IOA (Indicators of Attack) イベント

適用対象:WatchGuard EPDRWatchGuard EDR

WatchGuard EPDR と EDR では、顧客コンピュータで実行されるプロセスが監視され、生成されたテレメトリ データが WatchGuard Cloud に送信されます。このデータを使用して、専門の脅威ハンターにより、顧客の IT リソースに対する IOA (Indicators of Attack) が検出されます。

テレメトリ データは、いくつかのフィールドで構成されるイベントに保存されます。IOA をトリガーしたイベントに関する情報は、IOA の詳細ページで JSON 形式としてだけでなく、攻撃グラフとしても取得することができます。IOA に応じて、IOA 詳細ページのその他の詳細セクションおよび攻撃グラフのノードと矢印に、いくつかのフィールドが表示されます。詳細については、IOA (Indicators of Attack) の詳細 および 攻撃グラフについて を参照してください。

イベント

イベントは、コンピュータにおけるプロセスで実行されたアクションを説明するフィールドで構成される記録です。各種類のイベントには、特定数のフィールドが含まれています。下表には、イベントの説明、データ型、フィールドの可能な値が示されています。

フィールド 説明 フィールドの種類

accesstype

ファイル アクセス マスク:

  • (54) WMI_CREATEPROC:ローカル WMI

その他すべての操作:

ビットマスク

accnube

顧客コンピュータにインストールされているエージェントから、WatchGuard Cloud にアクセスすることができます。

ブール値

action

WatchGuard EDR または WatchGuard EPDR エージェントで、ユーザーにより、または影響を受けるプロセスで実行されるアクションの種類:

  • 0 (Allow) — エージェントにより、プロセスの実行が許可された。
  • 1 (Block) — エージェントにより、プロセスの実行がブロックされた。
  • 2 (BlockTimeout) — エージェントにより、ユーザーにポップアップ メッセージが表示されたが、ユーザーが時間内に応答しなかった。
  • 3 (AllowWL) — プロセスがローカルのグッドウェア許可リストに入っているため、エージェントにより、プロセスの実行が許可された。
  • 4 (BlockBL) — プロセスがローカル マルウェア ブロックリストに入っているため、エージェントにより、プロセスの実行がブロックされた。
  • 5 (Disinfect) — エージェントにより、プロセスが駆除された。
  • 6 (Delete) — エージェントにより、プロセスがマルウェアとして分類され、駆除できなかったためにこれが削除された。
  • 7 (Quarantine) — エージェントにより、プロセスがマルウェアとして分類され、これがコンピュータの検疫フォルダに移動された。
  • 8 (AllowByUser) — エージェントにより、ユーザーにポップアップ メッセージが表示され、ユーザーが「実行を許可する」と応答した
  • 9 (Informed) — エージェントにより、ユーザーにポップアップ メッセージが表示された。
  • 10 (Unquarantine) — エージェントにより、ファイルが検疫フォルダから削除された。
  • 11 (Rename) — エージェントにより、ファイル名が変更された。このアクションは、テストにのみ使用される。

  • 12 (BlockURL) — エージェントにより、URL がブロックされた。

  • 13 (KillProcess) — エージェントにより、プロセスが閉じられた。

  • 14 (BlockExploit) — エージェントにより、脆弱なプロセスを悪用する試みが阻止された。

  • 15 (ExploitAllowByUser) — ユーザーが、悪用されたプロセスを閉じることを許可しなかった。

  • 16 (RebootNeeded) — エージェントから、エクスプロイトの試みをブロックするためにコンピュータの再起動が要求された。

  • 17 (ExploitInformed) — エージェントにより、脆弱なプロセスを悪用する試みが発生したことを通知するポップアップ メッセージがユーザーに表示された。

  • 18 (AllowSonGWInstaller) — プロセスがグッドウェアとして分類されたインストール パッケージに属しているため、エージェントにより、プロセスの実行が許可された。

  • 19 (EmbebedInformed) — 検出ルーチンを改善するために、エージェントから、内部操作情報がクラウドに送信された。

  • 21 (SuspendProcess) — 監視対象プロセスで、ウイルス対策サービスを一時停止しようとする試みが発生した。

  • 22 (ModifyDiskResource) — 監視対象プロセスで、エージェント シールドにより保護されているリソースを変更しようとする試みが発生した。

  • 23 (ModifyRegistry) — 監視対象プロセスで、エージェント シールドにより保護されているレジストリ キーを変更しようとする試みが発生した。

  • 24 (RenameRegistry) — 監視対象プロセスで、エージェント シールドにより保護されているレジストリ キーの名前を変更しようとする試みが発生した。

  • 25 (ModifyMarkFile) — 監視対象プロセスで、エージェント シールドにより保護されているファイルを変更しようとする試みが発生した。

  • 26 (Undefined) — プロセス操作の監視中にエラーが発生した。

  • 28 (AllowFGW) — 操作がローカルのグッドウェア許可リストに入っているため、エージェントにより、監視対象プロセスにおける操作の実行が許可された。

  • 29 (AllowSWAuthorized) — 管理者によりファイルが承認済みソフトウェアとしてマーク付けされているため、エージェントにより、監視対象プロセスにおける操作の実行が許可された。

