Содержание и свойства syslog-сообщений об обнаружениях

Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.

Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.

В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:

Версия формата.
Номер текущей версии: 0. Текущее значение поля: CEF:0.
Производитель.
Текущее значение поля: AO Kaspersky Lab.
Название приложения.
Текущее значение поля: Kaspersky Anti Targeted Attack Platform.
Версия приложения.
Текущее значение поля: 5.1.0-6596.
Тип обнаружения.
См. таблицу ниже.
Наименование события.
См. таблицу ниже.
Важность обнаружения.
Допустимые значения поля: Low, Medium, High или 0 (для сообщений типа heartbeat).
Дополнительная информация.

Пример:

CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |5.1.0-6596|url_web| URL from web detected|Low|

Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе приложения. Все поля представлены в формате "<ключ>=<значение>". В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация об обнаружении в syslog-сообщениях

Тип обнаружения	Наименование и описание обнаружения	Ключ и описание его значения
`file_web`	`File from web detected` В сетевом трафике обнаружен файл.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `shost` = <имя хоста, на котором обнаружен файл>. `suser` = <имя пользователя>. `fName` = <имя файла внутри составного объекта>. `fsize` = <размер файла внутри составного объекта (в байтах)>. `fileType` = <формат файла внутри составного объекта>. `fileHash` = <MD5-хеш файла внутри составного объекта >. `KasperskyLabKATAcompositeFilePath` = <имя составного объекта>. `KasperskyLabKATAcompositeFileSize` = <общий размер составного объекта (в байтах)>. `KasperskyLabKATAcompositeFileHash` = <MD5-хеш составного объекта>. `KasperskyLabKATAfileSHA256` = <SHA256-хеш составного объекта>. `cs2` = <технология, с помощью которой обнаружен файл>. `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">. `cs3` = <версия баз, с помощью которых проверен файл>. `app` = <название протокола прикладного уровня> (HTTP(S) или FTP). `requestMethod` = <метод HTTP-запроса> (только для протокола HTTP(S)). `requestClientApplication` = <User Agent клиентского компьютера> (только для протокола HTTP(S)). `request` = <URL обнаруженного объекта> (только для протокола HTTP(S)). `requestContext` = <HTTP-заголовок Referer> (только для протокола HTTP(S)).
`file_mail`	`File from mail detected` В почтовом трафике обнаружен файл.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `fName` = <имя файла внутри составного объекта>. `fsize` = <размер файла внутри составного объекта (в байтах)>. `fileType` = <формат файла внутри составного объекта >. `fileHash` = <MD5-хеш файла внутри составного объекта >. `KasperskyLabKATAcompositeFilePath` = <имя составного объекта>. `KasperskyLabKATAcompositeFileSize` = <общий размер составного объекта (в байтах)>. `KasperskyLabKATAcompositeFileHash` = <MD5-хеш составного объекта>. `KasperskyLabKATAfileSHA256` = <SHA256-хеш составного объекта>. `KasperskyLabKATAmailEnvelopeFrom` = <адрес электронной почты отправителя> (из заголовка Received). `KasperskyLabKATAmailFor` = <адрес электронной почты получателя> (из заголовка Received). `KasperskyLabKATAmailRecievedFromIp` = <IP-адрес первого в цепочке отправки сообщения сервера> (из заголовка Received). `cs2` = <технология, с помощью которой обнаружен файл>. `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">. `cs3` = <версия баз, с помощью которых проверен файл>. `externalId` = <ID сообщения электронной почты>. `suser` = <адрес электронной почты отправителя>. `duser` = <адреса электронной почты получателей>. `msg` = <тема сообщения>.
`ids`	`IDS event detected` Обнаружение выполнено модулем Intrusion Detection System.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `requestMethod` = <метод HTTP-запроса> (только для протокола HTTP(S)). `requestClientApplication` = <User Agent клиентского компьютера> (только для протокола HTTP(S)). `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `proto` = <название протокола сетевого уровня> (TCP или UDP). `cs1` = <тип обнаруженного объекта по классификации "Лаборатории Касперского">. `cs2Label` = <название правила IDS>. `cs2` = <номер правила IDS>. `cs3` = <версия баз модуля Intrusion Detection System>. `requestMethod` = <метод HTTP-запроса> (только для протокола HTTP). `requestClientApplication` = <User Agent клиентского компьютера> (только для протокола HTTP). `request` = <URL обнаруженного объекта>.
`url_web`	`URL from web detected` Обнаружение выполнено технологией URL Reputation или Sandbox в сетевом трафике.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `shost` = <имя хоста, на котором обнаружен файл>. `suser` = <имя пользователя>. `cs1` = <список категорий, к которым принадлежит URL-адрес обнаруженного объекта>. `requestMethod` = <метод HTTP-запроса>. `requestClientApplication` = <User Agent клиентского компьютера>. `request` = <URL-адрес обнаруженного объекта>. `requestContext` = <HTTP-заголовок Referer>. `reason` = <код HTTP-ответа>.
`url_mail`	`URL from mail detected` Обнаружение выполнено технологией URL Reputation или Sandbox в почтовом трафике.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `externalId` = <ID сообщения электронной почты>. `suser` = <адрес электронной почты отправителя>. `duser` = <адреса электронной почты получателей>. `KasperskyLabKATAmailEnvelopeFrom` = <адрес электронной почты отправителя> (из заголовка Received). `KasperskyLabKATAmailFor` = <адрес получателя> (из заголовка Received). `KasperskyLabKATAmailRecievedFromIp` = <IP-адрес первого в цепочке отправки сообщения сервера> (из заголовка Received). `msg` = <тема сообщения>. `request` = <URL-адрес обнаруженного объекта>. `cs2` = <технология, с помощью которой выполнено обнаружение> (Sandbox или URL Reputation). `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского"> (для Sandbox) или <список категорий> (для URL Reputation). `cs3` = <версия баз, с помощью которых проверен файл> (только для Sandbox).
`dns`	`DNS request detected` Обнаружение выполнено технологией URL Reputation в DNS-трафике.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `shost` = <имя хоста, на котором обнаружен файл>. `suser` = <имя пользователя>. `cs2` = <список URL-категорий, к которым принадлежат доменные имена>. `requestMethod` = <тип DNS-сообщения> (request или response). `flexString1` = <тип записи из DNS-запроса>. `dhost` = <имя хоста из DNS-запроса>. `cs1` = <список доменных имен из DNS-ответа>.
`file_endpoint`	`File from endpoint detected` Обнаружение выполнено компонентом Endpoint Agent на хосте пользователя и содержит файл.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `src` = <IP-адрес источника>. `shost` = <имя хоста, на котором обнаружен файл>. `fName` = <имя файла внутри составного объекта>. `fsize` = <размер файла внутри составного объекта (в байтах)>. `fileType` = <формат файла внутри составного объекта >. `fileHash` = <MD5-хеш файла внутри составного объекта >. `KasperskyLabKATAcompositeFilePath` = <имя составного объекта>. `KasperskyLabKATAcompositeFileSize` = <общий размер составного объекта (в байтах)>. `KasperskyLabKATAcompositeFileHash` = <MD5-хеш составного объекта>. `KasperskyLabKATAfileSHA256` = <SHA256-хеш составного объекта>. `cs2` = <технология, с помощью которой обнаружен файл>. `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">. `cs3` = <версия баз, с помощью которых проверен файл>. `app` = <название протокола прикладного уровня> (HTTP(S) или FTP). `FilePath` = <путь к файлу на компьютере с компонентом Endpoint Sensors>.
`iocScanning`	`IOC has tripped on endpoint` Обнаружение выполнено в результате IOC-проверки хостов с компонентом Endpoint Agent для Windows. Этот тип обнаружений доступен, если вы используете функциональность KEDR.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `src` = <IP-адрес источника>. `shost` = <имя хоста, на котором обнаружен файл>. `cs1` = <имя IOC-файла, по которому выполнено обнаружение>.
`taaScanning`	`TAA has tripped on events database` Обнаружение выполнено в результате IOA-анализа событий. Этот тип обнаружений доступен, если вы используете функциональность KEDR.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `shost` = <имя хоста, на котором выполнено обнаружение>. `cs1` = <имя IOA-правила, по которому выполнено обнаружение>.
`yaraScanningEP`	`YARA has tripped on endpoint` Обнаружение выполнено в результате YARA-проверки хостов с компонентом Endpoint Agent для Windows. Этот тип обнаружений доступен, если вы используете функциональность KEDR.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `src` = <IP-адрес источника>. `shost` = <имя хоста, на котором выполнено обнаружение>. `cs1` = <имя YARA-правила, по которому выполнено обнаружение>.
`heartbeat`	Периодическое сообщение, содержащее статус компонентов.	`dvchost` = <имя сервера с компонентом Central Node>. `rt` = <дата и время события>. `KasperskyLabKATAcomponentName` = <название компонента>. `KasperskyLabKATAcomponentState` = <статус компонента> (`0` – ОК, `>0` – Ошибка).

В начало