Événements des Indicateurs d'Attaque

accesstype

Masque d'accès de fichier :

• (54) WMI_CREATEPROC : WMI Local

Pour toutes les autres opérations :

• https://docs.microsoft.com/en-us/windows/win32/ secauthz/access-mask
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-access-rights-constants
• https://docs.microsoft.com/en-us/windows/win32/fileio/ file-security-and-access-rights

accnube

L'agent installé sur l'ordinateur client peut accéder à WatchGuard Cloud.

action

Type d'action exécutée par l'agent WatchGuard EDR ou WatchGuard EPDR par l'utilisateur ou par le processus concerné :

• 0 (Allow) — L'agent a autorisé l'exécution du processus.
• 1 (Block) — L'agent a bloqué l'exécution du processus.
• 2 (BlockTimeout) — L'agent a affiché un message contextuel à l'intention de l'utilisateur, mais celui-ci n'a pas répondu à temps.
• 3 (AllowWL) — L'agent a autorisé l'exécution du processus car il figure sur la liste d'autorisation locale de goodware.
• 4 (BlockBL) — L'agent a bloqué l'exécution du processus car il figure sur la liste de blocage des malware locaux.
• 5 (Disinfect) — L'agent a désinfecté le processus.
• 6 (Delete) — L'agent a classifié le processus comme malware et l'a supprimé car il ne pouvait pas être désinfecté.
• 7 (Quarantine) — L'agent a classifié le processus comme malware et l'a déplacé dans le dossier de quarantaine de l'ordinateur.
• 8 (AllowByUser) — L'agent a affiché un message contextuel à l'intention de l'utilisateur et ce dernier a répondu par « Autoriser l'exécution ».

• 9 (Informed) — L'agent a affiché un message contextuel à l'intention de l'utilisateur.
• 10 (Unquarantine) — L'agent a supprimé le fichier du dossier de quarantaine.
• 11 (Rename) — L'agent a renommé le fichier. Cette action uniquement utilisée à des fins de test.

• 12 (BlockURL) — L'agent a bloqué l'URL.

• 13 (KillProcess) — L'agent a arrêté le processus.

• 14 (BlockExploit) — L'agent a arrêté une tentative d'exploitation d'un processus vulnérable.

• 15 (ExploitAllowByUser) : L'utilisateur n'a pas autorisé l'arrêt du processus exploité.

• 16 (RebootNeeded) — L'agent exige que l'ordinateur soit redémarré pour bloquer la tentative d'exploitation.

• 17 (ExploitInformed) — L'agent a affiché un message contextuel à l'intention de l'utilisateur pour signnaler une tentative d'exploitation d'un processus vulnérable.

• 18 (AllowSonGWInstaller) — L'agent a autorisé l'exécution du processus car il appartient à un package d'installation classifié comme goodware.

• 19 (EmbebedInformed) — L'agent a transmis les informations concernant son fonctionnement interne au cloud de manière à améliorer les routines de détection.

• 21 (SuspendProcess) — Le processus surveillé a tenté de suspendre le service antivirus.

• 22 (ModifyDiskResource) — Le processus surveillé a tenté de modifier une ressource protégée par la protection de l'agent.

• 23 (ModifyRegistry) — Le processus surveillé a tenté de modifier une clé de registre protégée par la protection de l'agent.

• 24 (RenameRegistry) — Le processus surveillé a tenté de renommer une clé de registre protégée par la protection de l'agent.

• 25 (ModifyMarkFile) — Le processus surveillé a tenté de modifier un fichier protégé par la protection de l'agent.

• 26 (Undefined) — Erreur de surveillance du fonctionnement du processus.

• 28 (AllowFGW) — L'agent a autorisé l'opération exécutée par le processus surveillé car elle figure dans la liste d'autorisation de goodware locale.

• 29 (AllowSWAuthorized) : L'agent a autorisé l'opération effectuée par le processus surveillé car l'administrateur a marqué le fichier comme logiciel autorisé.

• 31 (ExploitAllowByAdmin) — L'agent a autorisé l'opération effectuée par le processus surveillé car l'administrateur réseau a exclu l'exploit.