  • 31 (ExploitAllowByAdmin) — ネットワーク管理者によりエクスプロイトが除外されているため、エージェントにより、監視対象プロセスにおける操作の実行が許可された。

  • 32 (IPBlocked) — RDP (リモート デスクトップ プロトコル) 攻撃を軽減するために、エージェントにより、IP がブロックされた。

列挙

actiontype

セッションの種類:

  • 0 (Login) — 顧客コンピュータにログインする。
  • 1 (Logout) — 顧客コンピュータからログアウトする。
  • -1 (Unknown) — セッションの種類を判別できない。

列挙

age

ファイルが最後に変更された日付:

日付

blockreason

コンピュータにポップアップ メッセージが表示される理由:

  • 0 — ファイルが不明であり、WatchGuard EPDR または WatchGuard EDR の高度な保護モードがハードニングまたはロックに設定されているため、ファイルがブロックされた。
  • 1 — ローカル ルールにより、ファイルがブロックされた。
  • 2 — 送信元が非信頼であるため、ファイルがブロックされた。
  • 3 — コンテキスト ルールにより、ファイルがブロックされた。
  • 4 — ファイルがエクスプロイトであるため、ファイルがブロックされた。
  • 5 — ユーザーにプロセスを閉じるように要求した後、ファイルがブロックされた。

列挙

bytesreceived

監視対象プロセスで受信された合計バイト数。

数値

bytessent

監視対象プロセスにより送信された合計バイト数。

数値

callstack/sonsize

子ファイルのバイト単位のサイズ。

数値

childattributes

子プロセスの属性:

  • 0x0000000000000001 (ISINSTALLER) — 自己解凍 (SFX) ファイル。
  • 0x0000000000000002 (ISDRIVER) — ドライバ タイプのファイル。
  • 0x0000000000000008 (ISRESOURCESDLL) — リソース DLL タイプのファイル。
  • 0x0000000000000010 (EXTERNAL) — コンピュータ外部からのファイル。

  • 0x0000000000000020 (ISFRESHUNK) — WatchGuard ナレッジ ベースに最近追加されたファイル。

  • 0x0000000000000040 (ISDISSINFECTABLE) — 駆除アクションが推奨されているファイル。

  • 0x0000000000000080 (DETEVENT_DISCARD) — イベントベースのコンテキスト検出技術により、不審なものが検出されなかった。

  • 0x0000000000000100 (WAITED_FOR_VINDEX) — 作成が登録されていないファイルが実行された。

  • 0x0000000000000200 (ISACTIONSEND) — クライアント エージェントではファイルにマルウェアが検出されなかったが、分類のためにそれが WatchGuard に送信された。

  • 0x0000000000000400 (ISLANSHARED) — ネットワーク ドライブに保存されているファイル。

  • 0x0000000000000800 (USERALLOWUNK) — 不明な DLL をインポートすることが許可されているファイル。

  • 0x0000000000001000 (ISSESIONREMOTE) — リモート セッションから発生したイベント。

  • 0x0000000000002000 (LOADLIB_TIMEOUT) — 保護機能でライブラリのロードが傍受されてからスキャンされるまでの時間が 1 秒を超過した。その結果、パフォーマンスへの影響を回避するために、スキャンが同期から非同期に変更された。

  • 0x0000000000004000 (ISPE) — 実行可能ファイル。

  • 0x0000000000008000 (ISNOPE) — 非実行ファイル。

  • 0x0000000000020000 (NOSHELL) — エージェントにより、システムにおけるシェル コマンドの実行が検出されなかった。

  • 0x0000000000080000 (ISNETNATIVE) — NET ネイティブ ファイル。

  • 0x0000000000100000 (ISSERIALIZER) — シリアライザ ファイル。

  • 0x0000000000400000 (SONOFGWINSTALLER) — グッドウェアとして分類されたインストーラにより作成されたファイル。

  • 0x0000000000800000 (PROCESS_EXCLUDED) — WatchGuard EPDR で除外されているため、スキャンされなかったファイル。

  • 0x0000000001000000 (INTERCEPTION_TXF) — 傍受された操作は、ディスクのイメージが変更されている実行可能ファイルによって開始された。

  • 0x0000000002000000 (HASMACROS) — マクロが含まれている Microsoft Office ドキュメント。

  • 0x0000000008000000 (ISPEARM) — ARM マイクロプロセッサの実行可能ファイル。

  • 0x0000000010000000 (ISDYNFILTERED) — ファイルを分類する技術がないため、ファイルがコンピュータで許可された。

  • 0x0000000020000000 (ISDISINFECTED) — ファイルが駆除された。

  • 0x0000000040000000 (PROCESSLOST) — 操作がログに記録されなかった。

  • 0x0000000080000000 (OPERATION_LOST) — スキャン後レポートがまだ受信されていないスキャン前レポートによる操作。

列挙

childblake

子ファイルの Blake2 署名。

文字列

childclassification

ログに記録されたアクションを実行した子プロセスの分類:

