Informações adicionais sobre o evento na mensagem CEF

Chave	Valor	Uso
`source`	O domínio (nome do pod) da origem do evento (nome da origem).	Em todos os eventos
`src`	Um dos seguintes endereços IP numa rede IPv4 (endereço IP de origem): para tráfego de rede – o endereço IP da origem da conexão para eventos de administração – o endereço IP do iniciador da ação	`ADM-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX, CI-ХХХ, PLC-ХХХ, API-ХХХ, NT-ХХХ, FNT-XXX, FHL-XXX`
`reason`	Descrição do motivo do status Error.	Em todos os eventos com status Error, exceto `AG-XXX, PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX`
`fname`	Um dos seguintes tipos de artefato (nome do artefato): Nome da imagem (artefato) Para `RBAC-XXX`, o nome do objeto com o qual o evento ocorreu.	`ADM-XXX, CMP-XXX, NCMP-XXX, CI-ХХХ, PLC-ХХХ, SJ-ХХХ, RBAC-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX`
`suser`	O nome do usuário que iniciou a ação (nome de usuário de origem)	`ADM-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX, CI-ХХХ, PLC-ХХХ, API-ХХХ, NT-ХХХ, FNT-XXX, FHL-XXX`
`duser`	Nome do usuário com o qual a ação foi executada (nome de usuário de destino)	`ADM-XXX, FHL-XXX`
`dpid`	Identificador de processo (PID)	`PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FFTP-XXX, FLP-XXX, FHL-XXX`
`spid`	Identificador do processo principal (PPID)	`PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FLP-XXX, FHL-XXX`
`flexString1`	Identificador de grupo efetivo (EGID)	`PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FLP-XXX`
	Tipo de política de segurança (tipo de política)	`ADM-XXX, CI-XXX, PLC-XXX`
	Nome do relatório	`ADM-XXX`
	Nível de perigo do objeto detectado (detectar nível de perigo)	`FFTP-XXX`
	Monitoramento de nós	`AG-XXX`
`flexString2`	ID do contêiner	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FLP-XXX, FCL-XXX`
	Nome da política	`ADM-XXX, CI-XXX, PLC-XXX, RT-XXX`
	Nome do escopo do aplicativo	`ADM-XXX`
`flexString3`	Valor de retorno	`PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX`
`flexString3`	Tipo de integração com validadores de assinatura de imagem (tipo de validador de sinal de imagem)	`ADM-XXX`
`flexString4`	Nomes de políticas relacionadas que foram aplicadas para a detecção do incidente durante a investigação de eventos de segurança (políticas relacionadas)	`FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX, FLP-XXX`
`flexString4`	Nome da integração com validadores de assinatura de imagem (nome do validador de sinal de imagem)	`ADM-XXX`
`outcome`	Status ou modo de execução (Status). O valor é definido da seguinte maneira: Para eventos de tempo de execução (`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`), é especificado o modo de execução (Audit, Enforce ou Other). Para eventos de registro de autorização no host, o resultado ao se fazer login no sistema operacional do host é exibido (Success ou Failure). Para outros eventos, é especificado o status de execução (Success ou Error). Se o status for Error, a solução também transfere o texto ou código do erro (`reason`).	Em todos os eventos
`request`	Nome da imagem	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX, FCL-XXX`
`fileHash`	Resumo da imagem	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX, FCL-XXX`
`act`	Um dos seguintes tipos de operação (ação): para operações de arquivo – o tipo de operação (`open`, `close`, `read`, `write`, `create`, `delete`, `chmod`, `chown`, `rename`) para tráfego de rede – direção e tipo do tráfego (`egress`, `ingress`, `egress_response`, `ingress_response`) para processos – o valor `exec` para operações da Proteção Contra Ameaças ao Arquivo – o valor `ftp` Para o registro de eventos de autorização no sistema operacional host, o tipo de conexão local.	`FM-ХХХ, FFM-XXX, FCL-XXX, RBAC-XXX, ADM-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX, FHL-XXX`
`spt`	Porta de origem	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`
`dst`	Endereço IP do destino na rede IPv4 (IP do destino)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`
`dpt`	Porta de destino	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`
`dproc`	Nome do processo (comando)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`
`duid`	Um dos seguintes parâmetros: Identificador de Usuário Efetivo (EUID) Para registrar eventos de autorização do SO do host, o identificador do usuário no qual o login foi executado.	`PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FFTP-XXX, FLP-XXX, FHL-XXX`
`filePermission`	Um dos seguintes conjuntos de permissões (`permissão de arquivo`): Para `FM-XXX`, `FFM-XXX`, permissões de acesso ao arquivo. Para `FCL-XXX`, o conjunto de funcionalidades do contêiner.	`FM-ХХХ, FFM-XXX, FCL-XXX`
`oldFilePath`	Caminho do arquivo usado anteriormente (caminho do arquivo antigo)	`FM-ХХХ, FFM-XXX`
`filePath`	Caminho do arquivo (Caminho) Para eventos que envolvem acesso a objetos no sistema de arquivos de um contêiner, `filePath` é usado para passar informações sobre o novo caminho do arquivo (novo caminho do arquivo).	`PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FFTP-XXX, FCL-XXX`
`deviceDirection`	Tipo de conexão (tipo de tráfego) 0 para conexões de entrada, 1 para conexões de saída.	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`
`cn1`	Novo identificador do processo (Novo PID)	`PM-ХХХ`, `FPM-XXX`
`cn1`	Número total de eventos do tipo selecionado no nó por minuto (Total de eventos por minuto)	`AG-XXX`
`cn2`	O número de eventos perdidos no nó por minuto (quantidade de eventos perdidos)	`AG-XXX`
`cn3`	Porcentagem de eventos perdidos ao longo de um minuto (porcentagem de eventos perdidos)	`AG-XXX`
`cs1`	Nome do cluster	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX, FLP-XXX, FCL-XXX, RBAC-XXX, BNCH-XXX, FHL-XXX`
	Nome da função	`ADM-XXX`
	Nome do risco aceito (nome do risco)	`CVE-XXX, MLW-XXX, SD-XXX, MS-XXX`
	Nome do verificador	`SJ-XXX`
	Caminho que o usuário acessou (ponto final)	`API-XXX`
`cs2`	Nome do nó	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FLP-XXX, FCL-XXX, BNCH-XXX, AG-XXХ, FHL-XXX`
	Usuário que iniciou a alteração (iniciador do RBAC)	`RBAC-XXX`
	Nome do grupo LDAP ao qual o usuário pertence (nome do grupo do Active Directory)	`ADM-XXX`
	ID do trabalho de verificação aplicado pelo verificador (ID do trabalho)	`SJ-XXX`
`cs3`	Nome do namespace	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FLP-XXX, FCL-XXX, RBAC-XXX`
	Nome do repositório modificado (nome do repositório)	`ADM-XXX`
	Nome da regra de parâmetro de referência acionada (nome do parâmetro de referência)	`BNCH-XXX`
	Nome do terminal por meio do qual a tentativa de login foi feita (TTY)	`FHL-XXX`
	Nome do agente	`AG-XXX`
	Nome do componente	`CORE-XXX`
`cs4`	Comando executado (Comando)	`PM-ХХХ, FPM-XXX`
	Informações sobre o novo proprietário (novo proprietário)	`FM-ХХХ, FFM-XXX`
