Стандартный заголовок CEF-сообщения (англ. syslog header)

Заголовок передается в следующем виде: <дата> <время> <имя хост-сервера>.

Feb 18 10:07:28 host

Префикс и версия формата CEF

<CEF>:<версия>

CEF:0

Идентификатор события

Производитель решения (англ. Device Vendor)

Название решения (англ. Device Product)

Версия решения (англ. Device Version)

Kaspersky

Kaspersky Container Security

2.1

Уникальный идентификатор типа события (англ. Signature ID)

Kaspersky Security для контейнеров передает следующие идентификаторы типов события:

• ADM-ХХХ – событие администрирования.
• CVE-ХХХ – принятие риска в отношении уязвимости или истечение срока действия принятия такого риска.
• MLW-ХХХ – принятие риска в отношении вредоносного ПО или истечение срока действия принятия такого риска.
• NCMP-001 – несоответствие образа требованиям.
• CMP-001 – соответствие образа требованиям.
• SD-ХХХ – принятие риска в отношении конфиденциальных данных или истечение срока действия принятия такого риска.
• MS-ХХХ – принятие риска в отношении ошибок конфигурации или истечение срока действия принятия такого риска.
• CI-ХХХ – событие в процессе CI/CD.
• PLC-ХХХ – событие при применении политики безопасности.
• BNCH-ХХХ – событие при проверке кластера и узлов.
• AG-ХХХ – событие, связанное с изменением состояния агентов.
• SJ-ХХХ – событие при работе сканера.
• RT-ХХХ – событие при проверке на соответствие лучшим практикам.
• API-ХХХ – запрос к API-серверу.
• PM-ХХХ – событие при реализации процессов.
• FM-ХХХ – событие доступа к объектам файловой системы контейнера.
• NT-ХХХ – сетевое соединение.
• FPM-XXX – событие нарушения политики среды выполнения при реализации процесса.
• FNT-XXX – событие нарушения политики среды выполнения сетевого соединения.
• FFM-XXX – событие нарушения политики среды выполнения доступа к объектам файловой системы контейнера.
• FFTP-XXX – событие нарушения политики среды выполнения в рамках компонента Защита от файловых угроз.
• FCL-XXX – событие нарушения политики среды выполнения жизненного цикла контейнера.
• RBAC-XXX – событие, связанное с объектами RBAC (создание, изменение, удаление).
• FHL-XXX – событие авторизации в ОС хоста.
• CORE-XXX – событие, связанное с изменением состояния компонентов ядра решения.

Некоторые из передаваемых решением идентификаторов типов событий:

• ADM-001: User 1 added user 2 (Пользователь 1 добавил пользователя 2).
• CVE-001: User 1 accepted risk for image XXX (Пользователь 1 принял риск в отношении образа ХХХ).
• AG-002: Agent XXX is disconnected (Агент ХХХ отключен).
• BNCH-003: YYY was passed while scanning XXX (Проверка YYY успешно пройдена при сканировании кластера ХХХ).
• PLC-001: YYY was applied to image XXX (Политика YYY применена к образу ХХХ).
• NCMP-001: Image XXX was marked as non-compliant (Образ ХХХ признан несоответствующим требованиям).
• SD-008: XXX risk acceptance expires (Срок действия для принятия риска ХХХ истекает).

Описание события (англ. Name)

Передаваемое описание должно быть понятным пользователю и соотноситься с идентификатором типа события. Например, ADM – администрирование или PM – управление процессом.

Некоторые из передаваемых решением описаний событий:

• Process management
• File management
• Networking

Критичность (важность) события (англ. Severity)

Критичность события определяется по шкале от 0 до 10 следующим образом:

• 0-3 – низкий уровень.
• 4-6 – средний уровень.
• 7-8 – высокий уровень.
• 9–10 – очень высокий уровень.

Критичность события оценивается в зависимости от типа события и статуса выполнения (Успешно или Ошибка).

Критичность оценивается, например, следующим образом:

• Для событий PM (Process management) и NT (Networking):
  • Если статус события Audited или Blocked, критичность 7.
  • Если у события другой статус, критичность 3.
• Для событий AG (Agents):
  • Если событие выполнено успешно, критичность 5.
  • Если событие выполнено с ошибкой, критичность 10.
• Для событий API:
  • Если событие выполнено успешно, критичность 3.
  • Если событие выполнено с ошибкой, критичность 8.

Дополнительная информация о событии (англ. Extension)

Дополнительная информация может включать в себя один или несколько наборов пар "ключ – значение".

Информация о наборах пар "ключ – значение", которые передает Kaspersky Security для контейнеров, представлена по ссылке ниже.