  • 0 (Unknown) — 分類中のファイル
  • 1 (Goodware) — グッドウェアとして分類されたファイル
  • 2 (Malware) — マルウェアとして分類されたファイル
  • 3 (Suspect) — 分類中で、マルウェアである可能性が高いファイル
  • 4 (Compromised) — エクスプロイト攻撃によって侵害されたプロセス
  • 5 (GWNotConfirmed) — 分類中で、マルウェアである可能性が非常に高いファイル
  • 6 (Pup) — 迷惑なプログラムとして分類されたファイル
  • 7 (GwUnwanted) — PUP に相当
  • 8 (GwRanked) — グッドウェアとして分類されたプロセス
  • -1 (Unknown)

列挙

childfiletime

エージェントで子ファイルがログ記録された日付

日付

childfilesize

エージェントでログ記録された子ファイルのサイズ

数値

childmd5

子ファイルのハッシュ

文字列

childpath

ログに記録された操作を実行した子ファイルのパス

文字列

ChildPID

子プロセスの ID

数値

childurl

ファイルのダウンロード URL

文字列

childstatus

子プロセスのステータス:

  • 0 (StatusOk) — ステータスが OK である。
  • 1 (NotFound) — アイテムが見つからなかった。
  • 2 (UnexpectedError) — 不明のエラーが発生した。
  • 3 (StaticFiltered) — WatchGuard EDR または WatchGuard EPDR 保護に含まれている静的情報を使用して、ファイルがマルウェアとして識別された。
  • 4 (DynamicFiltered) — WatchGuard EDR または WatchGuard EPDR に実装されているローカル技術を使用して、ファイルがマルウェアとして識別された。
  • 5 (FileIsTooBig) — ファイルが大きすぎる。
  • 6 (PEUploadNotAllowed) — ファイル送信が無効化された。
  • 11 (FileWasUploaded) — 分析のためにファイルがクラウドに送信された。
  • 12 (FiletypeFiltered) — リソース DLL、NET ネイティブ、またはシリアライザ タイプのファイルである。
  • 13 (NotUploadGWLocal) — グッドウェア ファイルが WatchGuard Cloud に保存されていない。
  • 14 (NotUploadMWdisinfect) — 駆除されたマルウェア ファイルが WatchGuard Cloud に保存されていない。

列挙

classname

プロセスが存在するデバイスの種類。これは、デバイスに関連付けられている .INF ファイルで指定されたクラスに対応する。

文字列

configstring

使用中の MVMF.xml ファイルのバージョン

文字列

commandline

WMI 経由で実行されるタスクとして構成されたコマンド ライン

文字列

confadvancedrules

WatchGuard EDR または WatchGuard EPDR の高度なセキュリティ ポリシー設定

文字列

copy

イベントをトリガーしたサービスの名前

文字列

details

イベントの関連フィールドのグループの形式で表示される概要

文字列

description

操作が実行された USB デバイスの説明

文字列

detectionid

検出の一意の識別子

数値

devicetype

ログ記録された操作をトリガーしたプロセスまたはファイルが存在するドライブの種類:

  • 0 (UNKNOWN) — 不明
  • 1 (CD_DVD) — CD または DVD ドライブ
  • 2 (USB_STORAGE) — USB ストレージ デバイス
  • 3 (IMAGE) — イメージ ファイル
  • 4 (BLUETOOTH) — Bluetooth デバイス
  • 5 (MODEM) — モデム
  • 6 (USB_PRINTER) — USB プリンタ
  • 7 (PHONE) — 携帯電話
  • 8 (KEYBOARD) — キーボード
  • 9 (HID) — マウス

列挙

direction

ネットワーク接続の方向:

  • 0 (UnKnown) — 不明
  • 1 (Incoming) — ネットワークの外部から顧客ネットワークのコンピュータに対して確立された接続
  • 2 (Outgoing) — 顧客ネットワークのコンピュータからネットワーク外のコンピュータに対して確立された接続
  • 3 (Bidirectional) — 双方向

列挙

domainlist

解決ためにプロセスで DNS サーバーに送信されたドメインのリストとドメインごとの解決の数

{domain_name,n umber#domain_ name,number}

domainname

プロセスでアクセス/解決が試みられたドメインの名前

文字列

errorcode

ログイン試行の失敗が発生した際にオペレーティング システムから返されるエラー コード:

  • 1073740781 (ファイアウォールの保護対象) — ログインしているコンピュータが認証ファイアウォールにより保護されている。指定されたアカウントはマシンで認証を受けることが許可されていない。
  • 1073741074 (セッション開始エラー) — ログイン中にエラーが発生した。
  • 1073741260 (ブロックされたアカウント) — アクセスがブロックされた。
  • 1073741275 (Windows エラー[リスクなし]) — リスクではなく、Windows のバグ。
  • 1073741276 (再起動時にパスワードの変更が必要) — 次回の起動時にユーザー パスワードを変更する必要がある。
  • 1073741477 (無効な権限) — ユーザーが許可されていない種類のログインを要求した。
  • 1073741421 (アカウントの有効期限切れ) — アカウントの有効期限が切れた。
  • 1073741422 (Netlogon が初期化されていない状態) — ログインの試みが発生したが、Netlogon サービスが開始されていなかった。
  • 1073741428 (ドメインの信頼確立の失敗) — プライマリ ドメインと信頼済みドメイン間の信頼関係が失敗したため、ログイン要求が失敗した。
  • 1073741517 (クロック差が大きすぎる状態) — 接続されているコンピュータのクロックが大きくずれている。
  • 1073741604 (無効なサム サーバー) — 検証サーバーに障害が発生した。操作を実行できない。
  • 1073741710 (無効なアカウント) — アカウントが無効化されている。
  • 1073741711 (パスワードの有効期限切れ) — パスワードの有効期限が切れた。
  • 1073741712 (ログインが許可されていないワークステーション) — 未承認のコンピュータからのログイン試行が発生した。
  • 1073741713 (ユーザー アカウントの時間的制限) — 制限されている時間にログイン試行が発生した。
  • 1073741714 (無効なユーザー名またはパスワード) — 不明なユーザー名または間違ったパスワードが使用された。
  • 1073741715 (無効なユーザー名または認証情報) — ユーザー名または認証情報が間違っている。
  • 1073741718 (無効なパスワード) — ユーザー名は正しいが、パスワードが間違っている。
  • 1073741724 (無効なユーザー名) — ユーザー名が存在しない。
  • 1073741730 (使用不可なログイン サーバー) — ログインの検証に必要なサーバーが使用できない。

列挙

errorstring

セキュリティ製品の設定に関するデバッグ情報が含まれた文字列

文字列

eventtype

エージェントによりログに記録されるイベントの種類:

  • 1 (ProcessOps) — コンピュータ ハード ディスクで操作が実行されたプロセス
  • 14 (Download) — データがダウンロードされたプロセス
  • 22 (NetworkOps) — ネットワーク操作が実行されたプロセス
  • 26 (DataAccess) — 内部マス ストレージ デバイスでホストされているデータ ファイルへのアクセスが発生したプロセス
  • 27 (RegistryOps) — Windows レジストリへのアクセスが発生したプロセス
  • 30 (ScriptOps) — スクリプト タイプのプロセスで実行された操作
  • 31 (ScriptOps) — スクリプト タイプのプロセスで実行された操作
  • 40 (Detection) — WatchGuard EDR アクティブ保護での検出
  • 42 (BandwidthUsage) — プロセスで実行される各データ転送操作で処理される情報の量
  • 45 (SystemOps) — Windows オペレーティング システムの WMI エンジンにより実行された操作
  • 46 (DnsOps) — DNS ネーム サーバーにアクセスしたプロセス
  • 47 (DeviceOps) — 外部デバイスにアクセスしたプロセス
  • 50 (UserNotification) — ユーザーに表示される通知と応答 (存在する場合)
  • 52 (LoginOutOps) — ユーザーが実行したログインまたはログアウト操作
  • 99 (RemediationOps) — WatchGuard EDR または WatchGuard EPDR エージェントにおける検出、ブロック、駆除イベント
  • 100 (HeaderEvent) — 保護ソフトウェアの設定とバージョンに関する情報およびコンピュータと顧客の情報が含まれている管理イベント
  • 199 (HiddenAction) — アラートがトリガーされなかった検出イベント

列挙

exploitorigin

エクスプロイト プロセスの試みの発信元:

  • 1 (URL) — URL アドレス
  • 2 (FILE) — ファイル

列挙

extendedinfo

Type イベントに関する追加情報:

  • 0 (コマンド ライン イベントの作成) — 空
  • 1 (アクティブなスクリプト イベントの作成) — スクリプト ファイル名
  • 2 (コンシューマをフィルタリングするイベント コンシューマ) — 空
  • 3 (クエリをフィルタリングするイベント コンシューマ) — 空
  • 4 (ユーザーの作成) — 空
  • 5 (ユーザーの削除) — 空
  • 6 (ユーザー グループの追加) — グループ SID
  • 7 (ユーザー グループの削除) — グループ SID
  • 8 (ユーザー グループ管理者) — グループ SID
  • 9 (ユーザー グループ RDP) — グループ SID

文字列

failedqueries

過去 1 時間以内にプロセスにより送信された DNS 解決要求の中で失敗した数

数値

friendlyname

読みやすいデバイス名

文字列

firstseen

ファイルが最初に認識された日付

日付

hostname

プロセスが実行されたコンピュータの名前

文字列

infodiscard

検疫ファイルの内部情報

文字列

ipv4status

IP アドレスの種類:

  • 0 (Private)
  • 1 (Public)

