Сопоставление полей в CEF-сообщении

CEF-сообщения передаются на английском языке.

В таблице ниже перечислены основные компоненты заголовка и тела CEF-сообщения, которое передает Kaspersky Security для контейнеров.

Компоненты и значения компонентов CEF-сообщения

Компонент	Значение	Пример
Стандартный заголовок CEF-сообщения (англ. syslog header)	Заголовок передается в следующем виде: `<дата>` `<время>` <`имя хост-сервера`>.	`Feb 18 10:07:28 host`
Префикс и версия формата CEF	`<CEF>:<версия>`	`CEF:0`
Идентификатор события	Производитель решения (англ. Device Vendor) Название решения (англ. Device Product) Версия решения (англ. Device Version)	`Kaspersky` `Kaspersky Container Security` `2.0`
Уникальный идентификатор типа события (англ. Signature ID)	Kaspersky Security для контейнеров передает следующие идентификаторы типов события: `ADM-ХХХ` – событие администрирования. `CVE-ХХХ` – принятие риска в отношении уязвимости или истечение срока действия принятия такого риска. `MLW-ХХХ` – принятие риска в отношении вредоносного ПО или истечение срока действия принятия такого риска. `NCMP-001` – несоответствие образа требованиям. `CMP-001` – соответствие образа требованиям. `SD-ХХХ` – принятие риска в отношении конфиденциальных данных или истечение срока действия принятия такого риска. `MS-ХХХ` – принятие риска в отношении ошибок конфигурации или истечение срока действия принятия такого риска. `CI-ХХХ` – событие в процессе CI/CD. `PLC-ХХХ` – событие при применении политики безопасности. `BNCH-ХХХ` – событие при проверке кластера и узлов. `AG-ХХХ` – событие, связанное с агентом. `SJ-ХХХ` – событие при работе сканера. `RT-ХХХ` – событие при проверке на соответствие лучшим практикам. `API-ХХХ` – запрос к API-серверу. `PM-ХХХ` – событие при реализации процессов. `FM-ХХХ` – событие доступа к объектам файловой системы контейнера. `NT-ХХХ` – сетевое соединение. `FPM-XXX` – событие нарушения политики среды выполнения при реализации процесса. `FNT-XXX` – событие нарушения политики среды выполнения сетевого соединения. `FFM-XXX` – событие нарушения политики среды выполнения доступа к объектам файловой системы контейнера. `FFTP-XXX` – событие нарушения политики среды выполнения в рамках компонента Защита от файловых угроз.	Некоторые из передаваемых решением идентификаторов типов событий: `ADM-001: User 1 added user 2` (Пользователь 1 добавил пользователя 2). `CVE-001: User 1 accepted risk for image XXX` (Пользователь 1 принял риск в отношении образа ХХХ). `AG-002: Agent XXX is disconnected` (Агент ХХХ отключен). `BNCH-003: YYY was passed while scanning XXX` (Проверка YYY успешно пройдена при сканировании кластера ХХХ). `PLC-001: YYY was applied to image XXX` (Политика YYY применена к образу ХХХ). `NCMP-001: Image XXX was marked as non-compliant` (Образ ХХХ признан несоответствующим требованиям). `SD-008: XXX risk acceptance expires` (Срок действия для принятия риска ХХХ истекает).
Описание события (англ. Name)	Передаваемое описание должно быть понятным пользователю и соотноситься с идентификатором типа события. Например, ADM – администрирование или PM – управление процессом.	Некоторые из передаваемых решением описаний событий: `Process management` `File management` `Networking`
Критичность (важность) события (англ. Severity)	Критичность события определяется по шкале от 0 до 10 следующим образом: 0-3 – низкий уровень. 4-6 – средний уровень. 7-8 – высокий уровень. 9–10 – очень высокий уровень. Критичность события оценивается в зависимости от типа события и статуса выполнения (Успешно или Ошибка).	Критичность оценивается, например, следующим образом: Для событий PM (`Process management`) и NT (`Networking`): Если статус события `Audited` или `Blocked`, критичность 7. Если у события другой статус, критичность 3. Для событий AG (`Agents`): Если событие выполнено успешно, критичность 5. Если событие выполнено с ошибкой, критичность 10. Для событий API: Если событие выполнено успешно, критичность 3. Если событие выполнено с ошибкой, критичность 8.
Дополнительная информация о событии (англ. Extension)	Дополнительная информация может включать в себя один или несколько наборов пар "ключ – значение".	Информация о наборах пар "ключ – значение", которые передает Kaspersky Security для контейнеров, представлена по ссылке ниже.

