Significado de los campos con mensajes CEF

Los mensajes CEF enviados están en idioma inglés.

En la tabla siguiente, verá los principales componentes del encabezado y el cuerpo de los mensajes CEF que envía Kaspersky Container Security.

Componentes y valores de los componentes de los mensajes CEF

Componente	Valor	Ejemplo
Encabezado estándar del mensaje CEF (syslog header)	El encabezado se envía en el siguiente formato: `<fecha>` `<hora>` <`nombre del host del servidor`>.	`Feb 18 10:07:28 host`
Prefijo y versión del formato CEF	`<CEF>:<versión>`	`CEF:0`
ID del evento	Proveedor de la solución (Device Vendor) Nombre de la solución (Device Product) Versión de la solución (Device Version)	`Kaspersky` `Kaspersky Container Security` `2.0`
Id. de tipo de evento único (Signature ID)	Kaspersky Container Security envía estos ID para los siguientes tipos de eventos: `ADM-ХХХ`: evento de administración `CVE-XXX`: aceptación del riesgo acerca de una vulnerabilidad y caducidad de la aceptación de dicho riesgo `MLW-XXX`: aceptación del riesgo acerca de un malware o la caducidad de la aceptación de dicho riesgo `NCMP-001`: incumplimiento de los requisitos de la imagen `CMP-001`: cumplimiento de los requisitos de la imagen `SD-XXX`: aceptación del riesgo acerca de datos confidenciales y caducidad de la aceptación de dicho riesgo `MS-XXX`: aceptación del riesgo acerca de una configuración incorrecta y caducidad de la aceptación de dicho riesgo `CI-ХХХ`: evento en el proceso de CI/CD `PLC-ХХХ`: evento al aplicar una directiva de seguridad `BNCH-ХХХ`: evento al analizar el clúster y los nodos `AG-ХХХ`: evento relacionado con un agente `SJ-ХХХ`: evento de análisis `RT-ХХХ`: evento de la comprobación de una práctica recomendada `API-ХХХ`: solicitud al servidor de una API `PM-ХХХ`: evento al implementar procesos `FM-ХХХ`: evento que implica el acceso al sistema de archivos del contenedor `NT-ХХХ`: conexión de red `FPM-XXX`: evento de infracción de una directiva referente a la ejecución durante un proceso `FNT-XXX`: evento de infracción de una directiva referente a la ejecución relacionada con una conexión de red `FFM-XXX`: evento de infracción de una directiva referente a la ejecución relacionada con el acceso a objetos en el sistema de archivos de un contenedor `FFTP-XXX`: evento de infracción de una directiva referente a la ejecución relacionada con Protección frente a amenazas en archivos	Algunos de los ID de tipos de eventos que envía la solución: `ADM-001: User 1 added user 2` `CVE-001: User 1 accepted risk for image XXX` `AG-002: Agent XXX is disconnected` `BNCH-003: YYY was passed while scanning XXX` `PLC-001: YYY was applied to image XXX` `NCMP-001: Image XXX was marked as non-compliant` `SD-008: XXX risk acceptance expires`
Descripción del evento (Name)	La descripción debe poder ser leída por un usuario y relevante según el ID del tipo de evento. Por ejemplo, "Administration" (administración) para ADM o "Process management" (gestión de procesos) para PM.	Algunos de los nombres de los eventos que envía la solución: `Process management` `File management` `Networking`
Importancia del evento (Severity)	La gravedad de un evento se representa mediante una escala de 0-10 de la siguiente manera: 0-3: baja 4-6: media 7-8: alta 9-10: muy alta La puntuación de gravedad de un evento depende del tipo y el estado del evento (Success o Failure).	Por ejemplo, la puntuación de gravedad puede determinarse de la siguiente manera: Para los eventos PM (`Process management` [gestión de procesos]) y NT (`Networking` [redes]): Si el estado del evento es `Audited` o `Blocked`, la gravedad será de 7. Para cualquier otro estado, la gravedad será de 3. Para los eventos AG (`Agents` [agentes]): Si el evento ocurre de forma correcta, la gravedad será de 5. Si se produce un error, la gravedad será de 10. Para los eventos de API: Si el evento ocurre de forma correcta, la gravedad será de 3. Si se produce un error, la gravedad será de 8.
Información adicional del evento (Extension)	La información adicional podría incluir uno o más conjuntos de pares clave-valor.	A continuación, se detalla la información sobre los pares clave-valor que Kaspersky Container Security envía.

