macOS安全性警示和記錄檔字典參考

注意：

本節內容適用於 macOS 安全性的舊版威脅防護策略。舊版策略將在未來的 macOS 安全性版本中棄用。有關配置威脅防護策略的資訊和說明，請參閱 macOS 的威脅防護策略。

一般事件欄位

每個事件都包含許多事件欄位，且本概覽中的欄位名稱對於所有事件類型皆通用。


#	欄位名稱	說明	資料類型	範例值
1	`input.eventType`	定義事件類型	字串	`GPFSEvent`
2	`input.host.ips`	IP位址	字串	`192.168.1.2`
3	`input.host.serial`	序號	字串	`C02TL0WGGAAA`
4	`input.host.hostname`	Hostname (主機名稱)	字串	`Jon’s MacBook Pro`
5	`input.match{}.tags{}`	資訊標籤	字串	`MITRE TTPs`
6	`input.match{}.uuid`	UUID警示	字串	`237BF758-408B-402A-87C2-64BCCFF7D0A2`
7	`input.match{}.event.timestamp`	警示時間	整數	`1635055240.016535`
8	`input.match{}.facts{}.name`	警示名稱	字串	`SpearphishOfficeWritesExecutableResearch`
9	`input.match{}.facts{}.human`	警示說明	字串	當Office建立可執行檔時發生。
10	`input.match{}.actions{}.name`	基於事件的動作	字串	`Log`
11	`input.match{}.custom`	自訂分析識別碼	布林	`false`
12	`input.match{}.context`	其他中繼資料	字串	`[ { "name": "ItemName", "value": "jamf", "valueType": "String" }, { "name": "Label", "value": "com.jamfsoftware.task.checkForTasks", "valueType": "String" }, { "name": "Args", "value": "/usr/local/jamf/bin/jamf manage -rebootIfNeeded -deleteLaunchdTask", "valueType": "String" }, { "name": "Name", "value": "com.jamfsoftware.task.checkForTasks.plist", "valueType": "String" }, { "name": "ItemBinary", "value": "/usr/local/jamf/bin/jamf", "valueType": "Binary" } ]`
13	`input.match{}.severity`	警示嚴重性	整數	`0`=資訊 `1`=低 `2`=中 `3`=高
14	`input.related{}.users{}`	事件使用者陣列	整數、字串	"binaries": [ { "gid": 0, "uid": 0, "fsid": 16777225, "mode": 33261, "path": "/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper", "size": 293136, "inode": 19220446, "xattrs": [], "changed": 1698151132, "created": 1698151132, "sha1hex": "63182f5bda15fd2e262b512bf20104497b723b77", "accessed": 1698917972, "modified": 1698151132, "sha256hex": "f1ff86c81b106a4dc9445f01f2e62940fcca9117437941da99b0131dd98bb9e5", "isDownload": false, "objectType": "GPSystemObject", "isAppBundle": false, "isDirectory": false, "signingInfo": { "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }, "isScreenShot": false } ]
15	`input.related{}.groups{}`	事件群組陣列	陣列	`"groups": [ { "gid": 0, "name": "wheel", "uuid": "Z2C23RW4DY0" }, { "gid": 33, "name": "_appstore", "uuid": "Z2C23RW4DY21" } ]`
16	`input.related{}.binaries{}`	事件二進位資訊陣列^¹	整數、字串	{ "gid": 0, "uid": 0, "fsid": 16777230, "mode": 35273, "path": "/usr/libexec/security_authtrampoline", "size": 134768, "inode": 1152921500312504800, "xattrs": [], "changed": 1694870910, "created": 1694870910, "sha1hex": "82e899cb1c8a42b74653b05ca526d5feae92b9f6", "accessed": 1694870910, "modified": 1694870910, "sha256hex": "7528368ce03bd25fb22520923f366e364ea40ae90b22dac79fba90f2152c3d32", "isDownload": false, "objectType": "GPSystemObject", "isAppBundle": false, "isDirectory": false, "signingInfo": { "appid": "com.apple.security_authtrampoline", "cdhash": "rbIoddPMz9MoMMZl1ATihY8wlMk=", "status": 0, "teamid": "", "signerType": 0, "authorities": [ "Software Signing", "Apple Code Signing Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }, "isScreenShot": false }
17	`input.related{}.binaries{}.uid`	檔案擁有者使用者識別碼	整數	`501`
18	`input.related{}.binaries{}.gid`	檔案擁有者群組識別碼	整數	`80`
19	`input.related{}.binaries{}.path`	二進位路徑^¹	字串	/Applications/iMyFone iBypasser.app/Contents/MacOS/iMyFone iBypasser
20	`input.related{}.binaries{}.sha1hex`	SHA-1雜湊檔十六進位字串	字串	`39655008a0a72cabf6d488cd0dcfb37e9883e0b8`
