| 通用事件格式(CEF)名稱 | JSON 名稱 | 說明 | 欄位類型 | 範例值 |
|---|---|---|---|---|
Timestamp | timestamp | 威脅事件的時間戳記 | 字串 (ISO 8601) | 2019-11-01T02:04:56.084Z |
AlertID | alertId | 威脅事件 ID | 字串 | a111111a-11a1-4f80-9905-24f90bfe26bf |
DeviceID | device.externalId | 從連線的 UEM 取得的裝置識別碼。通常是裝置的UDID。 | 字串 | 59fa173f6c7ca6e7516fa27632f0fa14aaaaaaaa |
GUID | device.deviceId | 裝置的 Jamf 唯一識別碼。 | 字串 | a111111a-11a1-4266-9609-fbee82a8a4f9 |
DeviceName | device.deviceName | 裝置的平台和版本 | 字串 | Apple iPhone 6s (12.2) |
Event | eventType.description | 偵測到的威脅事件 | 字串 | Malware |
AppName | app.name | 針對此威脅事件識別的應用程式名稱 | 字串 | MyFreeCalculator |
AppID | app.id | packageName 針對此威脅事件識別的應用程式的(Android)或bundleId(iOS和iPadOS)(如果適用) | 字串 | ru.freeapps.calc |
Severity | severity | 威脅事件的嚴重性級別 | 包含可能值的字串: | 6 |
Destination | destination.name | 惡意網路活動的目的地 URL (如果適用) | 字串 | http://badsite.com/exa_mple1 |
ACT | action | 採取的原則動作 | 包含可能值的字串: | Detected |
OS | device.os | 裝置的 OS 和版本 | 字串 | iOS / iPadOS 12.2 |
Location | location | 偵測到威脅事件時的裝置位置,2 個字母的 ISO 國家/地區代碼 | 字串 | gb |
AccessPoint | accessPoint | 偵測到網路威脅的存取點 | 字串 | Starbucks_FREE_WIFI |
EventURL | eventUrl | Jamf Security Cloud 事件詳細資訊報告的 URL 連結 | 字串 | |
AccountName | account.name | 客戶帳戶名稱 | 字串 | Megacorp GB |
UserEmail | user.email | 裝置使用者電子郵件地址 | 字串 | john.smith@megacorp.com |
SourceIP | source.ip | 發生潛在惡意網路活動的裝置 IP 位址 | 字串 | 123.45.6.789 |
CustomerId | account.customerId | 客戶帳戶ID | 字串 | 4444defa-1042-4a85-9fff-763ae00c8354 |
AppVersion | app.version | 針對此威脅事件標識的應用程式版本 | 字串 | 10.4 |
AppSha256 | app.sha256 | 針對此威脅事件標識的應用程式 SHA-256 雜湊 | 字串 | 50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545c |
AppSha1 | app.sha1 | 應用程式的 SHA-1 雜湊 | 字串 | c3499c2729730a7f807efb8676a92dcb6f8a3f8f |
DestinationIP | destination.ip | 目的地伺服器的 IP 位址 | 字串 | 123.45.6.789 |
ParentId | account.parentId | 客戶全域帳戶ID | 字串 | 5555defa-1042-4a85-9fff-763ae00c8354 |
AccessPointBSSID | accessPointBssid | 偵測到網路威脅之存取點的 BSSID | 字串 | 23:8f:cf:0:9d:23 |
EventType | eventType.name | 偵測到的細微威脅事件 | 字串 | POTENTIALLY_UNWANTED_APP_IN_INVENTORY |
spt | source.port | 請求的來源連接埠 | 字串 | 1234 |
dpt | destination.port | 請求即將前往的目的地伺服器的連接埠 | 字串 | 80 |
UserDeviceName | device.userDeviceName | 終端使用者或管理員設定的裝置名稱 | 字串 | Lesley's iPhone 或人工識別碼(取決於UEM的存在) |
suser | sourceUserName | 按名稱標識來源使用者 | 字串 | Joanne Smith |