Название поля

Тип поля

Описание

AggregationRuleName

внутренний

Название правила агрегации, которое обработало событие.

BaseEventIDs

внутренний

Идентификаторы базовых событий, на основе которых было создано корреляционное событие.

Code

внутренний

В базовом событии это код возврата процесса, функции или операции из источника.

В корреляционном событии в это поле записывается код алерта для первой линии поддержки, либо код шаблона уведомления, которое будет отправлено.

CorrelationRuleName

внутренний

Заполняется только для корреляционного события.

Название корреляционного правила, которое породило корреляционное событие.

ID

внутренний

Уникальный идентификатор события типа UID.

Для базового события, генерируемого на коллекторе, идентификатор генерируется коллектором.

Идентификатор корреляционного события генерируется коррелятором.

Идентификатор никогда не меняет своего значения.

Событие в Хранилище можно искать по этому идентификатору.

Raw

внутренний

Неизмененный текст исходного события.

Score

внутренний

Заполняется у событий, которые были обработаны сработавшим правилом корреляции. Это уровень важности выявленного алерта, который был задан в правиле корреляции.

ServiceAddress

внутренний

IP-адрес хоста, на котором развернут сервис.

ServiceID

внутренний

Идентификатор экземпляра сервиса ― коррелятора, коллектора, хранилища.

ServiceKind

внутренний

Категория сервиса: коррелятор, коллектор, хранилище

ServiceName

внутренний

Название экземпляра сервиса, которое дает администратор KUMA при создании сервиса.

Tactic

внутренний

Название тактики из MITRE

Technique

внутренний

Название техники из MITRE

Timestamp 

внутренний

Время создания базового события на коллекторе.

Время создания корреляционного события на коллекторе.

Время указывается в UTC0.

Extra

внутренний

Поле для маппинга нераспарсенного значения при нормализации события.

TICategories

внутренний

Поле, в котором будут содержаться категории, которые были получены от внешнего TI по индикаторам из события.

DeviceVendor

CEF

Название производителя источника журнала. Значение берется из "сырого" события.

DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.

DeviceProduct

CEF

Название продукта из источника журнала. Значение берется из "сырого" события.

DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.

DeviceVersion

CEF

Версия продукта из источника журнала. Значение берется из "сырого" события.

DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.

DeviceEventClassID

CEF

Уникальный идентификатор типа события из источника журнала. Некоторые источники журнала определяют категорию событий.

Name

CEF

Название события в "сыром" событии.

Severity

CEF

Уровень важности ошибки из "сырого" события.

Это может быть поле Severity или поле Level и т.п., зависит от журнала.

DeviceAction

CEF

Действие, совершенное устройством.

Действие, которое было предпринято производителем источника лога.

Например, blocked, detected.

ApplicationProtocol

CEF

Протокол уровня приложений (HTTP, HTTPS, Telnet и т.д.)

DeviceCustomIPv6Address1

CEF

Поле для маппинга значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных.

Может использоваться для обработки логов сетевых устройств, где необходимо отличать IP-адреса разных устройств (для брандмауэров и т.п.).

Поле кастомизируется.

DeviceCustomIPv6Address1Label

CEF

Поле для описания назначения поля DeviceCustomIPv6Address1.

DeviceCustomIPv6Address2

CEF

Поле для маппинга значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных.

Может использоваться для обработки логов сетевых устройств, где необходимо отличать IP-адреса разных устройств (для брандмауэров и т.п.).

Поле кастомизируется.

DeviceCustomIPv6Address2Label

CEF

Поле для описания назначения поля DeviceCustomIPv6Address2.

DeviceCustomIPv6Address3

CEF

Поле для маппинга значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных.

Может использоваться для обработки логов сетевых устройств, где необходимо отличать IP-адреса разных устройств (для брандмауэров и т.п.).

Поле кастомизируется.

DeviceCustomIPv6Address3Label

CEF

Поле для описания назначения поля DeviceCustomIPv6Address3.

DeviceCustomIPv6Address4

CEF

Поле для маппинга значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных.

Может использоваться для обработки логов сетевых устройств, где необходимо отличать IP-адреса разных устройств (для брандмауэров и т.п.).

Поле кастомизируется.

DeviceCustomIPv6Address4Label

CEF

Поле для описания назначения поля DeviceCustomIPv6Address4.

DeviceEventCategory

CEF

Категория "сырого" события из схемы определения категорий событий производителя лога.

DeviceCustomFloatingPoint1

CEF

Поле для маппинга значения типа Float, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomFloatingPoint1Label

CEF

Поле для описания назначения поля DeviceCustomFloatingPoint1.

DeviceCustomFloatingPoint2

CEF

Поле для маппинга значения типа Float, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomFloatingPoint2Label

CEF

Поле для описания назначения поля DeviceCustomFloatingPoint2.

DeviceCustomFloatingPoint3

CEF

Поле для маппинга значения типа Float, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomFloatingPoint3Label

CEF

Поле для описания назначения поля DeviceCustomFloatingPoint3.

