Kaspersky Unified Monitoring and Analysis Platform
3.2
Русский

Содержание

События аудита KUMA

События аудита создаются при выполнении в KUMA определенных действий, связанных с безопасностью, и используются для обеспечения целостности системы.

Чтобы просмотреть события аудита, перейдите в раздел KUMA События и добавьте в запрос SELECT * FROM 'events' WHERE Type=4.

В результате выполнения запроса в разделе События отобразятся события аудита, если роль пользователя предусматривает права для просмотра событий аудита.

В этом разделе

Поля событий с общей информацией

Пользователь успешно вошел в систему или не смог войти

Логин пользователя успешно изменен

Роль пользователя успешно изменена

Другие данные пользователя успешно изменены

Пользователь успешно вышел из системы

Пароль пользователя успешно изменен

Пользователь успешно создан

Пользователю успешно назначена роль

Роль пользователя успешно отозвана

Пользователь успешно изменил настройки набора полей для определения источников

Токен доступа пользователя успешно изменен

Сервис успешно создан

Сервис успешно удален

Сервис успешно перезагружен

Сервис успешно перезапущен

Сервис успешно запущен

Сервис успешно сопряжен

Статус сервиса изменен

Зарегистрирован алерт Victoria Metrics для сервиса

Пороговые значения параметров мониторинга сервисов изменены

Раздел хранилища удален пользователем

Раздел хранилища автоматически удален в связи с истечением срока действия

Активный лист успешно очищен или операция завершилась с ошибкой

Элемент активного листа успешно изменен или операция завершилась с ошибкой

Элемент активного листа успешно удален или операция завершилась с ошибкой

Активный лист успешно импортирован или операция завершилась с ошибкой

Активный лист успешно экспортирован

Ресурс успешно добавлен

Ресурс успешно удален

Ресурс успешно обновлен

Актив успешно создан

Актив успешно удален

Категория актива успешно добавлена

Категория актива успешно удалена

Параметры успешно обновлены

Тенант успешно создан

Тенант успешно включен

Тенант успешно выключен

Другие данные тенанта успешно изменены

Изменена политика хранения данных после изменения дисков

Словарь успешно обновлен на сервисе или операция завершилась ошибкой

Ответ в Active Directory

Реагирование через KICS for Networks

Реагирование через Kaspersky Automated Security Awareness Platform

Реагирование через KEDR
В начало
[Topic 217744]

Поля событий с общей информацией

Каждое событие аудита имеет поля событий, описанные ниже.

Название поля события

Значение поля

ID

Уникальный идентификатор события в виде UUID.

Timestamp

Время события.

DeviceHostName

Хост источника события. Для событий аудита это имя хоста, на котором установлена служба kuma-core, потому что она является источником событий.

DeviceTimeZone

Часовой пояс системного времени сервера, на котором установлено Ядро KUMA в формате +-чч:мм.

Type

Тип события аудита. Событию аудита соответствует значение 4.

TenantID

Идентификатор главного тенанта.

DeviceVendor

Kaspersky

DeviceProduct

KUMA

EndTime

Время создания события.

В начало
[Topic 217865]

Пользователь успешно вошел в систему или не смог войти

Название поля события

Значение поля

DeviceAction

user login

EventOutcome

succeeded или failed – статус зависит от исхода операции.

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя.

SourceUserID

Идентификатор пользователя.

Message

Описание ошибки; появляется только в том случае, если при входе в систему произошла ошибка. В противном случае поле будет пустым.

В начало
[Topic 218034]

Логин пользователя успешно изменен

Название поля события

Значение поля

DeviceAction

user login changed

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных.

SourceUserID

ID пользователя, который использовался для изменения данных.

DestinationUserName

Логин пользователя, данные которого были изменены.

DestinationUserID

ID пользователя, данные которого были изменены.

DeviceCustomString1

Текущее значение логина.

DeviceCustomString1Label

new login

DeviceCustomString2

Значение логина до его изменения.

DeviceCustomString2Label

old login

В начало
[Topic 218028]

Роль пользователя успешно изменена

Название поля события

Значение поля

DeviceAction

user role changed

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных.

SourceUserID

ID пользователя, который использовался для изменения данных.