• 32 (IPBlocked) — L'agent a bloqué des IP afin d'atténuer une attaque RDP (Remote Desktop Protocol).

actiontype

Indique le type de session :

• 0 (Login) — Connexion sur l'ordinateur client.
• 1 (Logout) — Déconnexion sur l'ordinateur client.
• -1 (Inconnu) — Impossible de déterminer le type de session.

age

Date de dernière modification du fichier.

blockreason

Raison du message contextuel affiché sur l'ordinateur :

• 0 — Le fichier a été bloqué car il est inconnu et que le mode de protection avancée de WatchGuard EPDR ou WatchGuard EDR a été paramétré sur Renforcement ou Verrouillage.
• 1 — Le fichier a été bloqué par des règles locales.
• 2 — Le fichier a été bloqué, car la source n'est pas approuvée.
• 3 — Le fichier a été bloqué par une règle contextuelle.
• 4 — Le fichier a été bloqué car il s'agit d'un exploit.
• 5 — Le fichier a été bloqué après avoir invité l'utilisateur à arrêter le processus.

bytesreceived

Nombre total d'octets reçus par le processus surveillé.

bytessent

Nombre total d'octets envoyés par le processus surveillé.

callstack/sonsize

Taille en octets du fichier enfant.

childattributes

Attributs du processus enfant :

• 0x0000000000000001 (ISINSTALLER) — Fichier auto-extractible (SFX)
• 0x0000000000000002 (ISDRIVER) — Fichier de type pilote
• 0x0000000000000008 (ISRESOURCESDLL) — Fichier de type DLL de ressource
• 0x0000000000000010 (EXTERNAL) — Fichier provenant de l'extérieur de l'ordinateur

• 0x0000000000000020 (ISFRESHUNK) — Fichier récemment ajouté à la base de connaissances WatchGuard

• 0x0000000000000040 (ISDISSINFECTABLE) — Fichier pour lequel il existe une action de désinfection recommandée

• 0x0000000000000080 (DETEVENT_DISCARD) — La technologie de détection du contexte basée sur les événements n'a rien détecté de suspect

• 0x0000000000000100 (WAITED_FOR_VINDEX) — Exécution d'un fichier dont la création n'avait pas été enregistrée

• 0x0000000000000200 (ISACTIONSEND) — L'agent client n'a pas détecté de malware dans le fichier et celui-ci a été transmis à WatchGuard pour être classifié

• 0x0000000000000400 (ISLANSHARED) — Fichier stocké sur un lecteur réseau.

• 0x0000000000000800 (USERALLOWUNK) — Fichier présentant la permission d'importer des DLL inconnus

• 0x0000000000001000 (ISSESIONREMOTE) — Événement présentant pour origine une session distante

• 0x0000000000002000 (LOADLIB_TIMEOUT) — La durée écoulée entre le moment où la protection a intercepté le chargement de la bibliothèque et celui où elle a été analysée a dépassé 1 seconde. Par conséquent, l'analyse synchrone est devenue asynchrone de manière à éviter de dégrader les performances.

• 0x0000000000004000 (ISPE) — Fichier exécutable

• 0x0000000000008000 (ISNOPE) — Fichier non exécutable

• 0x0000000000020000 (NOSHELL) — L'agent n'a pas détecté l'exécution d'une commande shell sur le système

• 0x0000000000080000 (ISNETNATIVE) — Fichier natif NET

• 0x0000000000100000 (ISSERIALIZER) — Fichier sérialiseur

• 0x0000000000400000 (SONOFGWINSTALLER) — Fichier créé par un programme d'installation classifié comme goodware

• 0x0000000000800000 (PROCESS_EXCLUDED) : Fichier non analysé en raison des exclusions de WatchGuard EPDR

• 0x0000000001000000 (INTERCEPTION_TXF) — L'opération interceptée provient d'un exécutable dont l'image sur le disque est en cours de modification

• 0x0000000002000000 (HASMACROS) — Document Microsoft Office contenant des macros

• 0x0000000008000000 (ISPEARM) — Fichier exécutable pour microprocesseurs ARM

• 0x0000000010000000 (ISDYNFILTERED) — Le fichier a été autorisé sur l'ordinateur car il n'existe pas de technologie permettant de le classifier

• 0x0000000020000000 (ISDISINFECTED) — Le fichier a été désinfecté

• 0x0000000040000000 (PROCESSLOST) — L'opération n'a pas été journalisée

• 0x0000000080000000 (OPERATION_LOST) — Opération présentant un rapport de pré-analyse dont le rapport de post-analyse n'a pas encore été obtenu

childblake

Signature Blake2 du dossier enfant.

childclassification

Classification du processus enfant qui a effectué l'action journalisée.

• 0 (Unknown) — Fichier en cours de classification
• 1 (Goodware) — Fichier classifié comme goodware
• 2 (Malware) — Fichier classifié comme malware
• 3 (Suspect) — Le fichier est en cours de classification et il est très probable qu'il s'agisse d'un malware
• 4 (Compromised) — Processus compromis par une attaque d'exploit
• 5 (GWNotConfirmed) — Le fichier est en cours de classification et il est très probable qu'il s'agisse d'un malware
• 6 (Pup) — Fichier classifié comme programme indésirable
• 7 (GwUnwanted) — Équivalent des PUP
• 8 (GwRanked) — Processus classifié comme goodware
• -1 (Inconnu)

childfiletime

Date du fichier enfant journalisé par l'agent.

childfilesize

Taille du fichier enfant journalisé par l'agent.

childmd5

Hachage du fichier enfant.

childpath

Chemin d'accès du fichier enfant qui a effectué l'opération journalisée.

ChildPID

Identifiant du processus enfant.

childurl

URL de téléchargement du fichier.

childstatus

État du processus enfant :

• 0 (StatusOk) — État OK
• 1 (NotFound) — Élément introuvable
• 2 (UnexpectedError) — Erreur inconnue
• 3 (StaticFiltered) — Fichier identifié comme malware sur la base des informations statiques de la protection WatchGuard EDR ou WatchGuard EPDR
• 4 (DynamicFiltered) — Fichier identifié comme malware à l'aide de la technologie locale de WatchGuard EDR ou WatchGuard EPDR
• 5 (FileIsTooBig) — Fichier trop volumineux
• 6 (PEUploadNotAllowed) — L'envoi de fichiers a été désactivé
• 11 (FileWasUploaded) — Fichier envoyé au cloud à des fins d'analyse
• 12 (FiletypeFiltered) — Fichier de ressource DLL, NET Native ou sérialiseur
• 13 (NotUploadGWLocal) — Le fichier goodware n'a pas été enregistré dans WatchGuard Cloud
• 14 (NotUploadMWdisinfect) — Le fichier du malware désinfecté n'a pas été enregistré dans WatchGuard Cloud

classname

Type de périphérique où réside le processus. Il correspond à la classe spécifiée dans le fichier .INF associé au périphérique.

configstring

Version du fichier MVMF.xml utilisé.

commandline

Ligne de commande configurée en tant que tâche à exécuter via WMI.

confadvancedrules

Paramètres de stratégie de sécurité avancée de WatchGuard EDR ou WatchGuard EPDR.

copy

Nom du service ayant déclenché l'événement.

details

Synthèse sous la forme d'un groupe de champs pertinents de l'événement.

description

Description du périphérique USB qui a effectué l'opération.

detectionid

Identifiant unique de la détection.

devicetype

Type de lecteur où réside le processus ou le fichier ayant déclenché l'opération journalisée :

• 0 (UNKNOWN) — Inconnu
• 1 (CD_DVD) — Lecteur de CD ou DVD
• 2 (USB_STORAGE) — Périphérique de stockage USB
• 3 (IMAGE) — Fichier image
• 4 (BLUETOOTH) — Périphérique Bluetooth
• 5 (MODEM) — Modem
• 6 (USB_PRINTER) — Imprimante USB
• 7 (PHONE) — Téléphone mobile
• 8 (KEYBOARD) — Clavier
• 9 (HID) — Souris

sens

Sens de la connexion réseau.

• 0 (UnKnown) — Inconnu
• 1 (Incoming) — Connexion établie depuis l'extérieur du réseau vers un ordinateur du réseau client
• 2 (Outgoing) — Connexion établie d'un ordinateur du réseau client à un ordinateur extérieur au réseau
• 3 (Bidirectional) — Bidirectionnelle

domainlist

Liste des domaines transmis par le processus au serveur DNS à des fins de résolution et nombre de résolutions par domaine.

domainname

Nom du domaine auquel le processus tente d'accéder/de résoudre.

errorcode

Code d'erreur renvoyé par le système d'exploitation en cas d'échec d'une tentative de connexion :