Дополнительная информация о событии, которую передает Kaspersky Security для контейнеров

Ключ	Значение	Использование
`source`	Домен (имя пода) источника события (англ. Source name).	Во всех событиях
`src`	Один из следующих IP-адресов в сети IPv4 (англ. Source IP): для сетевого трафика – IP-адрес источника соединения; для событий администрирования – IP-адрес инициатора действия.	Во всех событиях
`reason`	Описание причины статуса выполнения Ошибка (англ. Reason)	Во всех событиях со статусом выполнения Ошибка, кроме `PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`fname`	Имя образа (артефакта) (англ. Artifact name)	`CI-ХХХ`, `SJ-ХХХ`, `ADM-ХХХ`, `CVE-ХХХ`, `MLW-ХХХ`, `SD-ХХХ`, `MS-ХХХ`, `CMP-001`, `PLC-ХХХ`, `NCMP-001`
`suser`	Имя пользователя, который инициировал действие (англ. Username)	Во всех событиях кроме `PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dpid`	Идентификатор процесса (англ. PID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`spid`	Идентификатор родительского процесса (англ. PPID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`flexString1`	Действующий идентификатор группы (англ. EGID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`flexString2`	Идентификатор контейнера (англ. Container ID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`outcome`	Статус или режим выполнения (англ. Status). Значение определяется следующим образом: Для событий среды выполнения (`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`) указывается значение режима выполнения (Аудит, Блокирование или Другое). Для остальных событий указывается статус выполнения (Успешно или Ошибка). При статусе выполнения Ошибка решение также передает текст ошибки или код ошибки (`reason`).	Во всех событиях
`request`	Имя образа (англ. Image name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`fileHash`	Хеш образа (англ. Image digest)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`act`	Один из следующих типов операции (англ. Operation): для файловых операций – тип операции (`open`, `close`, `read`, `write`, `create`, `delete`, `chmod`, `chown`, `rename`); для сетевого трафика – направление и тип трафика (`egress`, `ingress`, `egress_response`, `ingress_response`); для процессов – значение `exec`; для операций компонента Защита от файловых угроз – значение `ftp`.	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`spt`	Порт источника соединения (англ. Source port)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dst`	IP-адрес точки назначения соединения в сети IPv4 (англ. Destination IP)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dpt`	Порт точки назначения соединения (англ. Destination port)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dproc`	Название процесса (команда) (англ. Process name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`duid`	Действующий идентификатор пользователя (англ. EUID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`filePermission`	Права доступа к файлу (англ. `mode_t mode`)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`oldFilePath`	Ранее использованный путь к файлу (англ. Old File Path)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`filePath`	Путь к файлу (англ. Path) Для событий доступа к объектам файловой системы контейнера `filePath` используется для передачи информации о новом пути к файлу (англ. New File Path).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`deviceDirection`	Тип соединения (англ. Traffic type) Для входящих соединений указывается 0, для исходящих соединений – 1.	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cn1`	Новый идентификатор процесса (англ. New PID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs1`	Имя кластера (англ. Cluster name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs2`	Имя узла (англ. Node name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs3`	Название пространства имен (англ. Namespace name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs4`	Выполняемая команда (англ. Command) Для событий доступа к объектам файловой системы контейнера `cs4` используется для передачи информации о новом владельце (англ. NewOwner).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs5`	Имя пода (англ. Pod name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs6`	Имя контейнера (англ. Container name)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs7`	IP адрес узла (англ. Node IP)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`

В начало