)
• 1 (Öffentlich)

isdenied

Zeigt an, ob die gemeldete Aktion abgelehnt wurde.

islocal

Zeigt an, ob die Aufgabe auf dem lokalen Computer oder auf einem Remote-Computer erstellt wurde.

Interaktiv

Zeigt an, ob es sich bei der Anmeldung um eine interaktive Anmeldung handelt.

idname

Gerätename.

key

Betroffener Registry-Zweig oder Schlüssel.

lastquery

Letzte Abfrage, die vom WatchGuard EDR oder WatchGuard EPDR Agent an die Cloud gesendet wurde.

localip

Lokale IP-Adresse des Prozesses.

localport

Abhängig vom Feld Direction:

• Outgoing — Der Port des Prozesses, der auf dem durch WatchGuard EDR und WatchGuard EPDR geschützten Computer ausgeführt wird.
• Incoming — Der Port des Prozesses, der auf dem Remote-Computer ausgeführt wird.

localdatetime

Das Computerdatum (im Format UTC) zu dem Zeitpunkt, als das protokollierte Ereignis stattfand. Dieses Datum hängt von den Computereinstellungen ab. Deshalb kann es falsch sein.

loggeduser

Der Benutzer, der beim Computer zu dem Zeitpunkt angemeldet war, als das Ereignis generiert wurde.

machinename

Name des Computers, der den Prozess ausgeführt hat.

manufacturer

Gerätehersteller.

MUID

Interne ID des Kundencomputer.

objectname

Unverwechselbarer Name des Objekts innerhalb der WMI-Hierarchie.

opentstamp

Datum der WMI-Benachrichtigung für WMI_CREATEPROC (54) Ereignisse.

operation

Typ der vom Prozess ausgeführten Operation:

• 0 (CreateProc) — Prozess erstellt
• 1 (PECreat) — Ausführbares Programm erstellt
• 2 (PEModif) — Ausführbares Programm verändert
• 3 (LibraryLoad) — Bibliothek geladen
• 4 (SvcInst) — Service installiert
• 5 (PEMapWrite) — Ausführbares Programm für Schreibzugriff zugewiesen
• 6 (PEDelet) — Ausführbares Programm gelöscht
• 7 (PERenam) — Ausführbares Programm umbenannt
• 8 (DirCreate) — Ordner erstellt
• 9 (CMPCreat) — Komprimierte Datei erstellt
• 10 (CMOpened) — Komprimierte Datei geöffnet
• 11 (RegKExeCreat) — Ein Registry-Zweig, der auf eine ausführbare Datei hinweist, wurde erstellt
• 12 (RegKExeModif) — Ein Registry-Zweig wurde geändert und zeigt jetzt auf eine ausführbare Datei
• 15 (PENeverSeen): Ausführbares Programm, das noch nie zuvor von WatchGuard EPDR gesehen wurde
• 17 (RemoteThreadCreated): Remote-Bedrohung erstellt
• 18 (ProcessKilled) — Prozess abgebrochen
• 25 (SamAccess) — Zugriff auf Computer SAM
• 30 (ExploitSniffer) — Sniffing-Exploit-Technik erkannt
• 31 (ExploitWSAStartup) — WSAStartup-Exploit-Technik erkannt
• 32 (ExploitInternetReadFile) — InternetReadFile-Exploit-Technik erkannt
• 34 (ExploitCMD) — CMD-Exploit-Technik erkannt

• 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — 16-Bit-Datei von ntvdm.exe geladen

• 43 (Heuhooks) — Anti-Exploit-Technologie erkannt

• 54 (Create process by WMI) — Von modifiziertem WMI erstellter Prozess

• 55 (AttackProduct) — Angriff auf Agent-Dienst, Datei oder Registrierungsschlüssel erkannt

• 61 (OpenProcess LSASS) — LSASS-Prozess geöffnet

operationflags/ integrityLevel

Zeigt die dem Element von Windows zugewiesene Integritätsebene an:

• 0x0000 Ebene nicht vertrauenswürdig
• 0x1000 Ebene geringe Integrität
• 0x2000 Ebene mittlere Integrität
• 0x3000 Ebene hohe Integrität
• 0x4000 Systemintegritätsebene
• 0x5000 Geschützt

operationstatus

Zeigt an, ob das Ereignis an das Advanced Reporting Tool gesendet werden muss:

• 0 — Senden
• 1 — Vom Agent gefiltert
• 2 — Nicht senden

origusername

Benutzer des Computers, der die Operation ausgeführt hat.

pandaid

Kunden-ID.

pandaorionstatus

Zeigt den Status der Computerzeiteinstellungen des Kunden im Vergleich zur Uhr in WatchGuard Cloud an:

• 0 (Version not supported) — Der Kundencomputer unterstützt die Synchronisierung seiner Zeiteinstellungen mit den WatchGuard-Einstellungen nicht.
• 1 (Recalculated WatchGuard Time) — Der Kunde hat die Zeiteinstellungen des Computers behoben und mit den WatchGuard-Einstellungen synchronisiert
• 2 (WatchGuard Time OK) — Die Zeiteinstellungen des Kundencomputers sind korrekt
• 3 (WatchGuard Time Calculation Error) — Fehler beim Beheben der Zeiteinstellungen des Computers

pandatimestatus

Inhalte der Felder DateTime, Date und LocalDateTime.

parentattributes

Attribute des übergeordneten Prozesses:

• 0x0000000000000001 (ISINSTALLER) — Selbst-extrahierende (SFX) Datei
• 0x0000000000000002 (ISDRIVER) — Treiberartige Datei
• 0x0000000000000008 (ISRESOURCESDLL) — Ressource DLL-artige Datei
• 0x0000000000000010 (EXTERNAL) — Datei von außerhalb des Computers
• 0x0000000000000020 (ISFRESHUNK) — Datei, die kürzlich zur Wissensdatenbank hinzugefügt wurde
• 0x0000000000000040 (ISDISSINFECTABLE) — Datei, für die es eine empfohlene Desinfektionsaktion gibt

• 0x0000000000000080 (DETEVENT_DISCARD) — Die ereignisbasierende Kontexterkennungstechnologie hat nichts Verdächtiges erkannt

• 0x0000000000000100 (WAITED_FOR_VINDEX) — Ausführung einer Datei, deren Erstellung nicht registriert worden war

• 0x0000000000000200 (ISACTIONSEND) — Die lokalen Technologien haben keine Malware in der Datei erkannt und sie wurde zur Klassifizierung an WatchGuard gesendet

• 0x0000000000000400 (ISLANSHARED) — Auf einem Netzwerklaufwerk gespeicherte Datei

• 0x0000000000000800 (USERALLOWUNK) — Datei mit Berechtigung, unbekannte DLLs zu importieren

• 0x0000000000001000 (ISSESIONREMOTE) — Ereignis, das aus einer Remote-Session stammt

• 0x0000000000002000 (LOADLIB_TIMEOUT) — Die Zeitspanne zwischen dem Abfangen des Ladens der Bibliothek durch den Schutz und deren Scan überstieg 1 Sekunde. Deshalb hat der Scan von synchron zu asynchron gewechselt, um eine Beeinträchtigung der Leistung zu verhindern.

• 0x0000000000004000 (ISPE) — Ausführbare Datei

• 0x0000000000008000 (ISNOPE) — Nicht ausführbare Datei

• 0x0000000000020000 (NOSHELL) — Der Agent hat keine Ausführung eines Shell-Befehls im System erkannt

• 0x0000000000080000 (ISNETNATIVE) — NET Native-Datei

• 0x0000000000100000 (ISSERIALIZER) — Serializer-Datei

• 0x0000000000400000 (SONOFGWINSTALLER) — Von einem als Goodware klassifizierten Installationsprogramm erstellte Datei

• 0x0000000001000000 (INTERCEPTION_TXF) — Die abgefangene Operation stammte von einer ausführbaren Datei, deren Image auf dem Laufwerk geändert wird

• 0x0000000002000000 (HASMACROS) — Microsoft Office-Dokument mit Makros

• 0x0000000008000000 (ISPEARM) — Ausführbare Datei für ARM Mikroprozessoren

• 0x0000000010000000 (ISDYNFILTERED) — Die Datei wurde auf dem Computer zugelassen, weil es keine Technologien zu ihrer Klassifizierung gab

