source

Домен (имя пода) источника события (англ. Source name).

Во всех событиях

src

Один из следующих IP-адресов в сети IPv4 (англ. Source IP Address):

• для сетевого трафика – IP-адрес источника соединения;
• для событий администрирования – IP-адрес инициатора действия.

ADM-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX, CI-ХХХ, PLC-ХХХ, API-ХХХ, NT-ХХХ, FNT-XXX, FHL-XXX

reason

Описание причины статуса выполнения Ошибка (англ. Reason)

Во всех событиях со статусом выполнения Ошибка, кроме AG-XXX, PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX

fname

Один из следующих типов артефактов (англ. Artifact name):

• имя образа (артефакта);
• для RBAC-XXX – название объекта с которым произошло событие.

ADM-XXX, CMP-XXX, NCMP-XXX, CI-ХХХ, PLC-ХХХ, SJ-ХХХ, RBAC-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX

suser

Имя пользователя, который инициировал действие (англ. Source username)

ADM-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX, CI-ХХХ, PLC-ХХХ, API-ХХХ, NT-ХХХ, FNT-XXX, FHL-XXX

duser

Имя пользователя, в отношении которого было совершено действие (англ. Destination username)

ADM-XXX, FHL-XXX

dpid

Идентификатор процесса (англ. PID)

PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FFTP-XXX, FLP-XXX, FHL-XXX

spid

Идентификатор родительского процесса (англ. PPID)

PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FLP-XXX, FHL-XXX

flexString1

Действующий идентификатор группы (англ. EGID)

PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FLP-XXX

Тип политики безопасности (англ. Policy type)

ADM-XXX, CI-XXX, PLC-XXX

Название отчета (англ. Report name)

ADM-XXX

Уровень опасности обнаруженного объекта (англ. Detect danger level)

FFTP-XXX

Мониторинг состояния узлов (англ. Node monitoring)

AG-XXX

flexString2

Идентификатор контейнера (англ. Container ID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FLP-XXX, FCL-XXX

Название политики (англ. Policy name)

ADM-XXX, CI-XXX, PLC-XXX, RT-XXX

Название области применения (англ. Application scope name)

ADM-XXX

flexString3

Возвращаемое значение при выполнении (англ. Return Value)

PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX

Тип интеграции с модулями проверки подписей образов (англ. Image sign validator type)

ADM-XXX

flexString4

Названия связанных политик, из-за которых выявлен инцидент при исследовании событий безопасности (англ. Related policies)

FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX, FLP-XXX

Название интеграции с модулями проверки подписей образов (англ. Image sign validator name)

ADM-XXX

outcome

Статус или режим выполнения (англ. Status). Значение определяется следующим образом:

• Для событий среды выполнения (PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX) указывается значение режима выполнения (Аудит, Блокирование или Другое).
• Для событий логирования авторизаций на хосте показывает результат входа в ОС хоста (Успешно или Ошибка).
• Для остальных событий указывается статус выполнения (Успешно или Ошибка). При статусе выполнения Ошибка решение также передает текст ошибки или код ошибки (reason).

Во всех событиях

request

Имя образа (англ. Image name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX, FCL-XXX

fileHash

Хеш образа (англ. Image digest)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX, FCL-XXX

act

Один из следующих типов операции (англ. Action):

• для файловых операций – тип операции (open, close, read, write, create, delete, chmod, chown, rename);
• для сетевого трафика – направление и тип трафика (egress, ingress, egress_response, ingress_response);
• для процессов – значение exec;
• для операций компонента Защита от файловых угроз – значение ftp;
• для логирования авторизаций в ОС хоста – тип локального подключения.

FM-ХХХ, FFM-XXX, FCL-XXX, RBAC-XXX, ADM-XXX, CVE-XXX, MLW-XXX, SD-XXX, MS-XXX, FHL-XXX

spt

Порт источника соединения (англ. Source port)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX

dst

IP-адрес точки назначения соединения в сети IPv4 (англ. Destination IP)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX

dpt

Порт точки назначения соединения (англ. Destination port)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX

dproc

Название процесса (команда) (англ. Process name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX

duid

Один из следующих параметров:

• Действующий идентификатор пользователя (англ. EUID).
• Для событий логирования авторизации в ОС хоста – идентификатор пользователя, под которым осуществлялся вход.

PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FFTP-XXX, FLP-XXX, FHL-XXX

filePermission

Один из следующих наборов прав (англ. File Permission):

• для FM-ХХХ, FFM-XXX – права доступа к файлу;
• для FCL-XXX – набор функциональных возможностей контейнера.

FM-ХХХ, FFM-XXX, FCL-XXX

oldFilePath

Ранее использованный путь к файлу (англ. Old File Path)

FM-ХХХ, FFM-XXX

filePath

Путь к файлу (англ. Path)

Для событий доступа к объектам файловой системы контейнера filePath используется для передачи информации о новом пути к файлу (англ. New file path).

PM-ХХХ, FM-ХХХ, FPM-XXX, FFM-XXX, FFTP-XXX, FCL-XXX

deviceDirection

Тип соединения (англ. Traffic type)

Для входящих соединений указывается 0, для исходящих соединений – 1.

