Cabeçalho padrão da mensagem CEF (cabeçalho syslog)

O cabeçalho é enviado no seguinte formato: <data> <hora> <nome de host do servidor>.

Feb 18 10:07:28 host

versão e prefixo do formato CEF

<CEF>:<versão>

CEF:0

ID do evento

Fornecedor da solução (fornecedor do dispositivo)

Nome da solução (produto do dispositivo)

Versão da solução (versão do dispositivo)

Kaspersky

Kaspersky Container Security

2.1

ID exclusivo do tipo de evento (ID da assinatura)

O Kaspersky Container Security envia os seguintes IDs de tipo de evento:

• ADM-ХХХ: Evento de administração.
• CVE-XXX: Aceitação de riscos relativos a uma vulnerabilidade ou a expiração dessa aceitação de riscos.
• MLW-XXX: Aceitação de riscos relativos a um malware ou a expiração dessa aceitação de riscos.
• NCMP-001: Não conformidade de uma imagem com os requisitos.
• CMP-001: Conformidade de uma imagem com os requisitos.
• SD-XXX: Aceitação de riscos relativos a dados sensíveis ou a expiração dessa aceitação de riscos.
• MS-XXX: Aceitação de riscos relativos a erros de configuração ou a expiração dessa aceitação de riscos.
• CI-ХХХ: Evento durante o processo de CI/CD.
• PLC-ХХХ: Evento durante a aplicação de uma política de segurança.
• BNCH-ХХХ: Evento durante a verificação do cluster e dos nós.
• AG-ХХХ: evento relacionado com a alteração do estado de um agente.
• SJ-ХХХ: Evento do verificador.
• RT-ХХХ: Evento de uma verificação de melhores práticas.
• API-ХХХ: Solicitação ao servidor da API.
• PM-ХХХ: Evento durante a implementação de processos.
• FM-ХХХ: Evento envolvendo o acesso a objetos no sistema de arquivos do contêiner.
• NT-ХХХ: Conexão de rede.
• FPM-XXX: Evento de violação da política de tempo de execução durante o processo
• FNT-XXX: Evento de violação da política de tempo de execução relacionada à conexão de rede
• FFM-XXX: Evento de violação da política de tempo de execução relacionada ao acesso a objetos no sistema de arquivos do contêiner
• FFTP-XXX: Evento de violação da política de tempo de execução relacionada à Proteção Contra Ameaças ao Arquivo
• FCL-XXX: Evento de violação da política de tempo de execução relacionada ao ciclo de vida do contêiner.
• RBAC-XXX: Evento relacionado a objetos RBAC (criar, modificar, excluir).
• FHL-XXX: um evento de autorização do sistema operacional host.
• CORE-XXX: um evento associado a uma alteração de estado do componente principal da solução.

Alguns dos IDs de tipo de evento enviados pela solução:

• ADM-001: Usuário 1 adicionou usuário 2.
• CVE-001: Usuário 1 aceitou riscos para imagem XXX.
• AG-002: Agente XXX está desconectado.
• BNCH-003: YYY foi passado durante a verificação de XXX
• PLC-001: YYY foi aplicada a XXX
• NCMP-001: Imagem XXX foi marcada como fora de conformidade.
• SD-008: aceitação de riscos XXX expira

Descrição do evento (nome)

A descrição deve ser legível pelo usuário e pertinente ao ID de tipo de evento. Por exemplo, "Administração" para ADM ou "Gerenciamento de processos" para PM.

Alguns dos nomes de evento enviados pela solução:

• Gerenciamento de processos
• Gerenciamento de arquivos
• Networking

Importância do evento (gravidade)

A gravidade do evento numa escala de 0 a 10 é determinada da seguinte maneira:

• 0–3: Baixa
• 4–6: Média
• 7–8: Alta
• 9–10: Muito alta

A pontuação de gravidade de um evento depende do tipo e do status do evento (Success ou Failure).

Por exemplo, a pontuação da gravidade pode ser determinada da seguinte maneira:

• Para eventos de PM (Gerenciamento de processos) e NT (Networking):
  • Se o status do evento é Auditado ou Bloqueado, a gravidade é 7.
  • Para qualquer outro status, a gravidade é 3.
• Para eventos de AG (Agents):
  • Se o evento for bem-sucedido, a gravidade é 5.
  • Se ocorrer um erro, a gravidade é 10.
• Para eventos de API:
  • Se o evento for bem-sucedido, a gravidade é 3.
  • Se ocorrer um erro, a gravidade é 8.

Informações adicionais sobre o evento (Extensão)

Informações adicionais podem incluir um ou mais conjuntos de pares chave-valor.

Informações sobre os pares chave-valor que o Kaspersky Container Security transfere são fornecidas abaixo.