21	`input.related{}.binaries{}.sha256hex`	SHA-256雜湊檔十六進位字串	字串	`d2d07ceb1e637c555786d68b65f7b8913c8d52c5e4348881632aea0fa91c1643`
22	`input.related{}.binaries{}.xattrs{}`	檔案延伸功能屬性陣列	字串	`["com.dropbox.attrs", "com.jamf.protect.quarantined"]`
23	`input.related{}.binaries{}.isDownload`	網際網路下載的檔案驗證	布林	`true`
24	`input.related{}.binaries{}.isAppBundle`	App套件目錄檔驗證	布林	`true`
25	`input.related{}.binaries{}.isDirectory`	目錄檔驗證	布林	`true`
26	`input.related{}.binaries{}.isScreenShot`	截圖圖像檔驗證	布林	`true`
27	`input.related{}.binaries{}.signingInfo{}`	二進位簽署資訊陣列^¹	字串	`"signingInfo": { "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }`
28	`input.related{}.binaries{}.signingInfo.appid`	二進位識別碼^¹	字串	`com.jamf.protect.security-extension`
29	`input.related{}.binaries{}.signingInfo.cdhash`	二進位代碼目錄雜湊^¹	字串	`XeQsQOHD7J3vTAuYYZTMQP2mwm0=`
30	`input.related{}.binaries{}.signingInfo.teamid`	二進位開發團隊簽署者識別碼^¹	字串	`483DWKW443`
31	`input.related{}.binaries{}.signingInfo.signerType`	簽署類型和二進位隱含信任級別^¹	整數	`2`
32	`input.related{}.binaries{}.signingInfo.authorities`	簽名簽署授權陣列	字串	`[ "Developer ID Application: JAMF Software (483DWKW443)", "Developer ID Certification Authority", "Apple Root CA" ]`
33	`input.related{}.binaries{}.signingInfo.entitlements`	二進位授與的權利陣列^¹	字串	`[ "com.apple.private.responsibility.set-to-self", "com.apple.private.responsibility.set-to-other", "com.apple.private.security.storage.InstallerSandboxes", "com.apple.private.responsibility.set-hosted-properties" ]`
34	`input.related{}.binaries{}.signingInfo.statusMessage`	簽署資訊擷取翻譯的狀態碼	字串	`No error.`
35	`input.related{}.processes{}.uid`	有效使用者執行程序識別碼	整數	`501`
36	`input.related{}.processes{}.gid`	有效群組執行程序識別碼	整數	`20`
37	`input.related{}.processes{}.ppid`	父程序識別碼	整數	`1`
38	`input.related{}.processes{}.pgid`	程序群組識別碼	整數	`1`
39	`input.related{}.processes{}.ruid`	真實使用者執行程序識別碼	整數	`501`
40	`input.related{}.processes{}.rgid`	真實群組執行程序識別碼	整數	`20`
41	`input.related{}.processes{}.pid`	程序識別碼（程序）	整數	`772`
42	`input.related{}.processes{}.responsiblePID`	負責程序識別碼	整數	`19678`
43	`input.related{}.processes{}.originalParentPID`	父程序識別碼	整數	`55064`
44	`input.related{}.processes{}.args{}`	將可選引數陣列傳遞至的程序	字串	`[ "mv", "Slack.app", "/Users/ada.powers/Applications" ]`
45	`input.related{}.processes{}.name`	程序名稱	字串	`Snap Camera`
46	`input.related{}.processes{}.path`	程序路徑	字串	/Applications/Snap Camera.app/Contents/MacOS/Snap Camera
47	`input.related{}.processes{}.exitCode`	程序結束程式代碼	整數	`0`
48	`input.related{}.process{}.signingInfo{}`	程序簽署資訊陣列	字串	`"signingInfo": { "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }`
49	`input.related{}.process{}.signingInfo.appid`	套件識別碼（程序）	字串	`MF.iMyFone iBypasser`
50	`input.related{}.process{}.signingInfo.cdhash`	程序代碼目錄雜湊	字串	`XeQsQOHD7J3vTAuYYZTMQP2mwm0=`
51	`input.related{}.process{}.signingInfo.teamid`	程序開發團隊簽署識別碼	字串	`483DWKW443`
52	`input.related{}.process{}.signingInfo.signerType`	簽署類型和二進位隱含信任級別^¹	整數	`2`
53	`input.related{}.process{}.signingInfo.authorities`	簽名簽署授權陣列	字串	`[ "Developer ID Application: JAMF Software (483DWKW443)", "Developer ID Certification Authority", "Apple Root CA" ]`
54	`input.related{}.process{}.signingInfo.entitlements`	程序授與的權利陣列	字串	`com.apple.rootless.restricted-block-devices`
55	`input.related{}.binaries{}.signingInfo.statusMessage`	簽署資訊擷取翻譯的狀態碼	字串	`No error.`
56	`input.related{}.process{}.startTimetamp`	程序開始時間戳記	整數	`1657114862`
¹任何與事件相關的二進位，而不是Jamf二進位。