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX

cn1

Новый идентификатор процесса (англ. New PID)

PM-ХХХ, FPM-XXX

Общее количество событий этого типа на узле за минуту (англ.Total events per minute)

AG-XXX

cn2

Количество потерянных событий на узле за минуту (англ. Lost events amount)

AG-XXX

cn3

Процентное соотношение потерянных событий за минуту (англ. Lost events percentage)

AG-XXX

cs1

Имя кластера (англ. Cluster name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX, FLP-XXX, FCL-XXX, RBAC-XXX, BNCH-XXX, FHL-XXX

Название роли (англ. Role name)

ADM-XXX

Название принятого риска (англ. Risk name)

CVE-XXX, MLW-XXX, SD-XXX, MS-XXX

Название сканера (англ. Scanner name)

SJ-XXX

Путь, к которому обратился пользователь (англ. End point)

API-XXX

cs2

Имя узла (англ. Node name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FLP-XXX, FCL-XXX, BNCH-XXX, AG-XXХ, FHL-XXX

Пользователь, инициировавший изменение (англ. RBAC initiator)

RBAC-XXX

Название LDAP-группы, в которую входит пользователь (англ. Active Directory group name)

ADM-XXX

Идентификатор задания на сканирование, примененное сканером (англ. Job ID)

SJ-XXX

cs3

Название пространства имен (англ. Namespace name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FLP-XXX, FCL-XXX, RBAC-XXX

Название измененного репозитория (англ. Repository name)

ADM-XXX

Название сработавшего правила отраслевого стандарта (англ. Benchmark name)

BNCH-XXX

Название терминала, через который осуществлялась попытка входа (англ. TTY)

FHL-XXX

Название агента (англ. Agent name)

AG-XXX

Название компонента (англ. Component name)

CORE-XXX

cs4

Выполняемая команда (англ. Command)

PM-ХХХ, FPM-XXX

Информация о новом владельце (англ. New owner)

FM-ХХХ, FFM-XXX

Информация о группах, в которых состоит инициатор (англ. Initiator groups)

RBAC-XXX

Имя реестра образов (англ. Registry name)

ADM-XXX

Работа файлового перехватчика, который включен в параметрах компонента Защита от файловых угроз в профиле среды выполнения контейнера (англ. File interceptor mode);

FFTP-XXX

Команда из командной строки (cmd) при операции sudo (англ. Operation).

FHL-XXX

cs5

Имя пода (англ. Pod name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX, CORE-XXX

Тип интеграции со средствами уведомления (англ. Integration type)

ADM-XXX

cs6

Имя контейнера (англ. Container name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX

Название интеграции (англ. Integration name)

ADM-XXX

cs7

IP адрес узла (англ. Node IP)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FFM-XXX, FNT-XXX, FFTP-XXX, FCL-XXX, RBAC-XXX, AG-XXX, FHL-XXX

Адрес подключенного LDAP-сервера (англ. Server name)

ADM-XXX

cs8

Уникальный идентификатор экземпляра Kaspersky Security для контейнеров (англ. KСS ID)

KСS ID не меняется при изменении пода.

Во всех событиях, кроме PM-ХХХ, FM-ХХХ, NT-ХХХ

cs9

Идентификатор события в ClickHouse (англ. Event ID)

Во всех событиях, кроме PM-ХХХ, FM-ХХХ, NT-ХХХ

malwareName

Название обнаруженного вредоносного ПО (англ. Malware name)

FFTP-XXX

malwareType

Тип обнаруженного вредоносного ПО (англ. Malware type)

FFTP-XXX

fileHashMd5

Хеш вредоносного файла в формате MD5 (англ. File hash (MD5))

FFTP-XXX

fileHashSha256

Хеш вредоносного файла в формате SHA256 (англ. File hash (SHA256))

FFTP-XXX

cat

Название категории события в рамках компонента Защита от файловых угроз (англ. Event category)

FFTP-XXX

ownerId

Идентификатор пользователя, который запустил вредоносный файл (англ. Owner ID)

FFTP-XXX

objectId

Идентификатор объекта, обнаруженного в рамках компонента Защита от файловых угроз (англ. Object ID)

FFTP-XXX

operInitiator

Инициатор операции над контейнером (англ. Operation initiator)

FCL-XXX

fileType

Тип объекта, с которым произошло событие (англ. Object type)

RBAC-XXX

privileged

Наличие привилегированного доступа у контейнера ко всем объектам на хост-устройстве (англ. Privileged)

FCL-XXX

roRootFs

Наличие запрета на запись в корневую файловую систему контейнера (англ. ReadonlyRootfs)

FCL-XXX

mountVolumes

Монтируемые директории контейнера (англ. Mounted volumes)

FCL-XXX

expPorts

Связанные порты, позволяющие трафику перенаправляться с порта на хост-устройстве в порт контейнера (англ. Exposed ports)

FCL-XXX

boundingCaps

Максимальный набор функциональных возможностей, который может быть назначен процессу или контейнеру, либо использован процессом или контейнером (англ. Bounding capabilities)

FCL-XXX

effectiveCaps

Доступный процессу или контейнеру набор функциональных возможностей (англ. Effective capabilities)

FCL-XXX

inheritableCaps

Наследуемый процессами от родительского процесса набор функциональных возможностей (англ. Inheritable capabilities)

FCL-XXX

permittedCaps

Функциональные возможности, определяющие потенциально доступные для процесса возможности (англ. Permitted capabilities)

FCL-XXX

flexDate1

Дата возникновения события (англ. Event date)

Во всех событиях, кроме PM-ХХХ, FM-ХХХ, NT-ХХХ

flexDate2

Дата истечения принятого риска (англ. Expiration date)

CVE-XXX, MLW-XXX, SD-XXX, MS-XXX

requestMethod

Способ авторизации на ОС хоста (англ. Connection method)

FHL-XXX

app

Протокол, по которому осуществлялась авторизация на ОС хоста (SSH, TELNET, RDP) (англ. Application protocol)

FHL-XXX