• 1073740781 (Firewall protected) — L'ordinateur auquel vous vous connectez est protégé par un pare-feu d'authentification. Le compte spécifié n'est pas autorisé à s'authentifier sur la machine
• 1073741074 (Session start error) — Une erreur s'est produite lors de la connexion
• 1073741260 (Account blocked) — Accès bloqué
• 1073741275 (Windows error (no risk)) — Bug Windows, aucun risque
• 1073741276 (Password change required on reboot) — Le mot de passe de l'utilisateur doit être modifié au prochain démarrage
• 1073741477 (Invalid permission) — L'utilisateur a demandé un type de connexion n'ayant pas été octroyé
• 1073741421 (Account expired) — Le compte a expiré
• 1073741422 (Netlogon not initialized) — Une tentative de connexion a été effectuée, mais le service Netlogon n'a pas démarré
• 1073741428 (Domains trust failed) — La requête de connexion a échoué car la relation approuvée entre le domaine principal et le domaine approuvé a échoué
• 1073741517 (Clock difference is too big) — Les horloges des ordinateurs connectés sont trop désynchronisées
• 1073741604 (Sam server is invalid) — Le serveur de validation a échoué. Impossible d'effectuer l'opération.
• 1073741710 (Account disabled) — Compte désactivé
• 1073741711 (Password expired) — Le mot de passe a expiré
• 1073741712 (Invalid workstation for login) — Une tentative de connexion a été effectuée à partir d'un ordinateur non autorisé
• 1073741713 (User account day restriction) — Une tentative de connexion a été effectuée à une période restreinte
• 1073741714 (Invalid username or password) — Nom d'utilisateur inconnu ou mot de passe incorrect
• 1073741715 (Invalid username or authentication info) — Valeur incorrecte du nom d'utilisateur ou des informations d'authentification
• 1073741718 (Invalid password) — Nom d'utilisateur correct, mais mot de passe incorrect
• 1073741724 (Invalid username) — Nom d'utilisateur inexistant
• 1073741730 (Login server is unavailable) — Le serveur requis pour valider la connexion n'est pas disponible

errorstring

Chaîne de caractères contenant les informations de débogage des paramètres du produit de sécurité.

eventtype

Type d'événement journalisé par l'agent :

• 1 (ProcessOps) — Le processus a effectué des opérations sur le disque dur de l'ordinateur
• 14 (Download) — Le processus a téléchargé des données
• 22 (NetworkOps) — Le processus a effectué des opérations réseau
• 26 (DataAccess) — Le processus a accédé à des fichiers de données hébergés sur des périphériques de stockage de masse internes
• 27 (RegistryOps) — Le processus a accédé au registre Windows
• 30 (ScriptOps) — Opération effectuée par un processus de type script
• 31 (ScriptOps) — Opération effectuée par un processus de type script
• 40 (Detection) — Détection effectuée par les protections actives de WatchGuard EDR
• 42 (BandwidthUsage) — Volume d'informations traitées dans chaque opération de transfert de données effectuée par le processus
• 45 (SystemOps) — Opération effectuée par le moteur WMI du système d'exploitation Windows
• 46 (DnsOps) — Le processus a accédé au serveur de noms DNS
• 47 (DeviceOps) — Le processus a accédé à un périphérique externe
• 50 (UserNotification) — Notification affichée à l'intention de l'utilisateur et réponse (le cas échéant)
• 52 (LoginOutOps) — Opération de connexion ou de déconnexion effectuée par l'utilisateur
• 99 (RemediationOps) — Événements de détection, blocage et désinfection de l'agent WatchGuard EDR ou WatchGuard EPDR
• 100 (HeaderEvent) — Événement administratif contenant les informations concernant les paramètres et la version du logiciel de protection ainsi que les informations concernant l'ordinateur et le client
• 199 (HiddenAction) — Événement de détection n'ayant pas déclenché d'alerte

exploitorigin

Origine de la tentative d'exploitation du processus :

• 1 (URL) — Adresse URL
• 2 (FILE) — Fichier

extendedinfo

Informations supplémentaires sur les événements de Type :

• 0 (Command line event creation) — Vide
• 1 (Active script event creation) — Nom du fichier script
• 2 (Event consumer to filter consumer) — Vide
• 3 (Event consumer to filter query) — Vide
• 4 (Create User) — Vide
• 5 (Delete User) — Vide
• 6 (Add user group) — SID du groupe
• 7 (Delete user group) — SID du groupe
• 8 (User group admin) — SID du groupe
• 9 (User group rdp) — SID du groupe

failedqueries

Nombre d'échecs de requêtes de résolution DNS envoyées par le processus au cours de la dernière heure.

friendlyname

Nom de périphérique aisément lisible.

firstseen

Date à laquelle le fichier a été détecté pour la première fois.

hostname

Nom de l'ordinateur qui a exécuté le processus.

infodiscard

Informations internes du fichier de Quarantaine.

ipv4status

Le type d'adresses IP :

• 0 (Privée)
• 1 (Publique)

isdenied

Indique si l'action signalée a été refusée.

islocal

Indique si la tâche a été créée sur l'ordinateur local ou sur un ordinateur distant.

Interactif

Indique si la connexion est interactive.

idname

Nom du périphérique.

clé

Branche ou clé de registre concernée.

lastquery

Dernière requête transmise au cloud par l'agent WatchGuard EDR ou WatchGuard EPDR.

localip

Adresse IP locale du processus.

localport

Dépend du champ de sens :

• Sortant — Port du processus exécuté sur l'ordinateur protégé par WatchGuard EDR et WatchGuard EPDR.
• Entrant — Port du processus exécuté sur l'ordinateur distant.

localdatetime

Date de l'ordinateur (au format UTC) au moment où l'événement journalisé s'est produit. Cette date dépend des paramètres de l'ordinateur. Par conséquent, elle peut être incorrecte.

loggeduser

Utilisateur connecté à l'ordinateur au moment où l'événement a été généré.

machinename

Nom de l'ordinateur qui a exécuté le processus.

manufacturer

Fabricant du périphérique.

MUID

Identifiant interne de l'ordinateur client.

objectname

Nom unique de l'objet dans la hiérarchie WMI.

opentstamp

Date de la notification WMI pour les événements WMI_CREATEPROC (54).

operation

Type d'opération effectuée par le processus :

• 0 (CreateProc) — Processus créé
• 1 (PECreat) — Programme exécutable créé
• 2 (PEModif) — Programme exécutable modifié
• 3 (LibraryLoad) — Bibliothèque chargée
• 4 (SvcInst) — Service installé
• 5 (PEMapWrite) — Programme exécutable mappé pour l'accès en écriture
• 6 (PEDelet) — Programme exécutable supprimé
• 7 (PERenam) — Programme exécutable renommé
• 8 (DirCreate) — Dossier créé
• 9 (CMPCreat) — Fichier compressé créé
• 10 (CMOpened) — Fichier compressé ouvert
• 11 (RegKExeCreat) — Une branche de registre pointant vers un fichier exécutable a été créée
• 12 (RegKExeModif) — Une branche de registre a été modifiée et pointe désormais vers un fichier exécutable
• 15 (PENeverSeen) : Programme exécutable jamais détecté auparavant par WatchGuard EPDR
• 17 (RemoteThreadCreated) : Thread distant créé
• 18 (ProcessKilled) — Processus arrêté
• 25 (SamAccess) — Accès à l'ordinateur SAM
• 30 (ExploitSniffer) — Technique d'exploit par reniflage détectée
• 31 (ExploitWSAStartup) — Technique d'exploit WSAStartup détectée
• 32 (ExploitInternetReadFile) — Technique d'exploit InternetReadFile détectée
• 34 (ExploitCMD) — Technique d'exploitation CMD détectée

• 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — Fichier 16 bits chargé par ntvdm.exe

• 43 (Heuhooks) — Technologie anti-exploit détectée

• 54 (Create process by WMI) — Processus créé par un WMI modifié

• 55 (AttackProduct) — Attaque détectée sur le service de l'agent, un fichier ou une clé de registre

• 61 (OpenProcess LSASS) — Processus LSASS ouvert

operationflags/integrityLevel

Indique le niveau d'intégrité attribué par Windows à l'élément :

• 0x0000 Niveau non approuvé
• 0x1000 Niveau d'intégrité faible
• 0x2000 Niveau d'intégrité moyen
• 0x3000 Niveau d'intégrité élevé
• 0x4000 Niveau d'intégrité du système
• 0x5000 Protégé

operationstatus

Indique si l'événement doit être envoyé à Advanced Reporting Tool :

• 0 — Envoyé
• 1 — Filtré par l'agent
• 2 — Ne pas envoyer

origusername

Utilisateur de l'ordinateur qui a effectué l'opération.

pandaid

Identifiant du client.

pandaorionstatus

Indique l'état des paramètres de l'horloge de l'ordinateur client par rapport à l'horloge de WatchGuard Cloud :

• 0 (Version not supported) — L'ordinateur client ne prend pas en charge la synchronisation de ses paramètres d'horloge avec ceux de WatchGuard.
• 1 (Recalculated WatchGuard Time) — Le client a réparé les paramètres de l'horloge de l'ordinateur et les a synchronisés avec ceux de WatchGuard
• 2 (WatchGuard Time OK) — Les paramètres de l'horloge de l'ordinateur client sont corrects
• 3 (WatchGuard Time Calculation Error) — Erreur de réparation des paramètres de l'horloge de l'ordinateur

pandatimestatus

Contenu des champs DateTime, Date et LocalDateTime.

parentattributes

Attributs du processus parent :

• 0x0000000000000001 (ISINSTALLER) — Fichier auto-extractible (SFX)
• 0x0000000000000002 (ISDRIVER) — Fichier de type pilote
• 0x0000000000000008 (ISRESOURCESDLL) — Fichier de type DLL de ressource
• 0x0000000000000010 (EXTERNAL) — Fichier provenant de l'extérieur de l'ordinateur
• 0x0000000000000020 (ISFRESHUNK) — Fichier récemment ajouté à la base de connaissances
• 0x0000000000000040 (ISDISSINFECTABLE) — Fichier pour lequel il existe une action de désinfection recommandée

