匹配 CEF 消息字段

CEF 消息用英文发送。

下表列出了卡巴斯基容器安全发送的 CEF 消息的标头和正文的主要组成部分。

CEF 消息组件的组成部分和值

组件

示例

CEF 消息的标准标头(syslog 标头)

标头以以下格式发送:<日期> <时间> <服务器的主机名称>。

Feb 18 10:07:28 host

CEF 格式前缀和版本

<CEF>:<版本>

CEF:0

事件 ID

解决方案供应商(设备供应商)

解决方案名称(设备产品)

解决方案版本(设备版本)

Kaspersky

Kaspersky Container Security

2.0

唯一事件类型 ID(签名 ID)

卡巴斯基容器安全可发送以下事件类型 ID:

  • ADM-ХХХ:管理事件。
  • CVE-XXX:有关漏洞或者此类风险接受到期的风险接受。
  • MLW-XXX:有关恶意软件或者此类风险接受到期的风险接受。
  • NCMP-001:镜像不符合要求。
  • CMP-001:镜像符合要求。
  • SD-XXX:有关敏感数据或者此类风险接受到期的风险接受。
  • MS-XXX:有关错误配置或者此类风险接受到期的风险接受。
  • CI-ХХХ:CI/CD 进程中的事件。
  • PLC-ХХХ:应用安全策略时的事件。
  • BNCH-ХХХ:扫描集群和节点时的事件。
  • AG-ХХХ:与代理相关的事件。
  • SJ-ХХХ:扫描器的事件。
  • RT-ХХХ:最佳实践检查的事件。
  • API-ХХХ:对 API 服务器的请求。
  • PM-ХХХ:实现进程时的事件。
  • FM-ХХХ:涉及访问容器文件系统中的对象的事件。
  • NT-ХХХ:网络连接。
  • FPM-XXX:过程中发生运行时策略违规事件
  • FNT-XXX:与网络连接相关的运行时策略违规事件
  • FFM-XXX:与容器文件系统中的对象访问有关的运行时策略违规事件
  • FFTP-XXX:与文件威胁防护有关的运行时策略违规事件

解决方案发送的某些事件类型 ID:

  • ADM-001: User 1 added user 2
  • CVE-001: User 1 accepted risk for image XXX
  • AG-002: Agent XXX is disconnected
  • BNCH-003: YYY was passed while scanning XXX
  • PLC-001: YYY was applied to image XXX
  • NCMP-001: Image XXX was marked as non-compliant
  • SD-008: XXX risk acceptance expires

事件描述(名称)

描述必须用户可读且与事件类型 ID 有关。例如,'Administration' 对于 ADM,或者 '进程管理' 对于 PM。

解决方案发送的某些事件名称:

  • Process management
  • File management
  • Networking

事件的重要性(严重性)

事件的严重性从 0 到 10,确定如下:

  • 0–3:低
  • 4–6:中
  • 7–8:高
  • 9–10:非常高

事件的严重性分数取决于事件类型和状态(成功失败)。

例如,严重性分数可以确定如下:

  • 对于 PM(Process management)和 NT(Networking)事件:
    • 如果事件状态为 Audited 或者 Blocked,则严重性为 7。
    • 对于任何其他状态,严重性为 3。
  • 对于 AG (Agents) 事件:
    • 如果事件成功,则严重性为 5。
    • 如果发生错误,则严重性为 10。
  • 对于 API 事件:
    • 如果事件成功,则严重性为 3。
    • 如果发生错误,则严重性为 8。

关于事件的其他信息(扩展名)

其他信息可能包括一个或者多个键值对集。

下面提供了关于卡巴斯基容器安全传输的键值对的信息。

关于卡巴斯基容器安全传输的事件的附加信息

页首