	Informações sobre os grupos do iniciador (grupos de iniciadores)	`RBAC-XXX`
	Nome do registro de imagens (nome do registro)	`ADM-XXX`
	Modo de interceptação de arquivo ativado nas configurações do componente Proteção Contra Ameaças ao Arquivo no perfil de tempo de execução de contêiner (modo de interceptador de arquivo)	`FFTP-XXX`
	Comando da linha de comando (cmd) para uma operação sudo (operação).	`FHL-XXX`
`cs5`	Nome do pod	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX, CORE-XXX`
`cs5`	Tipo de integração com saídas (tipo de integração)	`ADM-XXX`
`cs6`	Nome do contêiner	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX`
`cs6`	Nome da integração	`ADM-XXX`
`cs7`	IP do nó	`PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX, RBAC-XXX, AG-XXX, FHL-XXX`
`cs7`	Endereço do servidor LDAP conectado (nome do servidor)	`ADM-XXX`
`cs8`	ID exclusivo da instância do Kaspersky Container Security (ID do KCS) O ID do KCS não é alterado quando o pod é alterado.	Em todos os eventos, com exceção de `PM-XXX, FM-XXX, NT-XXX`
`cs9`	ID do evento no ClickHouse (ID do evento)	Em todos os eventos, com exceção de `PM-XXX, FM-XXX, NT-XXX`
`malwareName`	Nome do malware detectado (Nome do malware)	`FFTP-XXX`
`malwareType`	Tipo do malware detectado (Tipo de malware)	`FFTP-XXX`
`fileHashMd5`	Hash MD5 do arquivo malicioso (hash de arquivo (MD5))	`FFTP-XXX`
`fileHashSha256`	Hash SHA256 do arquivo malicioso (Hash de arquivo (SHA256))	`FFTP-XXX`
`cat`	Nome da categoria de evento dentro do componente Proteção Contra Ameaças ao Arquivo (Categoria de evento)	`FFTP-XXX`
`ownerId`	ID do usuário que iniciou o arquivo malicioso (ID do proprietário)	`FFTP-XXX`
`objectId`	ID do objeto detectado pelo componente de Proteção Contra Ameaças ao Arquivo (ID do objeto)	`FFTP-XXX`
`operInitiator`	Iniciador de uma operação com um contêiner (iniciador de operação)	`FCL-XXX`
`fileType`	Tipo do objeto com o qual o evento ocorreu (Tipo de objeto)	`RBAC-XXX`
`privileged`	Se o contêiner tem acesso privilegiado a todos os objetos no dispositivo host (privileged)	`FCL-XXX`
`roRootFs`	Se a gravação no sistema de arquivos raiz do contêiner for proibida (ReadonlyRootfs)	`FCL-XXX`
`mountVolumes`	Diretórios montados do contêiner (volumes montados)	`FCL-XXX`
`expPorts`	Portas associadas que permitem o encaminhamento de tráfego de uma porta em um dispositivo host para uma porta do contêiner (portas expostas)	`FCL-XXX`
`boundingCaps`	Conjunto máximo de funcionalidades que pode ser atribuído a um processo ou contêiner ou usado por um processo ou contêiner (Capacidades limites)	`FCL-XXX`
`effectiveCaps`	Conjunto de funcionalidades disponíveis para um processo ou contêiner (Capacidades efetivas)	`FCL-XXX`
`inheritableCaps`	Conjunto de funcionalidades herdadas por processos de seu processo pai (Recursos herdáveis)	`FCL-XXX`
`permittedCaps`	Funcionalidade que define os recursos potencialmente disponíveis para o processo (Capacidades permitidas)	`FCL-XXX`
`flexDate1`	Data do evento	Em todos os eventos, com exceção de `PM-XXX, FM-XXX, NT-XXX`
`flexDate2`	Data de expiração do risco aceito (data de expiração)	`CVE-XXX, MLW-XXX, SD-XXX, MS-XXX`
`requestMethod`	Método de autorização no sistema operacional host (método de conexão)	`FHL-XXX`
`app`	Protocolo (SSH, TELNET, RDP) usado para autorização no sistema operacional host (protocolo do aplicativo)	`FHL-XXX`

Topo da página