• 0x0000000000000080 (DETEVENT_DISCARD) — La technologie de détection du contexte basée sur les événements n'a rien détecté de suspect

• 0x0000000000000100 (WAITED_FOR_VINDEX) — Exécution d'un fichier dont la création n'avait pas été enregistrée

• 0x0000000000000200 (ISACTIONSEND) — Les technologies locales n'ont pas détecté de malware dans le fichier et celui-ci a été transmis à WatchGuard pour être classifié

• 0x0000000000000400 (ISLANSHARED) — Fichier stocké sur un lecteur réseau

• 0x0000000000000800 (USERALLOWUNK) — Fichier présentant la permission d'importer des DLL inconnus

• 0x0000000000001000 (ISSESIONREMOTE) — Événement provenant d'une session distante

• 0x0000000000002000 (LOADLIB_TIMEOUT) — La durée écoulée entre le moment où la protection a intercepté le chargement de la bibliothèque et celui où elle a été analysée a dépassé 1 seconde. Par conséquent, l'analyse synchrone est devenue asynchrone de manière à éviter de dégrader les performances.

• 0x0000000000004000 (ISPE) — Fichier exécutable

• 0x0000000000008000 (ISNOPE) — Fichier non exécutable

• 0x0000000000020000 (NOSHELL) — L'agent n'a pas détecté l'exécution d'une commande shell sur le système

• 0x0000000000080000 (ISNETNATIVE) — Fichier natif NET

• 0x0000000000100000 (ISSERIALIZER) — Fichier sérialiseur

• 0x0000000000400000 (SONOFGWINSTALLER) — Fichier créé par un programme d'installation classifié comme goodware

• 0x0000000001000000 (INTERCEPTION_TXF) — L'opération interceptée provient d'un exécutable dont l'image sur le disque est en cours de modification

• 0x0000000002000000 (HASMACROS) — Document Microsoft Office contenant des macros

• 0x0000000008000000 (ISPEARM) — Fichier exécutable pour microprocesseurs ARM

• 0x0000000010000000 (ISDYNFILTERED) — Le fichier a été autorisé sur l'ordinateur car il n'existe pas de technologie permettant de le classifier

• 0x0000000020000000 (ISDISINFECTED) — Le fichier a été désinfecté

• 0x0000000040000000 (PROCESSLOST) — L'opération n'a pas été journalisée

• 0x0000000080000000 (OPERATION_LOST) — Opération présentant un rapport de pré-analyse dont le rapport de post-analyse n'a pas encore été obtenu

parentblake

Signature Blake2 du fichier parent qui a effectué l'opération.

parentcount

Nombre de processus présentant des échecs DNS.

parentmd5

Hachage du fichier parent.

parentpath

Chemin d'accès du fichier parent qui a effectué l'opération journalisée.

parentpid

Identifiant du processus parent.

parentstatus

État du processus parent :

• 0 (StatusOk) — État OK
• 1 (NotFound) — Élément introuvable
• 2 (UnexpectedError) — Erreur inconnue
• 3 (StaticFiltered) — Fichier identifié comme malware sur la base des informations statiques de la protection WatchGuard EDR ou WatchGuard EPDR
• 4 (DynamicFiltered) — Fichier identifié comme malware à l'aide de la technologie locale de WatchGuard EDR ou WatchGuard EPDR
• 5 (FileIsTooBig) — Fichier trop volumineux
• 6 (PEUploadNotAllowed) — L'envoi de fichiers a été désactivé
• 11 (FileWasUploaded) — Fichier envoyé sur le cloud
• 12 (FiletypeFiltered) — Fichier de ressource DLL, NET Native ou sérialiseur
• 13 (NotUploadGWLocal) — Le fichier goodware n'a pas été enregistré sur le cloud
• 14 (NotUploadMWdisinfect) — Le fichier malware désinfecté n'a pas été enregistré sur le cloud

pecreationsource

Type de lecteur où le processus a été créé :

• (0) Inconnu — Le type de périphérique n'a pas pu être déterminé
• (1) Pas de dossier racine — Le chemin du périphérique est invalide. Par exemple, le support de stockage externe a été extrait.
• (2) Support amovible — Support de stockage amovible
• (3) Support fixe — Support de stockage interne
• (4) Lecteur distant — Support de stockage distant (par exemple un lecteur réseau)
• (5) Lecteur de CD-ROM
• (6) Disque RAM

phonedescription

Description du téléphone si un périphérique de ce type a participé à l'opérations.