GPClickEvent

合成點選事件


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.gid`	合成點選群組識別碼	整數	`20`
2	`input.match{}.event{}.pid`	合成點選程序識別碼（PID）	整數	`96657`
3	`input.match{}.event{}.uid`	合成點選使用者識別碼	整數	`501`
4	`input.match{}.event{}.clickType`	點選類型	整數	0 = `Other` 1 = `Left Down` 2 = `Left Up` 3 = `Right Down` 4 = `Right Up`
5	`input.match{}.event{}.targetpid`	合成點選目標程序識別碼（PID）	整數	`4456`

GPDownloadEvent

監控從網際網路下載的檔案。


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event.path`	下載的檔案路徑	字串	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
2	`input.related{}.files{}.gid`	檔案群組識別碼	整數	`20`
3	`input.related{}.files{}.uid`	檔案擁有者使用者識別碼	整數	`501`
4	`input.related{}.files{}.fsid`	檔案系統ID（FSID）	整數	`16777234`
5	`input.related{}.files{}.mode`	檔案類型和模式	整數	`33188`
6	`input.related{}.files{}.path`	檔案路徑	字串	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
7	`input.related{}.files{}.size`	檔案大小	整數	`35249769`
8	`input.related{}.files{}.inode`	檔案inode識別碼	整數	`7174457`
9	`input.related{}.files{}.xattrs`	檔案延伸功能屬性陣列	字串	`["com.apple.macl", "com.apple.metadata:kMDItemDownloadedDate", "com.apple.metadata:kMDItemWhereFroms", "com.apple.quarantine"]`
10	`input.related{}.files{}.changed`	檔案變更日期	整數	`1632496484`
11	`input.related{}.files{}.created`	檔案建立日期	整數	`1632496484`
12	`input.related{}.files{}.sha1hex`	SHA-1雜湊檔十六進位字串	字串	`39655008a0a72cabf6d488cd0dcfb37e9883e0b8`
13	`input.related{}.files{}.accessed`	檔案上次存取日期	整數	`1632496484`
14	`input.related{}.files{}.modified`	檔案上次修改日期	整數	`1632496484`
15	`input.related{}.files{}.sha256hex`	SHA-256雜湊檔十六進位字串	字串	`ca43054c05867b673d980bbcc97215d7ebaed5465ad1266eea4c776188bbd385`
16	`input.related{}.files{}.isDownload`	網際網路下載的檔案驗證	布林	`true`
17	`input.related{}.files{}.isAppBundle`	App套件目錄檔驗證	布林	`true`
18	`input.related{}.files{}.isDirectory`	目錄檔驗證	布林	`true`
19	`input.related{}.files{}.signingInfo{}`	檔案簽署資訊陣列	整數、字串	`{ "status": -67062, "authorities": [], "teamid": "", "signerType": 4, "statusMessage": "code object is not signed at all", "entitlements": [], "appid": "" },`
20	`input.related{}.files{}.signingInfo.appid`	檔案識別碼	字串	`GoogleChrome-97.0.4692.99-GGRO`
21	`input.related{}.files{}.signingInfo.cdhash`	檔案代碼目錄雜湊	字串	`WApZMfx1x99D8eRQhUFeID4YZDY=`
22	`input.related{}.files{}.signingInfo.teamid`	開發團隊簽署者識別碼	字串	`EQHXZ8M8AV`
23	`input.related{}.files{}.signingInfo.signerType`	物件簽名類型和隱含信任級別	整數	`2`
24	`input.related{}.files{}.signingInfo.authorities`	簽名簽署授權陣列	字串	`["Developer ID Application: Google, Inc. (EQHXZ8M8AV)", "Developer ID Certification Authority", "Apple Root CA"]`
25	`input.related{}.files{}.signingInfo.entitlements`	檔案授與的權利陣列	字串	`com.apple.rootless.restricted-block-devices`
26	`input.related{}.files{}.isScreenShot`	截圖圖像檔驗證	布林	`true`
27	`input.related{}.files{}.downloadedFrom`	檔案下載位置陣列	字串	`https://files.jamf.com`