DestinationUserName

Логин пользователя, данные которого были изменены.

DestinationUserID

ID пользователя, данные которого были изменены.

DeviceCustomString1

Текущее значение роли.

DeviceCustomString1Label

new role

DeviceCustomString2

Значение роли до ее изменения.

DeviceCustomString2Label

old role

В начало
[Topic 218030]

Другие данные пользователя успешно изменены

Название поля события

Значение поля

DeviceAction

user other info changed

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных.

SourceUserID

ID пользователя, который использовался для изменения данных.

DestinationUserName

Логин пользователя, данные которого были изменены.

DestinationUserID

ID пользователя, данные которого были изменены.

В начало
[Topic 217947]

Пользователь успешно вышел из системы

Это событие создается только тогда, когда пользователь нажимает кнопку выхода.

Это событие не создается, если пользователь покидает систему из-за окончания сеанса или если пользователь снова входит в систему из другого браузера.

Название поля события

Значение поля

DeviceAction

user logout

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя.

SourceUserID

Идентификатор пользователя.

В начало
[Topic 218032]

Пароль пользователя успешно изменен

Название поля события

Значение поля

DeviceAction

user password changed

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных.

SourceUserID

ID пользователя, который использовался для изменения данных.

DestinationUserName

Логин пользователя, данные которого были изменены.

DestinationUserID

ID пользователя, данные которого были изменены.

В начало
[Topic 218029]

Пользователь успешно создан

Название поля события

Значение поля

DeviceAction

user created

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для создания учетной записи.

SourceUserID

Идентификатор пользователя, который использовался для создания учетной записи.

DestinationUserName

Логин пользователя, для которого была создана учетная запись.

DestinationUserID

Идентификатор пользователя, для которого была создана учетная запись.

DeviceCustomString1

Роль созданного пользователя.

DeviceCustomString1Label

role

В начало
[Topic 218033]

Пользователю успешно назначена роль

Название поля события

Значение поля

DeviceAction

granted access

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, для которого вносились изменения данных.

SourceUserID

Идентификатор пользователя, для которого вносились изменения данных.

DestinationUserPrivileges

Название роли. Доступные значения: general admin, admin, analyst, operator.

DeviceCustomString5

Идентификатор тенанта, который использовался, чтобы назначить роль.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 241703]

Роль пользователя успешно отозвана

Название поля события

Значение поля

DeviceAction

revoked access

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который вносит изменения.

SourceUserID

Идентификатор пользователя, который вносит изменения.

DestinationUserName

Логин пользователя, для которого вносятся изменения.

DestinationUserID

Идентификатор пользователя, для которого вносятся изменения.

DestinationUserPrivileges

Название роли. Доступные значения: general admin, admin, analyst, operator.

DeviceCustomString5

Идентификатор тенанта, который использовался, чтобы назначить роль.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 241712]

Пользователь успешно изменил настройки набора полей для определения источников

Название поля события

Значение поля

DeviceAction

settings updated

DeviceFacility

eventSourceIdentity

EventOutcome

succeeded

SourceUserName

Логин пользователя, который вносит изменения.

SourceUserID

Идентификатор пользователя, который вносит изменения.

DeviceCustomString5

Обновленный набор полей, | используется в качестве разделителя.

В начало
[Topic 276306]

Токен доступа пользователя успешно изменен

Название поля события

Значение поля

DeviceAction

user access token changed

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных.

SourceUserID

Идентификатор пользователя, который использовался для изменения данных.

DestinationUserName

Логин пользователя, данные которого были изменены.

DestinationUserID

Идентификатор пользователя, данные которого были изменены.

В начало
[Topic 218027]

Сервис успешно создан

Название поля события

Значение поля

DeviceAction

service created

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для создания сервиса.

SourceUserID

Идентификатор пользователя, который использовался для создания сервиса.

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217997]

Сервис успешно удален

Название поля события

Значение поля

DeviceAction

service deleted

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для удаления сервиса.

SourceUserID

Идентификатор пользователя, который использовался для удаления сервиса.

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DestinationAddress

Адрес устройства, с которого был запущен сервис. Если сервис никогда раньше не запускался, поле будет пустым.