protocole

Protocole de communication utilisé par le processus :

• 1 (ICMP)
• 2 (IGMP)
• 3 (RFCOMM)
• 6 (TCP)
• 12 (RDP)
• 17 (UDP)
• 58 (ICMPV6)
• 113 (RM)

querieddomaincount

Nombre de domaines différents envoyés par le processus pour lesquels un échec de résolution DNS est survenu au cours de la dernière heure.

regaction

Type d'opération effectuée sur le registre Windows de l'ordinateur :

• 0 (CreateKey) — Une nouvelle branche de registre a été créée
• 1 (CreateValue) — Une valeur a été attribuée à une branche de registre
• 2 (ModifyValue) — Une valeur de branche de registre a été modifiée

remediationresult

Réponse de l'utilisateur au message contextuel affiché par WatchGuard EPDR ou EDR :

• 0 (Ok) — Le client a accepté le message
• 1 (Timeout) — Le message contextuel a disparu en l'absence d'action de l'utilisateur
• 2 (Angry) — L'utilisateur a choisi l'option consistant à ne pas bloquer l'élément du message contextuel affiché
• 3 (Block) — L'élément a été bloqué, car l'utilisateur n'a pas répondu au message contextuel
• 4 (Allow) — L'utilisateur a accepté la solution
• -1 (Inconnu)

remoteip

Adresse IP de l'ordinateur qui a établi la session distante.

remotemachinename

Nom de l'ordinateur qui a lancé la session distante.

remoteport

Dépend du champ de sens :

• Entrant — Port du processus exécuté sur l'ordinateur protégé par WatchGuard EDR ou WatchGuard EPDR.
• Sortant — Port du processus exécuté sur l'ordinateur distant.

remoteusername

Nom de l'ordinateur qui a lancé la session distante.

sessiondate

Date à laquelle le service antivirus a été démarré pour la dernière fois, ou dernière fois qu'il a été démarré depuis la dernière mise à jour.

sessiontype

Type de connexion :

• 0 (System Only) — La session a démarré avec un compte système
• 2 (Local) — Session créée physiquement via un clavier ou un KVM IP
• 3 (Remote) — Session créée à distance sur des dossiers ou des imprimantes partagé(e)s. Ce type de connexion utilise une authentification sécurisée.
• 4 (Scheduled) — Session créée par le planificateur de tâches Windows
• -1 (Inconnu)
• 5 (Service) — Session créée lorsqu'un service devant être exécuté dans la session de l'utilisateur a été lancé. La session est supprimée lorsque le service s'arrête.
• 7 (Blocked) — Session créée lorsqu'un utilisateur tente de rejoindre une session précédemment bloquée
• 8 (Remote Unsecure) — Identique au type 3, mais avec le mot de passe transmis en texte clair
• 9 (RunAs) — Session créée lorsque la commande « RunAs » a été utilisée par un compte différent de celui utilisé pour se connecter, et que le paramètre « /netonly » a été spécifié. Si le paramètre « /netonly » n'est pas spécifié, une session de type 2 est créée.
• 10 (TsClient) — Session créée lors d'un accès via « Terminal Service », « Remote Desktop » ou « Remote Assistance ». Elle identifie une connexion d'utilisateur distante.
• 11 (Domain Cached) — Session utilisateur créée avec des informations d'identification de domaine mises en cache sur la machine, mais sans connexion au contrôleur de domaine

servicelevel

Mode d'exécution de l'agent :

• 0 (Learning) — L'agent ne bloque aucun élément, mais surveille tous les processus en cours d'exécution
• 1 (Hardening) — L'agent bloque tous les programmes non classifiés provenant d'une source non approuvée ainsi que les éléments classifiés comme malware
• 2 (Block) — L'agent bloque tous les exécutables non classifiés ainsi que les éléments classifiés comme malware
• -1 (S/O)

timeout

L'analyse locale a duré trop longtemps et le processus a été délégué à d'autres mécanismes ne dégradant pas les performances.

times

Nombre de fois où un événement de communication donné est survenu au cours de la dernière heure.

timestamp

Horodatage de l'action détectée sur l'ordinateur client ayant généré l'indicateur.

totalresolutiontime

Indique la durée nécessaire au cloud pour répondre, et si la requête du code d'erreur a échoué :

• 0 — Le cloud n'a pas été interrogé
• >0 — Temps en millisecondes nécessaire au cloud pour répondre à la requête
• <0 — Code d'erreur de la requête cloud

type

Type d'opération WMI effectuée par le processus :