GPFSEvent

檔案系統事件


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event.dev`	檔案系統事件裝置ID	整數	`16777233`
2	`input.match{}.event.gid`	檔案群組識別碼	整數	`0`
3	`input.match{}.event.pid`	檔案程序識別碼（PID）	整數	`96657`
4	`input.match{}.event.uid`	檔案使用者識別碼	整數	`0`
5	`input.match{}.event.path`	檔案路徑	字串	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
6	`input.match{}.event.type`	檔案系統事件	整數	`0`=已建立 `1`=已刪除 `3` =已重新命名 `4`=已修改 `7` =已建立目錄
7	`input.match{}.event.iNode`	檔案inode識別碼	整數	`3493490`
8	`input.match{}.event.eventID`	檔案系統事件識別碼	整數	`62816`
9	`input.match{}.event.prevFile`	檔案重新命名操作先前的路徑	字串	/Library/LaunchDaemons/.dat.nosync7991.BW4gMk
10	`input.related{}.files{}.gid`	檔案系統操作群組識別碼	整數	`0`
11	`input.related{}.files{}.uid`	檔案系統操作使用者識別碼	整數	`0`
12	`input.related{}.files{}.fsid`	檔案FSID	整數	`16777234`
13	`input.related{}.files{}.mode`	檔案類型和模式	整數	`33188`
14	`input.related{}.files{}.path`	檔案路徑	字串	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
15	`input.related{}.files{}.size`	檔案大小	整數	`0`
16	`input.related{}.files{}.inode`	檔案inode識別碼	整數	`7174457`
17	`input.related{}.files{}.xattrs`	檔案延伸功能屬性陣列	字串	`["com.apple.quarantine"]`
18	`input.related{}.files{}.changed`	檔案變更日期	整數	`1632496484`
19	`input.related{}.files{}.created`	檔案建立日期	整數	`1632496484`
20	`input.related{}.files{}.sha1hex`	SHA-1雜湊檔十六進位字串	字串	`39655008a0a72cabf6d488cd0dcfb37e9883e0b8`
21	`input.related{}.files{}.accessed`	檔案存取日期	整數	`1632496484`
22	`input.related{}.files{}.modified`	檔案修改日期	整數	`1632496484`
23	`input.related{}.files{}.sha256hex`	SHA-256雜湊檔十六進位字串	字串	`ca43054c05867b673d980bbcc97215d7ebaed5465ad1266eea4c776188bbd385"`
24	`input.related{}.files{}.isDownload`	網際網路下載的檔案驗證	布林	`false`
25	`input.related{}.files{}.isAppBundle`	App套件目錄檔驗證	布林	`false`
26	`input.related{}.files{}.isDirectory`	目錄檔驗證	布林	`false`
27	`input.related{}.files{}.signingInfo{}`	檔案簽署資訊陣列	陣列	`{ "status": -67062, "authorities": [], "teamid": "", "signerType": 4, "statusMessage": "code object is not signed at all", "entitlements": [], "appid": "" },`
28	`input.related{}.files{}.signingInfo.appid`	檔案識別碼	字串	`com.googlecode.iterm2`
29	`input.related{}.files{}.signingInfo.cdhash`	檔案代碼目錄雜湊	字串	`JmJW/m4Oafwj3PRZh8QspKxDUYw=`
30	`input.related{}.files{}.signingInfo.teamid`	開發團隊簽署者識別碼	字串	`AQPZ6F3ASY`
31	`input.related{}.files{}.signingInfo.signerType`	物件簽名類型和隱含信任級別	整數	`0` = Apple `1` = App Store `2`=開發者 `3`=臨時許用 `4`=未簽署
32	`input.related{}.files{}.signingInfo.authorities`	簽名簽署授權陣列	陣列	`[ "Software Signing", "Apple Code Signing Certification Authority", "Apple Root CA" ]`
33	`input.related{}.files{}.signingInfo.entitlements`	檔案權利陣列	陣列	`com.apple.private.security.clear-library-validation`
34	`input.related{}.files{}.isScreenShot`	截圖圖像檔驗證	布林	`true`
35	`input.related{}.files{}.downloadedFrom`	檔案下載位置陣列	字串	`https://files.jamf.com`

