Системные типы событий по технологии Обнаружение вторжений

4000003000

Сработало правило из набора $fileName (системный набор правил)

Сработало правило обнаружения вторжений, входящее в системный набор правил.

В заголовке и в описании типа события используются следующие переменные:

• $fileName – название набора правил;
• $category – класс правила;
• $ruleName – название правила;
• $signature_id – идентификатор правила (sid);
• $action – тип действия с сетевыми пакетами, заданный в правиле (действия типов drop или reject не выполняются в Kaspersky Industrial CyberSecurity for Networks).

4000003001

Сработало правило из набора $fileName (пользовательский набор правил)

Сработало правило обнаружения вторжений, входящее в пользовательский набор правил.

В заголовке и в описании типа события используются следующие переменные:

• $fileName – название набора правил;
• $category – класс правила;
• $ruleName – название правила;
• $signature_id – идентификатор правила (sid);
• $action – тип действия с сетевыми пакетами, заданный в правиле (действия типов drop или reject не выполняются в Kaspersky Industrial CyberSecurity for Networks).

4000003002

Обнаружены признаки подбора или сканирования

Сработало правило обнаружения атак с использованием методов подбора или сканирования.

В описании типа события используется переменная $ruleName для названия правила.

4000004001

Обнаружены признаки ARP-спуфинга в ARP-ответах

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами.

В описании типа события используются следующие переменные:

• $senderIp – подменяемый IP-адрес;
• $targetIp – IP-адрес целевого узла;
• $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000004002

Обнаружены признаки ARP-спуфинга в ARP-запросах

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям.

В описании типа события используются следующие переменные:

• $senderIp – подменяемый IP-адрес;
• $targetIp – IP-адрес целевого узла;
• $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000005100

Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета

Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают.

4000005101

Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета

Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел.

4000005102

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения.

4000005103

Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments)

Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета.

4000002701

Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах

Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым.

4000000003

Тестовое событие (IDS)

Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам).