Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

В заголовке каждого сообщения содержится следующая информация:

Версия формата.
Номер текущей версии: 0. Текущее значение поля: CEF:0.
Производитель.
Текущее значение поля: AO Kaspersky Lab.
Название приложения.
Текущее значение поля: Kaspersky Anti Targeted Attack Platform.
Версия приложения.
Текущее значение поля: 5.1.0-6596.
Тип события.
См. таблицу ниже.
Наименование события.
См. таблицу ниже.
Важность события.
Текущее значение поля: Low.

Пример:

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|5.1.0-6596|tasks|Managing tasks|Low|

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Тип события	Наименование и описание события	Ключ и описание его значения
`sensors`	`Managing the Sensor component` Подключение компонента Sensor к серверу Central Node, изменение настроек компонента.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`sb`	`Configuring integration with the Sandbox component` Подключение компонента Sandbox к серверу Central Node.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`ex_integration`	`Configuring integration with external systems` Настройки интеграции с внешними системами.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`ksn_kpsn_mdr`	`Participation in KSN, KPSN and MDR` Настройка участия в Kaspersky Security Network, включение / отключение использования Kaspersky Private Security Network и настройка интеграции с Kaspersky Managed Detection and Response.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`yara`	`Managing YARA rules` Операции с правилами YARA.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `device external ID` = <идентификатор хоста в режиме распределенного решения>. `cs1label =` <имя загружаемого файла>
`ioc`	`Managing indicator of compromise` Операции с правилами IOC.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `deviceExternalID` = <идентификатор хоста в режиме распределенного решения>.
`ids`	`Managing IDS rules` Операции с правилами IDS.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `deviceExternalID` = <идентификатор хоста в режиме распределенного решения>.
`taa`	`Managing TAA rules` Операции с правилами TAA (IOA).	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`sb rules`	`Managing Sandbox rules` Операции с правилами Sandbox.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`prevention`	`Managing prevention rules` Операции с правилами запрета.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`exclusions`	`Managing scan exclusions` Операции с правилами исключений из проверки.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
endpoint_agents	Managing Endpoint Agent hosts Операции с хостами, на которых установлен компонент Endpoint Agent.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`tasks`	`Managing tasks` Операции с задачами.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`network_isolation`	`Network isolation of Endpoint Agent hosts` Сетевая изоляция хостов Endpoint Agent.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`settings`	`Settings` Изменение параметров сервера Central Node.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`settings`	`Settings` Набор ОС виртуальных машин изменен на <версия набора ОС>.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>. `cs1label =` <имя сервера, на котором обновились настройки>.
`mt`	`Managing CN, PCN and SCN servers` Изменение параметров сервера Primary Central Node и Secondary Central Node в режиме распределенного решения и мультитенантности. Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно. Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`user_account`	`Managing user accounts` Действия с учетными записями пользователей.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`notifications`	`Sending notifications` Настройка отправки уведомлений на электронный адрес почты.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.
`license`	`License` Управление лицензионным ключом.	`dvs` = <IP-адрес сервера>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `user` = <имя пользователя>. `cs1` = <тип события>.

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

В начало