GPProcessEvent

監控在電腦上啟動或終止的程序。


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event.pid`	程序事件識別碼	整數	`96657`
2	`input.match{},event.type`	程序活動	整數	`1`
3	`input.match{},event.subType`	詳細程序活動	整數	`23`

GPKeylogRegisterEvent

透過 macOS 上的核心圖形架構來監視新的「事件點擊」註冊。某些類型的鍵盤記錄和輔助功能軟體經常使用核心圖形事件點擊。


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.options`	註冊記錄檔的密鑰輕點時設定的選項。	字串	`defaultTap` =預設輕點 `listenOnly` =僅監聽
2	`input.match{}.event{}.sourcePID`	來源程序ID（記錄檔的密鑰輕點註冊請求）	整數	`86939`
3	`input.match{}.event{}.destinationPID`	目的地程序ID（記錄檔的密鑰輕點註冊請求）	整數	`0`

GPGatekeeperEvent

監控來自 Gatekeeper 的動作和記錄檔，這是 Apple 的內建功能，用於執行代碼簽署並在開啟下載的應用程式之前對其進行驗證。


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.pid`	程序ID（門禁事件）	整數	`39357`
2	`input.match{}.event{}.name`	事件名稱	字串	`CrashReporter`
3	`input.match{}.event{}.path`	程序路徑（門禁事件）	字串	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
4	`input.match{}.event{}.sender`	記錄檔訊息寄件人	字串	`AppleSystemPolicy`
5	`input.match{}.event{}.process`	記錄檔訊息寄件人程序	字串	`kernel`
6	`input.match{}.event{}.category`	記錄類別	字串	`XPEvent.structured`
7	`input.match{}.event{}.subsystem`	記錄子系統	字串	`com.apple.XProtectFramework.PluginAPI`
8	`input.match{}.event{}.composedMessage`	記錄檔訊息	字串	`ASP: Security policy would not allow process: 30659, /Applications/JamfComplianceReporter.app/Contents/Helpers/JamfComplianceReporterAgent.app/Contents/MacOS/JamfComplianceReporterAgent`
9	`input.match{}.event{}.senderImagePath`	圖片路徑（記錄檔訊息寄件人）	字串	/System/Library/Extensions/AppleSystemPolicy.kext/Contents/MacOS/AppleSystemPolicy
10	`input.match{}.event{}.processImagePath`	程序路徑（記錄檔訊息寄件人）	字串	/kernel
11	`input.match{}.event{}.processIdentifier`	程序ID（記錄檔訊息寄件人）	整數	`0`
12	`input.match{}.facts{}.name`	警示名稱	字串	`GatekeeperBlockedSigned`

GPMRTEvent

監控來自惡意軟體移除工具（MRT）的動作和記錄檔，MRT是Apple的內建應用程式，負責從macOS中移除目標檔案。


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.pid`	程序ID（門禁事件）	整數	`96657`
2	`input.match{}.event{}.name`	事件名稱	字串	`JamfComplianceReporterAgent`
3	`input.match{}.event{}.path`	程序路徑（門禁事件）	字串	/Library/LaunchDaemons/com.jamfsoftware.task.checkForTasks.plist
4	`input.match{}.event{}.sender`	記錄檔訊息寄件人	字串	`AppleSystemPolicy`
5	`input.match{}.event{}.process`	記錄檔訊息寄件人程序	字串	`kernel`
6	`input.match{}.event{}.category`	記錄類別	字串	`XPEvent.structured`
7	`input.match{}.event{}.subsystem`	記錄子系統	字串	`com.apple.XProtectFramework.PluginAPI`
8	`input.match{}.event{}.composedMessage`	記錄檔訊息	字串	`ASP: Security policy would not allow process: 30659, /Applications/JamfComplianceReporter.app/Contents/Helpers/JamfComplianceReporterAgent.app/Contents/MacOS/JamfComplianceReporterAgent"`
9	`input.match{}.event{}.senderImagePath`	圖片路徑（記錄檔訊息寄件人）	字串	/System/Library/Extensions/AppleSystemPolicy.kext/Contents/MacOS/AppleSystemPolicy
10	`input.match{}.event{}.processImagePath`	程序路徑（記錄檔訊息寄件人）	字串	/kernel
11	`input.match{}.event{}.processIdentifier`	程序ID（記錄檔訊息寄件人）	整數	`0`
12	`input.match{}.facts{}.name`	`SpearphishOfficeWritesExecutableResearch`	字串	`LaunchDaemon`

