適用於:Advanced Threat Analytics 1.9 版本
ATA 中心事件檢視器會記錄 ATA 的事件。 本文提供活動識別碼清單及各項說明。
活動詳情請見:
ATA 健康活動
| 事件識別碼 | 警示名稱 |
|---|---|
| 1001 | 中心磁碟空間不足 |
| 1003 | 中心過載 |
| 1004 | 中心證書即將到期/中心證書已過期 |
| 1005 | MongoDB 已經下架 |
| 1006 | 唯讀使用者密碼即將過期 / 唯讀使用者密碼已過期 |
| 1007 | 網域同步器未分配 |
| 1008 | 閘道器上的部分或全部擷取網路介面卡無法使用。 |
| 1009 | 閘道器上的擷取網路介面卡已不存在 |
| 1010 | 有些網域控制器無法被閘道器存取/所有網域控制器都無法被閘道器存取 |
| 1011 | Gateway 停止通訊 |
| 1012 | 部分轉發事件尚未被分析 |
| 1013 | 部分網路流量未被分析 |
| 1014 | 傳送郵件失敗 |
| 1015 | 使用 Syslog 連接 SIEM 伺服器失敗 |
| 1016 | Gateway 版本已過時 |
| 1017 | 沒有收到來自網域控制器的流量 |
| 1018 | 閘道服務未能啟動 |
| 1019 | 輕量級閘道器達到記憶體資源限制 |
| 1020 | Gateway 並未處理 Radius 事件 |
| 1021 | 閘道器沒有處理 Syslog 事件 |
| 1022 | 地理定位服務無法提供 |
ATA 安全警示事件
| 事件識別碼 | 警示名稱 |
|---|---|
| 2001 | 身份竊盜嫌疑基於異常行為 |
| 2002 | 異常協定實作 |
| 2003 | 利用帳目列舉進行偵察 |
| 2004 | 使用 LDAP 簡單綁定的暴力破解攻擊 |
| 2006 | 惡意複製目錄服務 |
| 2007 | 使用 DNS 進行偵察 |
| 2008 | 加密降等活動 |
| 2009 | 加密降級活動(潛在的黃金票) |
| 2010 | 加密降級活動(可能跨越雜湊值) |
| 2011 | 加密降級活動(潛在的骨架金鑰) |
| 2012 | 使用 SMB 會話列舉進行偵察活動 |
| 2013 | 利用偽造授權資料進行權限提升 |
| 2014 | 蜜幣活動 |
| 2016 | 大規模物件刪除 |
| 2017 | 利用 Pass-the-Hash 攻擊進行身份竊盜 |
| 2018 | 使用「Pass-the-Ticket」攻擊進行身份盜用 |
| 2019 | 偵測到遠端執行嘗試 |
| 2020 | 惡意資料保護私人資訊請求 |
| 2021 | 使用目錄服務查詢的偵察 |
| 2022 | Kerberos「金票」活動 |
| 2023 | 可疑的認證失敗 |
| 2024 | 敏感群異常修飾 |
| 2026 | 可疑的服務建立 |
ATA審計活動
| 事件識別碼 | 警示名稱 |
|---|---|
| 3001 | 變更為 ATA 配置 |
| 3002 | 新增 ATA 閘道器 |
| 3003 | 已刪除的 ATA 閘道器 |
| 3004 | ATA 執照已啟動 |
| 3005 | 登入ATA主控台 |
| 3006 | 手動變更健康活動狀態 |
| 3007 | 手動變更為可疑活動狀態 |