Содержание

Управление журналом активности

Управление журналом активности

Некоторые действия пользователей в веб-интерфейсе программы могут привести к ошибкам в работе Kaspersky Anti Targeted Attack Platform. Вы можете включить запись информации о действиях пользователей в веб-интерфейсе программы в журнал и при необходимости просмотреть эту информацию, скачав файлы журнала.

В этом разделе

Включение и отключение записи информации в журнал активности

Скачивание файла журналов активности

Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

В начало

Включение и отключение записи информации в журнал активности

Чтобы включить или отключить запись информации о действиях пользователей в веб-интерфейсе Kaspersky Anti Targeted Attack Platform в журнал активности:

В окне веб-интерфейса программы перейдите в раздел Отчеты, подраздел Журнал активности.
Выполните одно из следующих действий:
- Установите переключатель Журнал активности в положение Включено, если хотите включить запись информации о действиях пользователей в веб-интерфейсе программы в журнал активности.
- Установите переключатель Журнал активности в положение Отключено, если хотите отключить запись информации о действиях пользователей в веб-интерфейсе программы в журнал активности.
  По умолчанию функция включена.

Запись информации производится в течение 30 дней в файл журнала user_actions.log. По истечении 30 дней файл user_actions.log будет сохранен на сервере с компонентом Central Node в директории /var/log/kaspersky/apt-base/ с названием user_actions.log<month>. Для записи информации за текущий месяц будет создан новый файл с названием user_actions.log. Каждый файл хранится 90 дней, после чего удаляется.

Для того, чтобы просмотреть файлы журнала активности, вам нужно предварительно скачать их.

Вы можете настроить запись информации о действиях пользователей в веб-интерфейсе программы в удаленный журнал. Удаленный журнал хранится на сервере, на котором установлена SIEM-система. Для записи в удаленный журнал должны быть настроены параметры интеграции с SIEM-системой.

В режиме распределенного решения информация о действиях пользователей в веб-интерфейсе записывается в журнал того сервера, в веб-интерфейсе которого работают пользователи. Информация о действиях пользователей сервера PCN, влияющих на параметры серверов SCN, записывается в журнал сервера PCN.

Пользователи с ролью Аудитор могут только просматривать настройки записи информации в журнал активности.

В начало

Скачивание файла журналов активности

Чтобы скачать файл журнала активности:

В окне веб-интерфейса программы перейдите в раздел Отчеты, подраздел Журнал активности.
Нажмите на кнопку Скачать.

Файлы журнала будут сохранены на ваш локальный компьютер в папку загрузки браузера. Файлы загружаются в формате ZIP-архива.

В режиме распределенного решения вы можете скачать файлы журнала активности только для того сервера, в веб-интерфейсе которого работаете.

В начало

Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

В заголовке каждого сообщения содержится следующая информация:

Версия формата.
Номер текущей версии: 0. Текущее значение поля: CEF:0.
Производитель.
Текущее значение поля: AO Kaspersky Lab.
Название программы.
Текущее значение поля: Kaspersky Anti Targeted Attack Platform.
Версия программы.
Текущее значение поля: 5.0.0-5201.
Тип события.
См. таблицу ниже.
Наименование события.
См. таблицу ниже.
Важность события.
Текущее значение поля: Low.

Пример:

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|5.0.0-5201|tasks|Managing tasks|Low|

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Тип события	Наименование и описание события	Ключ и описание его значения
`sensors`	`Managing the Sensor component` Подключение компонента Sensor к серверу Central Node, изменение настроек компонента.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`sb`	`Configuring integration with the Sandbox component` Подключение компонента Sandbox к серверу Central Node.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`ex_integration`	`Configuring integration with external systems` Настройки интеграции с внешними системами.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`ksn_kpsn_mdr`	`Participation in KSN, KPSN and MDR` Настройка участия в Kaspersky Security Network, включение / отключение использования Kaspersky Private Security Network и настройка интеграции с Kaspersky Managed Detection and Response.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`yara`	`Managing YARA rules` Операции с правилами YARA.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `device external ID` = <идентификатор хоста в режиме распределенного решения>. `cs1label =` <имя загружаемого файла>
`ioc`	`Managing indicator of compromise` Операции с правилами IOC.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `deviceExternalID` = <идентификатор хоста в режиме распределенного решения>.
`ids`	`Managing IDS rules` Операции с правилами IDS.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `deviceExternalID` = <идентификатор хоста в режиме распределенного решения>.
`taa`	`Managing TAA rules` Операции с правилами TAA (IOA).	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`prevention`	`Managing prevention rules` Операции с правилами запрета.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`exclusions`	`Managing scan exclusions` Операции с правилами исключений из проверки.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`tasks`	`Managing tasks` Операции с задачами.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`network_isolation`	`Network isolation of Endpoint Agent hosts` Сетевая изоляция хостов Endpoint Agent.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`settings`	`Settings` Изменение параметров сервера Central Node.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`settings`	`Settings` Набор ОС виртуальных машин изменен на <версия набора ОС>.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `cs1label =` <имя сервера, на котором обновились настройки>.
`mt`	`Managing CN, PCN and SCN servers` Изменение параметров сервера Primary Central Node и Secondary Central Node в режиме распределенного решения Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN). и мультитенантности Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно. .	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`user_account`	`Managing user accounts` Действия с учетными записями пользователей.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`notifications`	`Sending notifications` Настройка отправки уведомлений на электронный адрес почты.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`license`	`License` Управление лицензионным ключом.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

В начало