列挙

isdenied

報告されたアクションが拒否されたかどうかを示す

バイナリ値

islocal

タスクがローカル コンピュータで作成されたか、リモート コンピュータで作成されたかを示す

バイナリ値

Interactive

ログインがインタラクティブ ログインであるかどうかを示す

バイナリ値

idname

デバイス名

文字列

key

影響を受けたレジストリ ブランチまたはキー

文字列

lastquery

WatchGuard EDR または WatchGuard EPDR エージェントからクラウドに送信された前回のクエリ

日付

localip

プロセスのローカル IP アドレス

IP アドレス

localport

方向フィールドによって異なる:

  • 送信 — WatchGuard EDR と WatchGuard EPDR の保護対象コンピュータで実行されたプロセスのポート
  • 受信 — リモート コンピュータで実行されたプロセスのポート

数値

localdatetime

ログ記録されたイベント発生時のコンピュータの日付 (UTC 形式)。この日付はコンピュータの設定によって異なるため、正しくない可能性がある。

日付

loggeduser

イベントの生成時にコンピュータにログインしていたユーザー

文字列

machinename

プロセスが実行されたコンピュータの名前

文字列

manufacturer

デバイス メーカー

文字列

MUID

顧客コンピュータの内部 ID

文字列

objectname

WMI 階層内のオブジェクトの一意の名前

文字列

opentstamp

WMI_CREATEPROC (54) イベントの WMI 通知の日付

ビットマスク

operation

プロセスで実行された操作の種類:

  • 0 (CreateProc) — プロセスが作成された。
  • 1 (PECreat) — 実行可能プログラムが作成された。
  • 2 (PEModif) — 実行可能プログラムが変更された。
  • 3 (LibraryLoad) — ライブラリがロードされた。
  • 4 (SvcInst) — サービスがインストールされた。
  • 5 (PEMapWrite) — 実行可能プログラムが書き込みアクセスにマッピングされた。
  • 6 (PEDelet) — 実行可能プログラムが削除された。
  • 7 (PERenam) — 実行可能プログラムの名前が変更された。
  • 8 (DirCreate) — フォルダが作成された。
  • 9 (CMPCreat) — 圧縮ファイルが作成された。
  • 10 (CMOpened) — 圧縮ファイルが開かれた。
  • 11 (RegKExeCreat) — 実行可能ファイルをポイントするレジストリ ブランチが作成された。
  • 12 (RegKExeModif) — レジストリ ブランチが変更され、実行可能ファイルをポイントするようになった。
  • 15 (PENeverSeen) — WatchGuard EPDR でこれまでに認知されたことのない実行可能プログラム。
  • 17 (RemoteThreadCreated) — リモート スレッドが作成された。
  • 18 (ProcessKilled) — プロセスが強制終了された。
  • 25 (SamAccess) — コンピュータ SAM へのアクセス。
  • 30 (ExploitSniffer) — スニッフィング エクスプロイト テクニックが検出された。
  • 31 (ExploitWSAStartup) — WSAStartup エクスプロイト テクニックが検出された。
  • 32 (ExploitInternetReadFile) — InternetReadFile エクスプロイト テクニックが検出された。
  • 34 (ExploitCMD) — CMD エクスプロイト テクニックが検出された。

  • 39 (CargaDeFicheroD16bitsPorNtvdm.exe) — ntvdm.exe により 16 ビットファイルがロードされた。

  • 43 (Heuhooks) — エクスプロイト対策技術が検出された。

  • 54 (Create process by WMI) — 変更された WMI によりプロセスが作成された。

  • 55 (AttackProduct) — エージェント サービス、ファイル、レジストリ キーで攻撃が検出された。

  • 61 (OpenProcess LSASS) — LSASS プロセスが開始された。

列挙

operationflags/integrityLevel

Windows からアイテムに割り当てられた整合性レベルを示す:

  • 0x0000 非信頼レベル
  • 0x1000 低整合性レベル
  • 0x2000 中程度の整合性レベル
  • 0x3000 高整合性レベル
  • 0x4000 システム整合性レベル
  • 0x5000 保護対象

列挙

operationstatus

イベントを Advanced Reporting Tool に送信する必要性の有無を示す:

  • 0 — 送信する
  • 1 — エージェントでフィルタリング済み
  • 2 — 送信しない

数値

origusername

操作を実行したコンピュータのユーザー

文字列

pandaid

顧客 ID

数値

pandaorionstatus

WatchGuard Cloud のクロックと比較した顧客コンピュータの時間設定のステータスを示す:

  • 0 (サポートされていないバージョン) — 顧客コンピュータで、時間設定と WatchGuard 設定の同期がサポートされていない。
  • 1 (再計算された WatchGuard 時間) — 顧客がコンピュータの時間設定を修正して、WatchGuard 設定に同期した。
  • 2 (WatchGuard 時間が OK) — 顧客コンピュータの時間設定が正しい。
  • 3 (WatchGuard 時間計算エラー) — コンピュータの時間設定の修正中にエラーが発生した。

列挙

pandatimestatus

DateTime、Date、LocalDateTime フィールドのコンテンツ

日付

parentattributes

親プロセスの属性:

