Реагирование через KEDR

Название поля события

Значение поля

DeviceAction

KEDR response

DeviceFacility

manual response или automatic response

EventOutcome

succeeded или failed

Message

Описание ошибки, если произошла ошибка, иначе поле будет пустое.

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который отправил запрос.

SourceUserID

Идентификатор пользователя, который отправил запрос.

SourceAssetID

Идентификатор актива в KUMA, для которого производится реагирование. Значение не указывается, если реагирование производится по хешу или для всех активов.

DeviceExternalID

Параметр external ID, присвоенный KUMA в KEDR. Если external id один, при запуске по пользовательским хостам не заполняется.

DeviceCustomString1

Перечисление IP/FQDN-адресов актива для правила запрета для хоста по выбранному хешу из карточки события.

DeviceCustomString1Label

user defined list of ips or hostnames

DeviceCustomString2

Параметр sensor ID в KEDR (UUIDv4 | 'all' | 'custom').

DeviceCustomString2Label

sensor id of asset in KATA/EDR

ServiceID

Идентификатор сервиса, который вызвал реагирование. Заполняется только при автоматическом реагировании.

DeviceCustomString3

Наименование типа задачи: enable_network_isolation, disable_network_isolation, enable_prevention, disable_prevention, run_process.

DeviceCustomString3Label

kedr response kind

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name