DeviceCustomFloatingPoint4

CEF

Поле для маппинга значения типа Float, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomFloatingPoint4Label

CEF

Поле для описания назначения поля DeviceCustomFloatingPoint4.

DeviceCustomNumber1

CEF

Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomNumber1Label

CEF

Поле для описания назначения поля DeviceCustomNumber1.

DeviceCustomNumber2

CEF

Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomNumber2Label

CEF

Поле для описания назначения поля DeviceCustomNumber2.

DeviceCustomNumber3

CEF

Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomNumber3Label

CEF

Поле для описания назначения поля DeviceCustomNumber3.

BaseEventCount

CEF

Для корреляционного события ― это количество базовых событий, которые были обработаны корреляционным правилом, которое создало корреляционное событие.
Для "свернутого базового события" – это количество базовых событий, которые были обработаны правилом агрегации.

DeviceCustomString1

CEF

Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomString1Label

CEF

Поле для описания назначения поля DeviceCustomString1.

DeviceCustomString2

CEF

Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomString2Label

CEF

Поле для описания назначения поля DeviceCustomString2.

DeviceCustomString3

CEF

Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomString3Label

CEF

Поле для описания назначения поля DeviceCustomString3.

DeviceCustomString4

CEF

Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomString4Label

CEF

Поле для описания назначения поля DeviceCustomString4.

DeviceCustomString5

CEF

Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomString5Label

CEF

Поле для описания назначения поля DeviceCustomString5.

DeviceCustomString6

CEF

Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

DeviceCustomString6Label

CEF

Поле для описания назначения поля DeviceCustomString6.

DestinationDnsDomain

CEF

DNS-часть полного доменного имени (FQDN) точки назначения, если "сырое" событие содержит сведения об отправителе и получателе данных.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationServiceName

CEF

Название сервиса на стороне приемника трафика. Например, "sshd".

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationTranslatedAddress

CEF

IP-адрес устройства приемника трафика (после трансляции).

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationTranslatedPort

CEF

Номер порта на устройстве приемника трафика (после трансляции адреса приемника).

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DeviceCustomDate1

CEF

Поле для маппинга значения типа Timestamp, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

Время указывается в UTC0.

DeviceCustomDate1Label

CEF

Поле для описания назначения поля DeviceCustomDate1.

DeviceCustomDate2

CEF

Поле для маппинга значения типа Timestamp, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

Время указывается в UTC0.

DeviceCustomDate2Label

CEF

Поле для описания назначения поля DeviceCustomDate2.

DeviceDirection

CEF

Поле для описания направления соединения из "сырого" события.
0 – входящее соединение
1 – исходящее соединение

DeviceDnsDomain

CEF

DNS-часть полного доменного имени (FQDN) IP-адреса устройства, с которого пришло "сырое" событие.

DeviceExternalID

CEF

Внешний уникальный идентификатор устройства (продукта), если такой передается в "сыром" событии.

DeviceFacility

CEF

Facility из "сырого" события, если есть.

Например, в Syslog в поле Facility может передаваться название компоненты ОС, в которой произошла ошибка.

DeviceInboundInterface

CEF

Название интерфейса входящего соединения.

DeviceNtDomain

CEF

Доменное имя Windows устройства

DeviceOutboundInterface

CEF

Название интерфейса исходящего соединения.

DevicePayloadID

CEF

Уникальный идентификатор полезной нагрузки, который ассоциирован с "сырым" событием.

DeviceProcessName

CEF

Название процесса из "сырого" события

DeviceTranslatedAddress

CEF

Ретранслированный IP-адрес устройства, с которого пришло "сырое" событие.

DestinationHostName

CEF

Название хоста приемника трафика. Полное доменное имя приемника трафика, если доступно.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationMacAddress

CEF

MAC-адрес устройства приемника трафика.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationNtDomain

CEF

Доменное имя Windows устройства приемника трафика.
Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationProcessID

CEF

Идентификатор системного процесса, ассоциированного с приемником трафика в "сыром" событии.

Например, если в событии указано Process ID 105, то DestinationProcessId=105

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationUserPrivileges

CEF

Названия security ролей, которые идентифицируют пользовательские привилегии на стороне точки назначения.

Например, "User", "Guest", "Administrator" и т.п.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationProcessName

CEF

Название системного процесса в точке назначения.

Например, "sshd", "telnet" и т.п.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationPort

CEF

Номер порта на стороне точке назначения.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationAddress

CEF

IPv4-адрес точки назначения.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DeviceTimeZone

CEF

Часовой пояс устройства, на котором было сгенерировано событие

DestinationUserID

CEF

Идентификатор пользователя на стороне точки назначения.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DestinationUserName

CEF

Имя пользователя на стороне точки назначения. Может содержать адрес электронной почты пользователя.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

DeviceAddress

CEF

IPv4-адрес устройства, с которого получено событие.

DeviceHostName

CEF

Название хоста устройства, с которого было получено событие. Полное доменное имя устройства, если доступно.

DeviceMacAddress

CEF

MAC-адрес устройства, с которого было получено событие. Полное доменное имя устройства, если доступно.

DeviceProcessID

CEF

Идентификатор системного процесса устройства, которое создало событие.

EndTime

CEF

Время завершения события.

