檢視次數:
以下表格包含有關 事件響應證據收集 操作手冊、收集證據任務趨勢科技事件響應工具包 收集的基本信息類別中證據類型的詳細信息。
證據類型
證據資料防護
說明
系統資訊
主機名稱
端點的網域名稱系統 (DNS) 主機名稱
UUID
端點硬體配置的系統生成全域唯一識別碼 (UUID) 字串
CPU 類型
系統中央處理單元 (CPU) 架構
CPU 品牌
當前支援的處理器品牌
CPU 實體核心
CPU 中的物理核心數量
CPU邏輯核心
CPU 中的邏輯核心數量
CPU 微碼
 作為CPU韌體的中介代碼
實體記憶體 (KB)
以千位元組 (KB) 顯示的物理記憶體數量
硬體供應商
 系統主機板的製造商
硬體型號
 端點的裝置型號
硬體序號
 端點硬體的軟體元件的產品序號
電腦名稱
端點的網路基本輸入/輸出系統 (NetBIOS) 名稱
作業系統版本
名稱
作業系統 (OS) 發行版或產品名稱
安裝時間
端點上作業系統的安裝日期
版本
端點上運行的主要作業系統版本
主要
當前作業系統的主要版本
次要
 當前作業系統的小版本更新
構建
 特定版本或變體作業系統版本識別碼
平台
作業系統平台或 ID
平台如
密切相關的平台
代號
 作業系統版本代號
Arch
 作業系統架構
介面詳細資料
MAC
端點網路介面卡的媒體存取控制 (MAC) 位址
最後修改時間
 上次裝置修改時間
網路介面
網路通訊協定版本 4 (IPv4) 介面與網路 IPv4 位址的索引
MTU
最大傳輸單元 (MTU) 大小(位元組)
度量
網路介面卡位址的 IPv4 介面度量
標記
 指定網路介面卡設定的標誌
碰撞
 檢測到的封包碰撞數
友好名稱
 網路介面卡的使用者友好名稱
說明
網路介面卡的描述
製造商
網路介面卡的製造商
連線 ID
在控制台網路連線部分顯示的網路連線名稱
連線狀態
 網路介面卡網路連線狀態
已啟動
適配器是否已啟動的指示
實體介面卡 指示適配器是否為實體
速度
 當無法進行估算時,以每秒位元數估算當前頻寬或標稱頻寬
Service
網路介面卡的服務名稱
DHCP 已啟動 動態主機配置通訊協定版本 4 (DHCPv4) 是否已啟動的指示
DHCP 租約到期
 DHCP 伺服器分配給端點的租用網路通訊協定 (IP) 位址的到期日期和時間
已獲取 DHCP 租約
 租用的 IP 位址通過 DHCP 伺服器分配給端點的日期和時間
DHCP 伺服器
DHCP 伺服器的 IP 位址
DNS 網域
組織的網域名稱和後綴
DNS 網域後綴搜尋順序
在嘗試網域名稱解析時,將應用於主機名稱末尾的 DNS 網域後綴列表
DNS 主機名稱
用於識別端點進行驗證的名稱
DNS 伺服器搜尋順序
查詢 DNS 伺服器時使用的伺服器 IP 地址列表
iPackets
 介面接收到的單播封包數量
oPackets
 通過介面傳送的資料防護位元組數
iBytes
介面接收的資料防護位元組數
oBytes
通過介面發送的單播封包數量
iErrors
由於錯誤而丟棄的傳入封包數量
oErrors
由於錯誤而丟棄的傳出封包數量
iDrops
無錯誤但丟棄的進入封包數量
oDrops
即使沒有錯誤也丟棄的傳出封包數量
介面位址
網路介面
與網路 IPv4 位址相關的 IPv4 介面索引
位址
地址的唯讀使用者友好名稱
遮罩
IPv4 子網路遮罩
類型
 IPv4或網路通訊協定版本6 (IPv6) 位址後綴的來源
友好名稱
 網路介面卡的使用者友好名稱
磁碟區資訊
路徑
 目前的磁碟機路徑
名稱
 檔案系統上的磁碟機名稱
系統
 檔案系統類型,例如檔案配置表 (FAT) 或新技術檔案系統 (NTFS)
最大元件長度
檔案系統支援的檔案名稱最大字元長度
檔案系統標誌
與檔案系統相關的標誌
磁碟機類型
指示磁碟驅動器類型的值,例如可移動、固定、固態硬碟 (SSD) 或硬碟 (HDD)
系統磁碟環境
系統根目錄
根目錄 Windows 目錄
系統磁碟
安裝 Windows 的磁碟機