GPPreventedExecutionEvent

自訂防止清單事件


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.blocked`	App被封鎖	布林	`true`
2	`input.match{}.event{}.matchType`	比對方法	字串	`signingID`
3	`input.match{}.event{}.matchValue`	阻止的App名稱	字串	`scriptingosx.desktoppr`
4	`input.match{}.event{}.process{}.gid`	程序有效群組識別碼	整數	`20`
5	`input.match{}.event{}.process{}.pid`	程序識別碼（程序）	整數	`40990`
6	`input.match{}.event{}.process{}.uid`	程序有效使用者識別碼	整數	`501`
7	`input.match{}.event{}.process{}.args`	程序陣列傳遞的可能引數	字串	`[ "/tmp/PKInstallSandbox.nVjzpr/Scripts/com.jamf.ce.Wallpaper.43ZvSw/desktoppr", "/Library/Desktop Pictures/wallpaper.heic" ] "/tmp/PKInstallSandbox.nVjzpr/Scripts /com.jamf.ce.Wallpaper.43ZvSw/desktoppr", "/Library/Desktop Pictures/wallpaper.heic" ]`
8	`input.match{}.event{}.process{}.name`	程序名稱	字串	`desktoppr`
9	`input.match{}.event{}.process{}.path`	程序路徑	字串	/tmp/PKInstallSandbox.nVjzpr/Scripts/com.jamf.ce.Wallpaper.43ZvSw/desktoppr
10	`input.match{}.event{}.process{}.pgid`	程序群組識別碼	整數	`40990`
11	`input.match{}.event{}.process{}.rgid`	程序真實群組識別碼	整數	`20`
12	`input.match{}.event{}.process{}.ruid`	程序真實使用者識別碼	整數	`501`
13	`input.match{}.event{}.process{}.uuid`	事件唯一識別碼	字串	`ade83c7a-2eaa-4bd3-b468-d1643483746f`
14	`input.match{}.event{}.process{}.signingInfo{}`	程序簽署資訊陣列	整數、字串	`[ "appid": "com.scriptingosx.desktoppr", "cdhash": "oA74w5FQMn1N1G7k1Ar0lyClqu8=", "status": 0, "teamid": "JME5BW3F3R", "signerType": 2, "authorities": [ "Developer ID Application: Jon Smith (JME5BW3F3R)", "Developer ID Certification Authority", "Apple Root CA" ]`
15	`input.match{}.event{}.process{}.signingInfo{}.appid`	識別碼（程序）	字串	`com.scriptingosx.desktoppr`
16	`input.match{}.event{}.process{}.signingInfo{}.cdhash`	程序代碼目錄雜湊	字串	`oA74w5FQMn1N1G7k1Ar0lyClqu8=`
17	`input.match{}.event{}.process{}.signingInfo{}.status`	簽署資訊擷取狀態	整數	`0` = Apple `1` = App Store `2`=開發者 `3`=臨時許用 `4`=未簽署
18	`input.match{}.event{}.process{}.signingInfo{}.teamid`	程序開發團隊簽署者識別碼	字串	`JME5BW3F3R`
19	`input.match{}.event{}.process{}.signingInfo{}.signerType`	簽名類型和隱含信任級別	整數	`0` = Apple `1` = App Store `2`=開發者 `3`=臨時許用 `4`=未簽署
20	`input.match{}.event{}.process{}.signingInfo{}.authorities`	簽名簽署授權陣列	字串	`[ "Developer ID Application: Jon Smith (JME5BW3F3R)", "Developer ID Certification Authority", "Apple Root CA" ]`
21	`input.match{}.event{}.process{}.signingInfo{}.entitlements`	程序授與的權利陣列	字串	`com.apple.private.security.clear-library-validation`
22	`input.match{}.event{}.process{}.signingInfo{}.statusMessage`	簽署資訊擷取狀態碼	字串	`No error.`
23	`input.match{}.event{}.process{}.startTimestamp`	程序開始時間戳記	整數	`1668431165`
24	`input.match{}.event{}.process{}.orginalParentPID`	父程序識別碼	整數	`1`