DestinationHostName

Полное доменное имя компьютера, с которого был запущен сервис. Если сервис никогда раньше не запускался, поле будет пустым.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217998]

Сервис успешно перезагружен

Название поля события

Значение поля

DeviceAction

service reloaded

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для перезагрузки сервиса.

SourceUserID

Идентификатор пользователя, который использовался для перезагрузки сервиса.

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 218000]

Сервис успешно перезапущен

Название поля события

Значение поля

DeviceAction

service restarted

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для перезапуска сервиса.

SourceUserID

Идентификатор пользователя, который использовался для перезапуска сервиса.

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 218001]

Сервис успешно запущен

Название поля события

Значение поля

DeviceAction

service started

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, который сообщил информацию о запуске сервиса. Это может быть адрес прокси-сервера, если информация передается через прокси.

SourcePort

Порт, передавший информацию о запуске сервиса. Это может быть порт прокси-сервера, если информация передается через прокси.

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DestinationAddress

Адрес устройства, на котором был запущен сервис.

DestinationHostName

Полное доменное имя устройства, на котором был запущен сервис.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 218002]

Сервис успешно сопряжен

Название поля события

Значение поля

DeviceAction

service paired

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого был отправлен запрос на сопряжение сервисов. Это может быть адрес прокси-сервера, если запрос передается через прокси.

SourcePort

Порт, отправивший запрос на сопряжение сервисов. Это может быть порт прокси-сервера, если запрос передается через прокси.

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217999]

Статус сервиса изменен

Название поля события

Значение поля

DeviceAction

service status changed

DeviceExternalID

ID сервиса.

DeviceProcessName

Название сервиса.

DeviceFacility

Тип сервиса.

DestinationAddress

Адрес устройства, на котором был запущен сервис.

DestinationHostName

Полное доменное имя устройства, на котором был запущен сервис.

DeviceCustomString1

green, yellow или red

DeviceCustomString1Label

new status

DeviceCustomString2

green, yellow или red

DeviceCustomString2Label

old status

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217996]

Зарегистрирован алерт Victoria Metrics для сервиса

Название поля события

Значение поля

DeviceProcessName

Имя сервиса.

DeviceFacility

Тип сервиса.

DeviceExternalID

ID сервиса.

DeviceCustomString6Label

tenant name

DeviceCustomString6

Название тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString5

идентификатор тенанта

DeviceCustomString2Label

Возможные значения:

  • QPS threshold reached
  • Failed Insert QPS threshold reached
  • High distribution queue
  • Low disk space
  • Low disk partition space
  • Output EventLoss increasing
  • Disk buffer size increasing
  • Enrichment errors increasing
  • High enrichment queue
  • Connector log errors increasing

DeviceCustomString2

created (время создания сервиса)

DeviceCustomString1Label

API-порт

DeviceCustomNumber1

uptime в секундах

DeviceAction

service alert

DestinationHostName

FQDN машины, где запущен сервис.

DestinationAddress

Адрес машины, где запущен сервис.

В начало
[Topic 290387]

Пороговые значения параметров мониторинга сервисов изменены

Название поля события

Значение поля

DeviceAction

settings updated

DeviceFacility

serviceAlertSettings

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который обновил значение параметра.

SourceUserID

ID пользователя, который обновил значение параметра.

DeviceCustomString1

JSON c пороговыми значениями, записанными в базе данных.

DeviceCustomString1Label

thresholds

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 290389]

Раздел хранилища удален пользователем

Название поля события

Значение поля

DeviceAction

partition deleted

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для удаления.

SourceUserID

Идентификатор пользователя, который использовался для удаления.

Name

Название хранилища | Тенант перемещаемого или удаляемого раздела | Название пространства, которому принадлежит раздел.

Message

deleted by user

В начало
[Topic 218012]

Раздел хранилища автоматически удален в связи с истечением срока действия

Название поля события

Значение поля

DeviceAction

applied retention policy by days.

EventOutcome

succeeded или failed

Name

Название хранилища | Тенант перемещаемого или удаляемого раздела | Название пространства, которому принадлежит раздел.

DeviceCustomDate1

Дата создания раздела.

DeviceCustomDate1Label

date of partition

SourceServiceName

scheduler

DeviceCustomString1

Идентификатор узла.