Время указывается в UTC0.

ExternalID

CEF

Идентификатор устройства, которое создало событие.

FileCreateTime

CEF

Время создания файла из события.

Время указывается в UTC0.

FileHash

CEF

Хеш-код файла.

FileID

CEF

Идентификатор файла, если есть.

FileModificationTime

CEF

Время последней модификации файла.

Время указывается в UTC0.

FilePath

CEF

Путь к файлу, включая имя файла.

FilePermission

CEF

Список разрешений к файлу.

FileType

CEF

Тип файла.

Например, application, pipe, socket и т.п.

FlexDate1

CEF

Поле для маппинга значения типа Timestamp, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

Время указывается в UTC0.

FlexDate1Label

CEF

Поле для описания назначения поля flexDate1Label.

FlexString1

CEF

Поле для маппинга значения типа String, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

FlexString1Label

CEF

Поле для описания назначения поля flexString1Label.

FlexString2

CEF

Поле для маппинга значения типа String, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

FlexString2Label

CEF

Поле для описания назначения поля flexString2Label.

FlexNumber1

CEF

Поле для маппинга целочисленного типа, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

FlexNumber1Label

CEF

Поле для описания назначения поля flexNumber1Label.

FlexNumber2

CEF

Поле для маппинга целочисленного типа, которое не может быть сопоставлено любому другому элементу модели данных.

Поле кастомизируется.

FlexNumber2Label

CEF

Поле для описания назначения поля flexNumber2Label.

FileName

CEF

Имя файла, без указания пути к файлу.

FileSize

CEF

Размер файла

BytesIn

CEF

Количество полученных байтов, которые были получены источником и переданы получателю.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

Message

CEF

Краткое описание ошибки (проблемы) из события.

OldFileCreateTime

CEF

Время создания old-файла из события.

Время указывается в UTC0.

OldFileHash

CEF

Хеш-код old-файла.

OldFileID

CEF

Идентификатор old-файла, если есть.

OldFileModificationTime

CEF

Время последней модификации old-файла.

Время указывается в UTC0.

OldFileName

CEF

Имя old-файла (без пути).

OldFilePath

CEF

Путь к old-файлу, включая имя файла.

OldFilePermission

CEF

Список разрешений к old-файлу.

OldFileSize

CEF

Размер old-файла.

OldFileType

CEF

Тип файла.

Например, application, pipe, socket и т.п.

BytesOut

CEF

Количество отправленных байтов.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

EventOutcome

CEF

Результат выполнения Action.

Например, "success", "failure".

TransportProtocol

CEF

Название протокола 4-уровня OSI (TCP, UDP и т.п.).

Reason

CEF

Краткое описание причины аудита в сообщениях аудита.

RequestUrl

CEF

Запрошенный URL.

RequestClientApplication

CEF

Агент, который обрабатывал Request.

RequestContext

CEF

Описание контекста запроса.

RequestCookies

CEF

Файлы cookie, связанные с запросом.

RequestMethod

CEF

Метод, который использовался для доступа к веб-адресу (POST, GET и т.п.).

DeviceReceiptTime

CEF

Время получения события.

Время указывается в UTC0.

SourceHostName

CEF

Название хоста источника трафика. Полное доменное имя источника трафика, если доступно.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceDnsDomain

CEF

Доменное имя Windows устройства источника трафика.
Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceServiceName

CEF

Название сервиса на стороне источника трафика. Например, "sshd".

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceTranslatedAddress

CEF

IPv4-адрес перехода источника.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceTranslatedPort

CEF

Номер порта перехода на стороне источника.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceMacAddress

CEF

MAC-адрес устройства источника трафика.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceNtDomain

CEF

Доменное имя Windows устройства источника трафика.Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceProcessID

CEF

Идентификатор системного процесса, ассоциированного с источником трафика в "сыром" событии.

Например, если в событии указано Process ID 105, то SourceProcessId=105

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceUserPrivileges

CEF

Названия security ролей, которые идентифицируют пользовательские привилегии на стороне источника.

Например, "User", "Guest", "Administrator" и т.п.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceProcessName

CEF

Название системного процесса на стороне источника.

Например, "sshd", "telnet" и т.п.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourcePort

CEF

Номер порта на стороне источника.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceAddress

CEF

IPv4-адрес источника.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

StartTime

CEF

Время, когда началось связанное с событием действие.

SourceUserID

CEF

Идентификатор пользователя на стороне источника.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

SourceUserName

CEF

Имя пользователя на стороне источника. Может содержать адрес электронной почты пользователя.

Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.

Type

CEF

Доступны следующие значения:

• 1 – базовое событие.
• 2 – агрегированное событие.
• 3 – корреляционное событие.
• 4 – событие аудита.
• 5 – событие мониторинга.

CorrelationBucketHash

CEF

Ключ Correlation Bucket. При формировании ключа используются поля корреляционного события.

Используется при формировании уведомлений пользователю.

GroupedBy

CEF

Список названия полей, по которым была группировка в корреляционном правиле. Заполняется только для корреляционного события.

tenantID

CEF

Идентификатор тенанта