GPThreatMatchExecEvent

威脅預防事件


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.blocked`	威脅被封鎖	布林	`true`
2	`input.match{}.event{}.matchType`	資料庫比對	字串	`Threat Signature`
3	`input.match{}.event{}.matchValue`	威脅名稱	字串	`applejeus_jmt_a`
4	`input.match{}.event{}.scriptPath`	工序指令路徑	字串	`/tmp/CrashReporter.sh`
5	`input.match{}.event{}.process{}.gid`	有效群組執行程序識別碼	整數	`0`
6	`input.match{}.event{}.process{}.pid`	程序識別碼（程序）	整數	`39356`
7	`input.match{}.event{}.process{}.uid`	有效使用者執行程序識別碼	整數	`0`
8	`input.match{}.event{}.process{}.args`	將可選引數陣列傳遞至的程序	字串	`[ "/Library/JMTTrader/CrashReporter", "Maintain" ]`
9	`input.match{}.event{}.process{}.name`	程序名稱	字串	`CrashReporter`
10	`input.match{}.event{}.process{}.path`	程序路徑	字串	/Library/radar/CrashReporter
11	`input.match{}.event{}.process{}.pgid`	程序群組識別碼	整數	`39356`
12	`input.match{}.event{}.process{}.rgid`	真實群組執行程序識別碼	整數	`0`
13	`input.match{}.event{}.process{}.ruid`	真實使用者執行程序識別碼	整數	`0`
14	`input.match{}.event{}.process{}.uuid`	事件唯一識別碼	字串	`3a842375-29f4-4516-8c8e-aca148c3ab32`
15	`input.match{}.event{}.process{}.signingInfo{}`	程序簽署資訊陣列	整數、字串	`{ "appid": "com.microsoft.autoupdate.helper", "cdhash": "l+/pmKVmSUighiu5PFt6q4t4pfs=", "status": 0, "teamid": "UBF8T346G9", "signerType": 2, "authorities": [ "Developer ID Application: Microsoft Corporation (UBF8T346G9)", "Developer ID Certification Authority", "Apple Root CA" ], "entitlements": [], "statusMessage": "No error.", "informationStage": "extended" }`
16	`input.match{}.event{}.process{}.signingInfo{}.appid`	識別碼（程序）	字串	`com.scriptingosx.desktoppr`
17	`input.match{}.event{}.process{}.signingInfo{}.cdhash`	程序代碼目錄雜湊	字串	`oA74w5FQMn1N1G7k1Ar0lyClqu8=`
18	`input.match{}.event{}.process{}.signingInfo{}.status`	簽署資訊擷取狀態	整數	`-67068`
19	`input.match{}.event{}.process{}.signingInfo{}.teamid`	程序開發團隊簽署識別碼	字串	`JME5BW3F3R`
20	`input.match{}.event{}.process{}.signingInfo{}.signerType`	物件簽名類型和隱含信任級別	整數	`0` = Apple `1` = App Store `2`=開發者 `3`=臨時許用 `4`=未簽署
21	`input.match{}.event{}.process{}.signingInfo{}.authorities`	簽名簽署授權陣列	字串	`[ "Developer ID Application: Jon Smith (JME5BW3F3R)", "Developer ID Certification Authority", "Apple Root CA" ]`
22	`input.match{}.event{}.process{}.signingInfo{}.entitlements`	程序授與的權利陣列	字串	`com.apple.private.security.clear-library-validation`
23	`input.match{}.event{}.process{}.signingInfo{}.statusMessage`	簽署資訊擷取翻譯的狀態碼	字串	`cannot find code object on disk`
24	`input.match{}.event{}.process{}.startTimestamp`	程序開始時間戳記	整數	`1668430737`
25	`input.match{}.event{}.process{}.orginalParentPID`	父程序識別碼	整數	`1`
26	`input.match.facts{}.version`	端點威脅預防版本	整數	`11568`

GPUnifiedLogEvent

統一記錄檔事件


#	欄位名稱	說明	資料類型	範例值
1	`input.match{}.event{}.sender`	記錄檔訊息寄件人	字串	`XProtectRadarSecurity`
2	`input.match{}.event{}.process`	記錄檔訊息寄件人程序	字串	`XProtectRadarSecurity`
3	`input.match{}.event{}.category`	記錄類別	字串	`XPEvent.structured`
4	`input.match{}.event{}.subsystem`	記錄子系統	字串	`com.apple.XProtectFramework.PluginAPI`
5	`input.match{}.event{}.composedMessage`	記錄檔訊息	字串	`{\"caused_by\":[],\"status_message\":\"NoThreatDetected\",\"status_code\":20,\"execution_duration\":0.7135159969329834}`
6	`input.match{}.event{}.senderImagePath`	記錄檔訊息寄件人圖像路徑	字串	`/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtectRadarSecurity`
7	`input.match{}.event{}.processImagePath`	記錄檔訊息寄件人程序路徑	字串	`/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtectRLibrary/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtectRadarSecurity`
8	`input.match{}.event{}.processIdentifier`	記錄檔訊息寄件人程序ID	整數	`6925`