• 0x0000000020000000 (ISDISINFECTED) — Die Datei wurde desinfiziert

• 0x0000000040000000 (PROCESSLOST) — Die Operation wurde nicht protokolliert

• 0x0000000080000000 (OPERATION_LOST) — Operation mit einem Pre-Scan-Bericht, für die der Post-Scan-Bericht noch nicht empfangen wurde

parentblake

Blake2-Signatur der übergeordneten Datei, die die Operation ausgeführt hat.

parentcount

Anzahl der Prozesse mit DNS-Misserfolgen.

parentmd5

Übergeordnete Datei-Hash.

parentpath

Pfad der übergeordneten Datei, die die protokollierte Operation ausgeführt hat.

parentpid

Prozess-ID der übergeordneten Datei.

parentstatus

Prozessstatus der übergeordneten Datei:

• 0 (StatusOk) — Status OK
• 1 (NotFound) — Element nicht gefunden
• 2 (UnexpectedError) — Unbekannter Fehler
• 3 (StaticFiltered) — Datei wurde unter Verwendung statischer Informationen im WatchGuard EDR oder WatchGuard EPDR-Schutz als Malware identifiziert
• 4 (DynamicFiltered) — Datei wurde mittels in WatchGuard EDR oder WatchGuard EPDR implementierter lokaler Technologie als Malware identifiziert
• 5 (FileIsTooBig) — Datei ist zu groß
• 6 (PEUploadNotAllowed) — Senden von Dateien ist deaktiviert
• 11 (FileWasUploaded) — Datei wurde an die Cloud gesendet
• 12 (FiletypeFiltered) — Resource DLL, NET Native oder Serializer-Typ-Datei
• 13 (NotUploadGWLocal) — Goodware-Datei wurde nicht zur Cloud gespeichert
• 14 (NotUploadMWdisinfect) — Desinfizierte Malware-Datei wurde nicht zur Cloud gespeichert

pecreationsource

Typ des Laufwerks, auf dem der Prozess erstellt wurde:

• (0) Unknown — Der Gerätetyp konnte nicht ermittelt werden
• (1) No root dir — Der Gerätepfad ist ungültig. Beispielsweise wurde das externe Speichermedium entnommen.
• (2) Removable media — Wechselspeichermedium
• (3) Fixed media — Interne Speichermedien
• (4) Remote drive — Remote-Speichermedien (beispielsweise ein Netzwerklaufwerk)
• (5) CD-ROM drive
• (6) RAM disk

phonedescription

Handybeschreibung falls die Operation ein Gerät dieser Art beinhaltete.

protocol

Vom Prozess verwendetes Kommunikationsprotokoll:

• 1 (ICMP)
• 2 (IGMP)
• 3 (RFCOMM)
• 6 (TCP)
• 12 (RDP)
• 17 (UDP)
• 58 (ICMPV6)
• 113 (RM)

querieddomaincount

Anzahl der unterschiedlichen vom Prozess gesendeten Domänen, für die es in der letzten Stunde einen DNS Resolution-Misserfolg gab.

regaction

Typ der auf der Windows Registry des Computers ausgeführten Operation:

• 0 (CreateKey) — Es wurde ein neuer Registry-Zweig erstellt
• 1 (CreateValue) — Einem Registry-Zweig wurde ein Wert zugewiesen
• 2 (ModifyValue) — Der Wert eines Registry-Zweigs wurde geändert

remediationresult

Reaktion des Benutzers auf die von WatchGuard EPDR oder EDR gezeigte Pop-up-Meldung:

• 0 (Ok) — Der Kunde hat die Meldung akzeptiert
• 1 (Timeout) — Die Pop-up-Meldung ist aufgrund fehlender Handlungen des Benutzers verschwunden
• 2 (Angry) — Der Benutzer hat entschieden, das Element aus der angezeigten Pop-up-Meldung nicht zu blockieren
• 3 (Block) — Das Element wurde blockiert, weil der Benutzer auf die Pop-up-Meldung nicht geantwortet hat
• 4 (Allow) — Der Benutzer hat die Lösung akzeptiert
• -1 (Unknown)

remoteip

IP-Adresse des Computers, der die Remote-Session gestartet hat.

remotemachinename

Name des Computers, der die Remote-Session gestartet hat.

remoteport

Abhängig vom Feld Direction:

• Incoming — Der Port des Prozesses, der auf dem durch WatchGuard EDR oder WatchGuard EPDR geschützten Computer ausgeführt wird.
• Outcoming — Der Port des Prozesses, der auf dem Remote-Computer ausgeführt wird.