DeviceCustomString1Label

nodeID

Message

В случае перемещения:

  • Если EventOutcome = succeeded, отображается сообщение moved partition data to cold storage.
  • Если EventOutcome = failed, отображается сообщение об ошибке move partition data to cold storage failed: <описание ошибки>.

В случае удаления:

  • Если EventOutcome = succeeded, отображается сообщение deleted partition data.
  • Если EventOutcome = failed, отображается сообщение об ошибке delete partition data failed: <описание ошибки>.

DeviceCustomNumber1

Размер раздела хранилища в байтах.

DeviceCustomNumber1Label

size

DeviceCustomNumber2

Количество событий в разделе хранилища.

DeviceCustomNumber2Label

events

В начало
[Topic 218014]

Активный лист успешно очищен или операция завершилась с ошибкой

События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.

Если изменять активный лист с помощью правила корреляции типа simple, в котором заданы действия Отправить событие на дальнейшую обработку и Отправить событие снова в коррелятор, то в результате срабатывания такого правила будет создаваться алерт об изменении активного листа.

Событию может быть присвоен статус succeeded или failed.

Поскольку запрос на очистку активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.

Это означает, что активный лист может быть очищен успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли очищен активные лист.

Название поля события

Значение поля

DeviceAction

active list cleared

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для очистки активного листа.

SourceUserID

Идентификатор пользователя, который использовался для очистки активного листа.

DeviceExternalID

Идентификатор сервиса, активные лист которого был очищен.

ExternalID

Идентификатор активного листа.

Name

Название активного листа.

Message

Если EventOutcome = failed, в этом поле будет отображаться сообщение об ошибке.

DeviceCustomString5

Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217705]

Элемент активного листа успешно изменен или операция завершилась с ошибкой

События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.

Если изменять активный лист с помощью правила корреляции типа simple, в котором заданы действия Отправить событие на дальнейшую обработку и Отправить событие снова в коррелятор, то в результате срабатывания такого правила будет создаваться алерт об изменении активного листа.

Событию может быть присвоен статус succeeded или failed.

Поскольку запрос на изменение элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до изменения или после изменения.

Это означает, что элемент активного листа может быть изменен успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли изменен элемент активного листа.

Название поля события

Значение поля

DeviceAction

active list item changed

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения элемента активного листа.

SourceUserID

Идентификатор пользователя, который использовался для изменения элемента активного листа.

DeviceExternalID

Идентификатор сервиса, активный лист которого был изменен.

ExternalID

Идентификатор активного листа.

Name

Название активного листа.

DeviceCustomString1

Название ключа.

DeviceCustomString1Label

key

Message

Если EventOutcome = failed, в этом поле будет отображаться сообщение об ошибке.

DeviceCustomString5

Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

название тенанта

DeviceCustomString6Label

tenant name

В начало
[Topic 241746]

Элемент активного листа успешно удален или операция завершилась с ошибкой

События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.

Если изменять активный лист с помощью правила корреляции типа simple, в котором заданы действия Отправить событие на дальнейшую обработку и Отправить событие снова в коррелятор, то в результате срабатывания такого правила будет создаваться алерт об изменении активного листа.

Событию может быть присвоен статус succeeded или failed.

Поскольку запрос на удаление элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.

Это означает, что элемент активного листа может быть удален успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли удален элемент активного листа.

Название поля события

Значение поля

DeviceAction

active list item deleted

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для удаления элемента активного листа.

SourceUserID

Идентификатор пользователя, который использовался для удаления элемента активного листа.

DeviceExternalID

Идентификатор сервиса, активный лист которого был очищен.

ExternalID

Идентификатор активного листа.

Name

Название активного листа.

DeviceCustomString1

Название ключа.

DeviceCustomString1Label

key

Message

Если EventOutcome = failed, в этом поле будет отображаться сообщение об ошибке.

DeviceCustomString5

Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217703]

Активный лист успешно импортирован или операция завершилась с ошибкой

События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.

Если изменять активный лист с помощью правила корреляции типа simple, в котором заданы действия Отправить событие на дальнейшую обработку и Отправить событие снова в коррелятор, то в результате срабатывания такого правила будет создаваться алерт об изменении активного листа.

Импорт элементов активного листа выполняется по частям через удаленное подключение.