GPUSBEvent

監控插入電腦的 USB 裝置。


#	欄位名稱	說明	資料類型	範例值
1	`input.match.type`	USB事件類型	整數	`0` =已插入裝置 `1`=已移除裝置
2	`input.match.usbAddress`	USB 位址	整數	`6`
3	`input.match{}.device{}.mediaPath`	媒體路徑	字串	`IODeviceTree:/PCI0@0/RP05@1C,4/UPSB@0/DSB2@2/XHC2@0/@1:0`
4	`input.match{}.device{}.protocol`	Protocol (通訊協定)	字串	`USB`
5	`input.match{}.device{}.deviceModel`	機型	字串	`Ultra USB 3.0`
6	`input.match{}.device{}.isRemovable`	卸除式	布林	`true`
7	`input.match{}.device{}.mediaName`	媒體名稱	字串	`SanDisk Ultra USB 3.0 Media`
8	`input.match{}.device{}.bsdMinor`	BSD次要	整數	`11`
9	`input.match{}.device{}.vendorName`	USB裝置供應商	字串	`Apple Inc.`
10	`input.match{}.device{}.isWhole`	整數	布林	`false`
11	`input.match{}.device{}.unit`	單位	整數	`1`
12	`input.match{}.device{}.deviceSubclass`	USB裝置子類別	整數	`0`
13	`input.match{}.device{}.serialNumber`	USB裝置序號	字串	`FM79997PJ3VYB7+SET`
14	`input.match{}.device{}.bsdUnit`	BSD單位	整數	`2`
15	`input.match{}.device{},busPath`	匯流排路徑	字串	IODeviceTree:/PCI0@0/RP05@1C,4/UPSB@0/DSB2@2/XHC2@0
16	`input.match{}.device{}.isLeaf`	葉	布林	`true`
17	`input.match{}.device{}.isInternal`	內部	布林	`true`
18	`input.match{}.device{}.busName`	busName	字串	`XHC2`
19	`input.match{}.device{}.bsdMajor`	BSD主要	整數	`1`
20	`input.match{}.device{}.isEjectable`	可退出	布林	`true`
21	`input.match{}.device{}.isEncrypted`	已加密	布林	`true`
22	`input.match{}.device{}.devicePath`	裝置路徑	字串	IOService:/AppleACPIPlatformExpert/PCI0@0/AppleACPIPCI/RP05@1C,4/IOPP/UPSB@0/IOPP/DSB2@2/IOPP/XHC2@0/XHC2@00000000/SSP1@00100000/Ultra USB 3.0@00100000/IOUSBHostInterface@0/IOUSBMassStorageInterfaceNub/IOUSBMassStorageDriverNub/IOUSBMassStorageDriver/IOSCSILogicalUnitNub@0/IOSCSIPeripheralDeviceType00/IOBlockStorageServices
23	`input.match{}.device{}.bsdName`	BSD名稱	字串	`disk2`
24	`input.match{}.device{}.vendorId`	USB裝置供應商識別碼	字串	`0x05ac`
25	`input.match{}.device{}.content`	裝置內容	字串	`GUID_partition_scheme`
26	`input.match{}.device{}.revision`	裝置修訂版	字串	`1.00`
27	`input.match{}.device{}.size`	裝置大小	整數	`15376000000`
28	`input.match{}.device{}.isNetworkVolume`	網路量	布林	`true`
29	`input.match{}.device{}.blocksize`	區塊大小	整數	`512`
30	`input.match{}.device{}.productName`	USB產品名稱	字串	`Apple Internal Keyboard / Trackpad`
31	`input.match{}.device{}.mediaKind`	媒體種類	字串	`IOMedia`
32	`input.match{}.device{}.isWritable`	裝置可寫入	布林	`true`
33	`input.match{}.device{}.productId`	USB裝置產品識別碼	字串	`0x027b`
34	`input.match{}.device{}.deviceClass`	USB裝置類別	整數	`0`
35	`input.match{}.device{}.encryptionDetail`	加密詳細資訊	整數	`0`