  • 0x0000000000000001 (ISINSTALLER) — 自己解凍 (SFX) ファイル。
  • 0x0000000000000002 (ISDRIVER) — ドライバ タイプのファイル。
  • 0x0000000000000008 (ISRESOURCESDLL) — リソース DLL タイプのファイル。
  • 0x0000000000000010 (EXTERNAL) — コンピュータ外部からのファイル。
  • 0x0000000000000020 (ISFRESHUNK) — ナレッジ ベースに最近追加されたファイル。
  • 0x0000000000000040 (ISDISSINFECTABLE) — 駆除アクションが推奨されているファイル。

  • 0x0000000000000080 (DETEVENT_DISCARD) — イベントベースのコンテキスト検出技術により、不審なものが検出されなかった。

  • 0x0000000000000100 (WAITED_FOR_VINDEX) — 作成が登録されていないファイルが実行された。

  • 0x0000000000000200 (ISACTIONSEND) — ローカル技術ではファイルのマルウェアが検出されなかったが、分類のためにこれが WatchGuard に送信された。

  • 0x0000000000000400 (ISLANSHARED) — ネットワーク ドライブに保存されているファイル。

  • 0x0000000000000800 (USERALLOWUNK) — 不明な DLL をインポートすることが許可されているファイル。

  • 0x0000000000001000 (ISSESIONREMOTE) — リモート セッションから発生したイベント。

  • 0x0000000000002000 (LOADLIB_TIMEOUT) — 保護機能でライブラリのロードが傍受されてからスキャンされるまでの時間が 1 秒を超過した。その結果、パフォーマンスへの影響を回避するために、スキャンが同期から非同期に変更された。

  • 0x0000000000004000 (ISPE) — 実行可能ファイル。

  • 0x0000000000008000 (ISNOPE) — 非実行ファイル。

  • 0x0000000000020000 (NOSHELL) — エージェントにより、システムにおけるシェル コマンドの実行が検出されなかった。

  • 0x0000000000080000 (ISNETNATIVE) — NET ネイティブ ファイル。

  • 0x0000000000100000 (ISSERIALIZER) — シリアライザ ファイル。

  • 0x0000000000400000 (SONOFGWINSTALLER) — グッドウェアとして分類されたインストーラにより作成されたファイル。

  • 0x0000000001000000 (INTERCEPTION_TXF) — 傍受された操作は、ディスクのイメージが変更されている実行可能ファイルによって開始された。

  • 0x0000000002000000 (HASMACROS) — マクロが含まれている Microsoft Office ドキュメント。

  • 0x0000000008000000 (ISPEARM) — ARM マイクロプロセッサの実行可能ファイル。

  • 0x0000000010000000 (ISDYNFILTERED) — ファイルを分類する技術がないため、ファイルがコンピュータで許可された。

  • 0x0000000020000000 (ISDISINFECTED) — ファイルが駆除された。

  • 0x0000000040000000 (PROCESSLOST) — 操作がログに記録されなかった。

  • 0x0000000080000000 (OPERATION_LOST) — スキャン後レポートがまだ受信されていないスキャン前レポートによる操作。

列挙

parentblake

操作を実行した親ファイルの Blake2 署名

文字列

parentcount

DNS 失敗が発生したプロセスの数

数値

parentmd5

親ファイルのハッシュ

文字列

parentpath

ログ記録された操作を実行した親ファイルのパス

文字列

parentpid

親プロセス ID

数値

parentstatus

親プロセスのステータス:

  • 0 (StatusOk) — ステータスが OK である。
  • 1 (NotFound) — アイテムが見つからなかった。
  • 2 (UnexpectedError) — 不明のエラーが発生した。
  • 3 (StaticFiltered) — WatchGuard EDR または WatchGuard EPDR 保護に含まれている静的情報を使用して、ファイルがマルウェアとして識別された。
  • 4 (DynamicFiltered) — WatchGuard EDR または WatchGuard EPDR に実装されているローカル技術を使用して、ファイルがマルウェアとして識別された。
  • 5 (FileIsTooBig) — ファイルが大きすぎる。
  • 6 (PEUploadNotAllowed) — ファイル送信が無効化された。
  • 11 (FileWasUploaded) — ファイルがクラウドに送信された。
  • 12 (FiletypeFiltered) — リソース DLL、NET ネイティブ、またはシリアライザ タイプのファイルである。
  • 13 (NotUploadGWLocal) — グッドウェア ファイルがクラウドに保存されていない。
  • 14 (NotUploadMWdisinfect) — 駆除されたマルウェア ファイルがクラウドに保存されていない。

列挙

pecreationsource

プロセスが作成されたドライブの種類:

  • (0) 不明 — デバイスの種類を特定できない。
  • (1) ルート ディレクトリ以外 — デバイス パスが無効である。たとえば、外部ストレージ メディアが抽出されている。
  • (2) リムーバブル メディア — リムーバブル ストレージ メディア。
  • (3) 固定メディア — 内部ストレージ メディア。
  • (4) リモート ドライブ — リモート ストレージ メディア (ネットワーク ドライブなど)。
  • (5) CD-ROM ドライブ。
  • (6) RAM ディスク。