Поскольку импорт осуществляется через удаленное соединение, ошибка передачи данных может произойти в любой момент: когда данные частично или полностью импортированы. EventOutcome возвращает статус подключения, а не статус проверки импорта.

Название поля события

Значение поля

DeviceAction

active list imported

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для выполнения импорта.

SourceUserID

Идентификатор пользователя, который использовался для импорта.

DeviceExternalID

Идентификатор сервиса, для которого был выполнен импорт.

ExternalID

Идентификатор активного листа.

Name

Название активного листа.

Message

Если EventOutcome = failed, в этом поле будет отображаться сообщение об ошибке.

DeviceCustomString5

Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

название тенанта

DeviceCustomString6Label

tenant name

В начало
[Topic 217706]

Активный лист успешно экспортирован

События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.

Если изменять активный лист с помощью правила корреляции типа simple, в котором заданы действия Отправить событие на дальнейшую обработку и Отправить событие снова в коррелятор, то в результате срабатывания такого правила будет создаваться алерт об изменении активного листа.

Название поля события

Значение поля

DeviceAction

active list exported

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для выполнения экспорта.

SourceUserID

Идентификатор пользователя, который использовался для экспорта.

DeviceExternalID

Идентификатор сервиса, для которого был выполнен экспорт.

ExternalID

Идентификатор активного листа.

Name

Название активного листа.

DeviceCustomString5

Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

название тенанта

DeviceCustomString6Label

tenant name

В начало
[Topic 217704]

Ресурс успешно добавлен

Название поля события

Значение поля

DeviceAction

resource added

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для добавления ресурса.

SourceUserID

Идентификатор пользователя, который использовался для добавления ресурса.

DeviceExternalID

Идентификатор ресурса.

DeviceProcessName

Название ресурса.

DeviceFacility

Тип ресурса:

  • activeList
  • agent
  • aggregationRule
  • collector
  • connection
  • connector
  • correlationRule
  • correlator
  • destination
  • dictionary
  • enrichmentRule
  • filter
  • normalizer
  • proxy
  • responseRule
  • storage

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217968]

Ресурс успешно удален

Название поля события

Значение поля

DeviceAction

resource deleted

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для удаления ресурса.

SourceUserID

Идентификатор пользователя, который использовался для удаления ресурса.

DeviceExternalID

Идентификатор ресурса.

DeviceProcessName

Название ресурса.

DeviceFacility

Тип ресурса:

  • activeList
  • agent
  • aggregationRule
  • collector
  • connection
  • connector
  • correlationRule
  • correlator
  • destination
  • dictionary
  • enrichmentRule
  • filter
  • normalizer
  • proxy
  • responseRule
  • storage

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217969]

Ресурс успешно обновлен

Название поля события

Значение поля

DeviceAction

resource updated

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для обновления ресурса.

SourceUserID

Идентификатор пользователя, который использовался для обновления ресурса.

DeviceExternalID

Идентификатор ресурса.

DeviceProcessName

Название ресурса.

DeviceFacility

Тип ресурса:

  • activeList
  • agent
  • aggregationRule
  • collector
  • connection
  • connector
  • correlationRule
  • correlator
  • destination
  • dictionary
  • enrichmentRule
  • filter
  • normalizer
  • proxy
  • responseRule
  • storage

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217970]

Актив успешно создан

Название поля события

Значение поля

DeviceAction

asset created

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для добавления актива.

SourceUserID

Идентификатор пользователя, который использовался для добавления актива.

DeviceAssetID

Идентификатор актива.

SourceHostName

Идентификатор актива.

Name

Название актива.

DeviceCustomString1

Разделенные запятыми IP-адреса актива.

DeviceCustomString1Label

addresses

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217742]

Актив успешно удален

Название поля события

Значение поля

DeviceAction

asset deleted

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для добавления актива.

SourceUserID

Идентификатор пользователя, который использовался для добавления актива.

DeviceAssetID

Идентификатор актива.

SourceHostName

Идентификатор актива.

Name

Название актива.

DeviceCustomString1

Разделенные запятыми IP-адреса актива.

DeviceCustomString1Label

addresses

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217741]

Категория актива успешно добавлена

Название поля события

Значение поля

DeviceAction

category created

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для добавления категории.