Información adicional sobre un evento que envía Kaspersky Container Security

Clave	Valor	Uso
`source`	Dominio (nombre del pod) del origen de eventos (Source name).	En todos los eventos
`src`	Una de las siguientes direcciones IP en una red IPv4 (Source IP): para el tráfico de red: la dirección IP del origen de la conexión para los eventos de administración: la dirección IP del iniciador de la acción	En todos los eventos
`reason`	Descripción del motivo del estado Error.	En todos los eventos que tengan el estado Error, salvo `PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`fname`	Nombre de la imagen o artefacto (Artifact name)	`CI-ХХХ`, `SJ-ХХХ`, `ADM-ХХХ`, `CVE-ХХХ`, `MLW-ХХХ`, `SD-ХХХ`, `MS-ХХХ`, `CMP-001`, `PLC-ХХХ`, `NCMP-001`
`suser`	Nombre del usuario que inició la acción (Username)	En todos los eventos, salvo `PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dpid`	Identificador del proceso (inglés: Process Identifier, PID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`spid`	Identificador del proceso principal (inglés: Parent Process Identifier, PPID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`flexString1`	Identificador del grupo vigente (inglés: Effective Group Identifier, EGID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`flexString2`	ID del contenedor (Container ID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`outcome`	Modo o estado de la ejecución (Status). El valor se define de la siguiente manera: Para los eventos en el tiempo de ejecución (`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`), se especifica el modo de ejecución Audit, Enforce o Other. Para los demás eventos, se especifica el estado de ejecución Success o Error. Si el estado es Error, la solución también envía el código o texto de error (`reason`).	En todos los eventos
`request`	Nombre de la imagen (Image name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`fileHash`	Hash de la imagen (Image digest)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`act`	Uno de los siguientes tipos de operaciones (operación): para operaciones en archivos: tipo de operación (`open`, `close`, `read`, `write`, `create`, `delete`, `chmod`, `chown`, `rename`) para el tráfico de red: dirección y tipo de tráfico (`egress`, `ingress`, `egress_response`, `ingress_response`) para procesos: valor `exec` para operaciones de Protección frente a amenazas en archivos: valor `ftp`	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`spt`	Puerto de origen	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dst`	Dirección IP del destinatario en la red IPv4 (IP del destino)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dpt`	Puerto de destino	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dproc`	Nombre del proceso (inglés: Process name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`duid`	Identificador del usuario vigente (inglés: Effective User Identifier, EUID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`filePermission`	Permisos de acceso al archivo (`mode_t mode`)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`oldFilePath`	Ruta de archivo utilizada anteriormente (Old File Path)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`filePath`	Ruta al archivo (Path) En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa `filePath` para pasar información sobre la nueva ruta al archivo (New File Path).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`deviceDirection`	Tipo de la conexión (Traffic type) 0 para conexiones de entrada y 1 para conexiones de salida	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cn1`	Nuevo identificador de proceso (New PID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs1`	Nombre del clúster (Cluster Name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs2`	Nombre del nodo (Node Name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs3`	Nombre del espacio de nombres	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs4`	Comando ejecutado (inglés: Command) En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa `cs4` para pasar información sobre el nuevo propietario del archivo (NewOwner).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs5`	Nombre del pod (Pode Name).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs6`	Nombre del contenedor (Container Name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs7`	IP del nodo (Node IP)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`

Inicio de página