数値

phonedescription

操作にこの種類のデバイスが関与しているかどうかの電話の説明

文字列

protocol

プロセスで使用された通信プロトコル:

  • 1 (ICMP)
  • 2 (IGMP)
  • 3 (RFCOMM)
  • 6 (TCP)
  • 12 (RDP)
  • 17 (UDP)
  • 58 (ICMPV6)
  • 113 (RM)

列挙

querieddomaincount

過去 1 時間に DNS 解決に失敗したプロセスから送信された異なるドメインの数

数値

regaction

コンピュータの Windows レジストリで実行された操作の種類:

  • 0 (CreateKey) — 新しいレジストリ ブランチが作成された。
  • 1 (CreateValue) — レジストリ ブランチに値が割り当てられた。
  • 2 (ModifyValue) — レジストリ ブランチの値が変更された。

列挙

remediationresult

WatchGuard EPDR または EDR により表示されたポップアップ メッセージに対するユーザーの応答:

  • 0 (Ok) — 顧客がメッセージを受け入れた。
  • 1 (Timeout) — ユーザーのアクションの欠如により、ポップアップ メッセージが消失した。
  • 2 (Angry) — ポップアップ メッセージに表示されたアイテムをブロックしないオプションをユーザーが選択した。
  • 3 (Block) — ユーザーがポップアップ メッセージに応答しなかったため、アイテムがブロックされた。
  • 4 (Allow) — ユーザーが解決策を受け入れた。
  • -1 (Unknown)

列挙

remoteip

リモート セッションが開始されたコンピュータの IP アドレス

IP アドレス

remotemachinename

リモート セッションが開始されたコンピュータの名前

文字列

remoteport

方向フィールドによって異なる:

  • 受信 — WatchGuard EDR と WatchGuard EPDR の保護対象コンピュータで実行されたプロセスのポート
  • 送信 — リモート コンピュータで実行されたプロセスのポート

数値

remoteusername

リモート セッションが開始されたコンピュータの名前

文字列

sessiondate

前回にウイルス対策サービスが開始された日付、または前回の更新以降に開始された前回の日付

日付

sessiontype

ログインの種類:

  • 0 (System Only) — システム アカウントからセッションが開始された。
  • 2 (Local) — キーボードまたは KVM over IP 経由でセッションが物理的に作成された。
  • 3 (Remote) — 共有フォルダまたはプリンタでリモートにセッションが作成された。このログインの種類では、安全な認証が使用されている。
  • 4 (Scheduled) — Windows タスク スケジューラによりセッションが作成された。
  • -1 (Unknown)
  • 5 (Service) — ユーザー セッションで実行される必要のあるサービスの起動時にセッションが作成された。サービスが停止すると、セッションは削除される。
  • 7 (Blocked) — 以前にブロックされたセッションにユーザーがアクセスを試みた際にセッションが作成された。
  • 8 (Remote Unsecure) — 3 の種類と同様だが、パスワードはプレーン テキストで送信される。
  • 9 (RunAs) — ログインに使用されたアカウント以外のアカウントで「RunAs」コマンドが使用され、「/netonly」パラメータが指定された際にセッションが作成された。「/netonly」パラメータが指定されていない場合は、2 の種類のセッションが作成される。
  • 10 (TsClient) — 「Terminal Service」、「Remote Desktop」、または「Remote Assistance」経由でのアクセス時にセッションが作成された。これにより、リモート ユーザー接続が識別される。
  • 11 (Domain Cached) — マシンにキャッシュされたドメイン認証でユーザー セッションが作成されたが、ドメイン コントローラには接続されていない。

列挙

servicelevel

エージェント実行モード:

  • 0 (Learning) — エージェントではアイテムはブロックされないが、実行中のすべてのプロセスが監視される。
  • 1 (Hardening) — 非信頼の送信元からの未分類プログラムおよびマルウェアとして分類されたアイテムがすべてエージェントでブロックされる。
  • 2 (Block) — マルウェアとして分類されたすべての未分類の実行可能ファイルとアイテムがエージェントでブロックされる。
  • -1 (N/A)

列挙

timeout

ローカル スキャンの完了に時間がかかりすぎたため、プロセスがパフォーマンスに影響を与えない他のメカニズムに委任された状態

ブール値

times

過去 1 時間以内に同じ通信イベントが発生した回数

数値

timestamp

インジケータが生成された顧客コンピュータで検出されたアクションのタイムスタンプ

日付

totalresolutiontime

クラウドの応答にかかった時間およびエラー コード クエリの成否を示す:

  • 0 — クラウドへのクエリなし
  • >0 — クラウドからクエリの応答にかかった時間 (ミリ秒単位)
  • <0 — クラウド クエリのエラー コード

数値

type

プロセスで実行された WMI 操作の種類:

  • 0 (コマンド ライン イベントの作成) — データベースの変更に応じて WMI でコマンド ラインが起動された。
  • 1 (アクティブなスクリプト イベントの作成) — イベントの受信に応答してスクリプトが実行された。
  • 2 (コンシューマをフィルタリングするイベント コンシューマ) — このイベントは、プロセスで通知の受信が登録されるたびに生成される。作成されたフィルタの名前が受信される。
  • 3 (クエリをフィルタリングするイベント コンシューマ) — このイベントは、プロセスで通知の受信が登録されるたびに生成される。登録のプロセスによって実行されたクエリが受信される。
  • 4 (ユーザーの作成) — ユーザー アカウントがオペレーティング システムに追加された。
  • 5 (ユーザーの削除) — ユーザー アカウントがオペレーティング システムから削除された。
  • 6 (ユーザー グループの追加) — グループがオペレーティング システムに追加された。
  • 7 (ユーザー グループの削除) — グループがオペレーティング システムから削除された。
  • 8 (ユーザー グループ管理者) — ユーザーが管理者グループに追加された。
  • 9 (ユーザー グループ RDP) — ユーザーが RDP グループに追加された。

列挙

uniqueid

デバイスの一意の ID

文字列

url

ログ記録されたイベントが生成されたプロセスにより起動されたダウンロード URL

文字列

value

コンピュータの Windows レジストリで実行された操作の種類:

  • 0 (CreateKey) — 新しいレジストリ ブランチが作成された。
  • 1 (CreateValue) — レジストリ ブランチに値が割り当てられた。
  • 2 (ModifyValue) — レジストリ ブランチの値が変更された。

列挙

valuedata

レジストリ ブランチに含まれている値のデータ型:

  • 00 (REG_NONE)
  • 01 (REG_SZ)
  • 02 (REG_EXPAND_SZ)
  • 03 (REG_BINARY)
  • 04 (REG_DWORD)
  • 05 (REG_DWORD_BIG_ENDIAN)
  • 06 (REG_LINK)
  • 07 (REG_MULTI_SZ)
  • 08 (REG_RESOURCE_LIST)
  • 09 (REG_FULL_RESOURCE_DESCRIPTOR)
  • 0A (REG_RESOURCE_REQUIREMENTS_LIST)
  • 0B (REG_QWORD)
  • 0C (REG_QWORD_LITTLE_ENDIAN)

列挙

vdetevent

Deteven.dll DLL のバージョン

文字列

version

脆弱なソフトウェアが実行されたコンピュータのオペレーティング システムのバージョン

文字列

versionagent

インストールされているエージェントのバージョン

文字列

versioncontroller

Psnmvctrl.dll DLL のバージョン

文字列

vtabledetevent

TblEven.dll DLL のバージョン

文字列

vtableramsomevent

TblRansomEven.dll DLL のバージョン

文字列

vramsomevent

RansomEvent.dll DLL のバージョン

文字列

vantiexploit

エクスプロイト対策技術のバージョン

文字列

vtfilteraxtiexploit

エクスプロイト対策技術フィルタのバージョン

文字列

versionproduct

インストールされている保護製品のバージョン

文字列

winningtech

イベントをトリガーした WatchGuard EPDR または WatchGuard EDR クライアント エージェント技術:

  • 0 (Unknown)
  • 1 (Cache) — ローカルにキャッシュされた分類。
  • 2 (Cloud) — クラウドからダウンロードされた分類。
  • 3 (Context) — ローカル コンテキスト ルール。
  • 4 (Serializer) — バイナリ型。
  • 5 (User) — 実行するアクションについて、ユーザーに質問が表示された。
  • 6 (LegacyUser) — 実行するアクションについて、ユーザーに質問が表示された。
  • 7 (NetNative) — バイナリ型。
  • 8 (CertifUA) — デジタル証明書による検出。
  • 9 (LocalSignature) — ローカル署名。
  • 10 (ContextMinerva) — クラウドでホストされているコンテキスト ルール。
  • 11 (Blockmode) — プロセスで実行がブロックされた際、エージェントがハードニング モードまたはロックモードになっていた。
  • 12 (Metasploit) — Metasploit フレームワークで攻撃が作成された。
  • 13 (DLP) — データ漏洩防止技術。
  • 14 (AntiExploit) — 脆弱なプロセスを悪用する試みを特定する技術。
  • 15 (GWFilter) — グッドウェア プロセスを特定する技術。
  • 16 (Policy) — WatchGuard EPDR の高度なセキュリティ ポリシー。
  • 17 (SecAppControl) — セキュリティ アプリ制御技術。
  • 18 (ProdAppControl) — 生産性アプリ制御技術。
  • 19 (EVTContext) — Linux コンテキスト技術。
  • 20 (RDP) — RDP (リモート デスクトップ プロトコル) 侵入と攻撃を検出/ブロックする技術。
  • 21 (AMSI) — AMSI 通知のマルウェアを検出する技術。
  • -1 (Unknown)

列挙

wsdocs

エクスプロイト検出の発生時に開いていたすべてのドキュメントの Base-64 エンコード リスト。

文字列

関連情報:

攻撃グラフについて