remoteusername

Name des Computers, der die Remote-Session gestartet hat.

sessiondate

Datum, an dem der Virenschutzdienst das letzte Mal gestartet oder das letzte Mal seit dem letzten Update gestartet wurde.

sessiontype

Anmeldetyp:

• 0 (System Only) — Mit einem Systemkonto gestartete Session
• 2 (Local) — Mittels einer Tastatur oder über KVM over IP physisch erstellte Session
• 3 (Remote) — In freigegebenen Ordnern oder Druckern remote erstellte Session. Dieser Anmeldetyp nutzt eine sichere Authentifizierung.
• 4 (Scheduled) — Durch den Windows Aufgabenplaner erstellte Session
• -1 (Unknown)
• 5 (Service) — Session, die erstellt wird, wenn ein Dienst, der in der Benutzersitzung ausgeführt werden muss, gestartet wird. Die Session wird gelöscht, wenn der Dienst endet.
• 7 (Blocked) — Session, die erstellt wird, wenn ein Benutzer versucht, einer zuvor blockierten Session beizutreten
• 8 (Remote Unsecure) — Entspricht Typ 3, aber das Passwort wird als Klartext gesendet
• 9 (RunAs) — Session, die erstellt wird, wenn der Befehl “RunAs” unter einem anderen Konto als das für die Anmeldung verwendete Konto benutzt wird, und der Parameter“/netonly” angegeben wird. Wenn der Parameter “/netonly” nicht angegeben wird, wird eine Session des Typs 2 erstellt.
• 10 (TsClient) — Session, die bei Zugriff über “Terminal Dienst”, “Remote-Desktop” oder “Remote-Assistenz” erstellt wird. Sie identifiziert eine Remote-Benutzer-Verbindung.
• 11 (Domain Cached) — Benutzersitzung, die erstellt wird, wenn Dämonenzugangsdaten auf der Maschine gecached sind, aber es keine Verbindung zum Domänencontroller gibt

servicelevel

Ausführungsmodus des Agenten:

• 0 (Learning) — Der Agent blockiert keine Elemente, aber überwacht alle laufenden Prozesse
• 1 (Hardening) — Der Agent blockiert alle unklassifizierten Programme, die von einer nicht vertrauenswürdigen Quelle kommen, sowie als Malware klassifizierte Elemente
• 2 (Block) — Der Agent blockiert alle unklassifizierten ausführbaren Programme und Elemente, die als Malware klassifiziert sind
• -1 (N/A)

timeout

Die Ausführung des lokalen Scans hat zu lange gedauert und der Prozess wurde an andere Mechanismen delegiert, die die Leistung nicht beeinträchtigen.

times

Anzahl der Vorkommen desselben Kommunikationsereignis während der letzten Stunde.

timestamp

Zeitstempel der auf dem Kundencomputer erkannten Aktion, die den Indikator ausgelöst hat.

totalresolutiontime

Gibt die Zeit an, die verstrichen ist, bis die Cloud geantwortet hat, und ob die Fehlercodeabfrage fehlgeschlagen ist:

• 0 — Keine Abfrage der Cloud
• >0 — Zeit in Millisekunden, bis die Cloud auf die Abfrage geantwortet hat
• <0 — Code des Cloudabfragefehler

type

Typ der vom Prozess ausgeführten WMI-Operation:

• 0 (Command line event creation) — WMI hat als Reaktion auf eine Veränderung der Datenbank eine Befehlszeile gestartet
• 1 (Active script event creation) — Als Reaktion auf den Empfang eines Ereignis wurde ein Skript ausgeführt
• 2 (Event consumer to filter consumer) — Dieses Ereignis wird generiert, wenn ein Prozess sich für den Empfang von Benachrichtigungen anmeldet. Der Name des erstellten Filters wird empfangen.
• 3 (Event consumer to filter query) — Dieses Ereignis wird generiert, wenn ein Prozess sich für den Empfang von Benachrichtigungen anmeldet. Die vom Prozess für die Anmeldung ausgeführte Abfrage wird empfangen.
• 4 (Create User) — Dem Betriebssystem wurde ein Benutzerkonto hinzugefügt
• 5 (Delete User) — Ein Benutzerkonto wurde vom Betriebssystem gelöscht
• 6 (Add user group) — Dem Betriebssystem wurde eine Gruppe hinzugefügt
• 7 (Delete User group) — Eine Gruppe wurde vom Betriebssystem gelöscht
• 8 (User group admin) — Ein Benutzer wurde zur Admin-Gruppe hinzugefügt
• 9 (User group rdp): Ein Benutzer wurde zur RDP-Gruppe hinzugefügt

uniqueid

Unverwechselbare ID des Geräts.

URL

Download der URL, die von Prozess, der das protokollierte Ereignis generiert hat, gestartet wurde.

value

Typ der auf der Windows Registry des Computers ausgeführten Operation:

• 0 (CreateKey) — Es wurde ein neuer Registry-Zweig erstellt
• 1 (CreateValue) — Einem Registry-Zweig wurde ein Wert zugewiesen
• 2 (ModifyValue) — Der Wert eines Registry-Zweigs wurde geändert

valuedata

Datentyp des im Registry-Zweig enthaltenen Werts:

• 00 (REG_NONE)
• 01 (REG_SZ)
• 02 (REG_EXPAND_SZ)
• 03 (REG_BINARY)
• 04 (REG_DWORD)
• 05 (REG_DWORD_BIG_ENDIAN)
• 06 (REG_LINK)
• 07 (REG_MULTI_SZ)
• 08 (REG_RESOURCE_LIST)
• 09 (REG_FULL_RESOURCE_DESCRIPTOR)
• 0A (REG_RESOURCE_REQUIREMENTS_LIST)
• 0B (REG_QWORD)
• 0C (REG_QWORD_LITTLE_ENDIAN)

vdetevent

Deteven.dll DLL Version.

version

Version des Betriebssystems auf dem Computer, der die anfällige Software ausgeführt hat.

versionagent

Installierte Version des Agenten.

versioncontroller

Psnmvctrl.dll DLL Version.

vtabledetevent

TblEven.dll DLL Version.

vtableramsomevent

TblRansomEven.dll DLL Version.

vramsomevent

RansomEvent.dll DLL Version.

vantiexploit

Version Anti-Exploit-Technologie.

vtfilteraxtiexploit

Version Filter Anti-Exploit-Technologie.

versionproduct

Installierte Version des Schutzproduktes.

winningtech

WatchGuard EPDR oder WatchGuard EDR Client-Agent-Technologie, die das Ereignis angesprochen hat:

• 0 (Unbekannt)
• 1 (Cache) — Lokal gecachte Klassifizierung
• 2 (Cloud) — Von der Cloud heruntergeladene Klassifizierung
• 3 (Context) — Lokale Kontextregel
• 4 (Serializer) — Binärer Typ
• 5 (User) — Der Benutzer wurde bezüglich der zu ergreifenden Aktion befragt
• 6 (LecacyUser) — Der Benutzer wurde bezüglich der zu ergreifenden Aktion befragt
• 7 (NetNative) — Binärer Typ
• 8 (CertifUA) — Erkennung durch digitale Zertifikate
• 9 (LocalSignature) — Lokale Signatur
• 10 (ContextMinerva) — Cloud-gehostete Kontextregel
• 11 (Blockmode) — Der Agent befand sich im Modus Hardening oder Lock, als die Ausführung des Prozesses blockiert wurde
• 12 (Metasploit) — Mit dem Metasploit Framework erstellter Angriff
• 13 (DLP) — Technologie zur Verhinderung eines Datenlecks
• 14 (AntiExploit) — Technologie, die Versuche, Prozesse mit Schwachstellen auszunutzen, erkennt
• 15 (GWFilter) — Technologie, die Goodware-Prozesse erkennt
• 16 (Policy) — WatchGuard EPDR erweiterte Sicherheitsregeln
• 17 (SecAppControl) — Technologien zur Kontrolle von Sicherheits-Anwendungen
• 18 (ProdAppControl) — Technologien zur Steuerung von Produktivitäts-Anwendungen
• 19 (EVTContext) — Linux-Kontexttechnologie
• 20 (RDP) — Technologie zum Erkennen/Blockieren von RDP (Remote Desktop Protocol) Intrusions und Angriffen
• 21 (AMSI) — Technologie zum Erkennen von Malware bei AMSI-Benachrichtigungen
• -1 (Unknown)