• 0 (Command line event creation) — WMI a lancé une ligne de commande en réponse à une modification de la base de données
• 1 (Active script event creation) — un script a été exécuté en réponse à la réception d'un événement
• 2 (Event consumer to filter consumer) — Cet événement est généré lorsqu'un processus s'abonne pour recevoir des notifications. Le nom du filtre créé est reçu.
• 3 (Event consumer to filter query) — Cet événement est généré lorsqu'un processus s'abonne pour recevoir des notifications. La requête exécutée par le processus pour s'abonner est reçue.
• 4 (Create User) — un compte d'utilisateur a été ajouté au système d'exploitation
• 5 (Delete User) — un compte d'utilisateur a été supprimé du système d'exploitation
• 6 (Add user group) — un groupe a été ajouté au système d'exploitation
• 7 (Delete user group) — un groupe a été supprimé du système d'exploitation
• 8 (User group admin) — un utilisateur a été ajouté au groupe d'administration
• 9 (User group rdp) : un utilisateur a été ajouté au groupe RDP

uniqueid

Identifiant unique du périphérique.

url

URL du téléchargement lancé par le processus ayant généré l'événement journalisé.

value

Type d'opération effectuée sur le registre Windows de l'ordinateur :

• 0 (CreateKey) — Une nouvelle branche de registre a été créée
• 1 (CreateValue) — Une valeur a été attribuée à une branche de registre
• 2 (ModifyValue) — Une valeur de branche de registre a été modifiée

valuedata

Type de données de la valeur contenue dans la branche de registre :

• 00 (REG_NONE)
• 01 (REG_SZ)
• 02 (REG_EXPAND_SZ)
• 03 (REG_BINARY)
• 04 (REG_DWORD)
• 05 (REG_DWORD_BIG_ENDIAN)
• 06 (REG_LINK)
• 07 (REG_MULTI_SZ)
• 08 (REG_RESOURCE_LIST)
• 09 (REG_FULL_RESOURCE_DESCRIPTOR)
• 0A (REG_RESOURCE_REQUIREMENTS_LIST)
• 0B (REG_QWORD)
• 0C (REG_QWORD_LITTLE_ENDIAN)

vdetevent

Version du DLL Deteven.dll

version

Version du système d'exploitation de l'ordinateur qui a exécuté le logiciel vulnérable.

versionagent

Version de l'agent installé.

versioncontroller

Version du DLL Psnmvctrl.dll.

vtabledetevent

Version du DLL TblEven.dll.

vtableramsomevent

Version du DLL TblRansomEven.dll.

vramsomevent

Version du DLL RansomEvent.dll.

vantiexploit

Version de la technologie anti-exploit.

vtfilteraxtiexploit

Version du filtre de la technologie anti-exploit.

versionproduct

Version du produit de protection installé.

winningtech

Technologie de l'agent client WatchGuard EPDR ou WatchGuard EDR ayant déclenché l'événement :

• 0 (Inconnu)
• 1 (Cache) — Classification mise en cache localement
• 2 (Cloud) — Classification téléchargée sur le cloud
• 3 (Context) — Règle contextuelle locale
• 4 (Serializer) — Type de fichier binaire
• 5 (User) — L'utilisateur a été interrogé quant à l'action à exécuter
• 6 (LegacyUser) — L'utilisateur a été interrogé quant à l'action à exécuter
• 7 (NetNative) — Type de fichier binaire
• 8 (CertifUA) — Détection par les certificats numériques
• 9 (LocalSignature) — Signature locale
• 10 (ContextMinerva) — Règle contextuelle hébergée sur le cloud
• 11 (Blockmode) — L'agent était en mode Renforcement ou Blocage lorsque l'exécution du processus a été bloquée
• 12 (Metasploit) — Attaque créée avec le Cadre Metasploit
• 13 (DLP) — Technologie de Prévention des Fuites de Données
• 14 (AntiExploit) — Technologie identifiant les tentatives d'exploitation des processus vulnérables
• 15 (GWFilter) — Technologie identifiant les processus de goodware
• 16 (Policy) — Stratégies de sécurité avancée de WatchGuard EPDR
• 17 (SecAppControl) — Technologies de contrôle des applications de sécurité
• 18 (ProdAppControl) — Technologies de contrôle des applications de productivité
• 19 (EVTContext) — Technologie contextuelle Linux
• 20 (RDP) — Technologie permettant de détecter/bloquer les intrusions et les attaques RDP (Remote Desktop Protocol)
• 21 (AMSI) — Technologie permettant de détecter les malware dans les notifications AMSI
• -1 (Inconnu)