SourceUserID

Идентификатор пользователя, который использовался для добавления категории.

DeviceExternalID

Идентификатор категории.

Name

Название категории.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217740]

Категория актива успешно удалена

Название поля события

Значение поля

DeviceAction

category deleted

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для удаления категории.

SourceUserID

Идентификатор пользователя, который использовался для удаления категории.

DeviceExternalID

Идентификатор категории.

Name

Название категории.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 217739]

Параметры успешно обновлены

Название поля события

Значение поля

DeviceAction

settings updated

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для обновления параметров.

SourceUserID

Идентификатор пользователя, который использовался для обновления параметров.

DeviceFacility

Тип параметров.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 218005]

Тенант успешно создан

Название поля события

Значение поля

DeviceAction

tenant created

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для создания тенанта.

SourceUserID

Идентификатор пользователя, который использовался для создания тенанта.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 241753]

Тенант успешно включен

Название поля события

Значение поля

DeviceAction

tenant enabled

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для включения тенанта.

SourceUserID

Идентификатор пользователя, который использовался для включения тенанта.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 241764]

Тенант успешно выключен

Название поля события

Значение поля

DeviceAction

tenant disabled

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для выключения тенанта.

SourceUserID

Идентификатор пользователя, который использовался для выключения тенанта.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 241766]

Другие данные тенанта успешно изменены

Название поля события

Значение поля

DeviceAction

tenant other info changed

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных тенанта.

SourceUserID

Идентификатор пользователя, который использовался для изменения данных тенанта.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 241767]

Изменена политика хранения данных после изменения дисков

Название поля события

Значение поля

DeviceAction

storage policy modified

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных тенанта.

SourceUserID

Идентификатор пользователя, который использовался для изменения данных тенанта.

В начало
[Topic 241770]

Словарь успешно обновлен на сервисе или операция завершилась ошибкой

Название поля события

Значение поля

DeviceAction

service created

EventOutcome

succeeded

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для создания сервиса.

SourceUserID

Идентификатор пользователя, который использовался для создания сервиса.

DeviceExternalID

Идентификатор сервиса.

ExternalID

Идентификатор словаря.

DeviceProcessName

Имя сервиса.

DeviceFacility

Тип сервиса.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

Message

Если EventOutcome = failed, в этом поле будет отображаться сообщение об ошибке.

В начало
[Topic 241769]

Ответ в Active Directory

Название поля события

Значение поля

DeviceAction

ad response

DeviceFacility

manual response или automatic response

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который использовался для изменения данных тенанта.

SourceUserID

Идентификатор пользователя, который использовался для изменения данных тенанта.

DeviceCustomString3

Наименование правила ответа: CHANGE_PASSWORD, ADD_TO_GROUP, REMOVE_FROM_GROUP, BLOCK_USER.

DeviceCustomString3Label

response rule name

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

DestinationUserName

Учетная запись пользователя Active Directory, на которую вызван ответ (sAMAccountName).

DestinationNtDomain

Домен учетной записи пользователя Active Directory, на которую вызван ответ.

DestinatinUserID

UUID учетной записи в KUMA.

FlexString1

Информация о группе, куда был добавлен или удален пользователь.

FlexString1Label

group DN

В начало
[Topic 241775]

Реагирование через KICS for Networks

Название поля события

Значение поля

DeviceAction

KICS responce

DeviceFacility

manual response или automatic response

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который отправил запрос.

SourceUserID

Идентификатор пользователя, который отправил запрос.

DeviceCustomString3

Наименование правила ответа: Authorized, Not Authorized.

DeviceCustomString3Label

response rule name

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

DeviceAssetID

Идентификатор актива.

SourceHostName

FQDN актива.

Name

Название актива.

DeviceCustomString1

Перечень ip-адресов актива.

DeviceCustomString1Label

addresses

В начало
[Topic 245019]

Реагирование через Kaspersky Automated Security Awareness Platform

Название поля события

Значение поля

DeviceAction

KASAP response

DeviceFacility

manual response

EventOutcome

succeeded или failed

Message

Описание ошибки, если произошла ошибка, иначе поле будет пустое.

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который отправил запрос.

SourceUserID

Идентификатор пользователя, который отправил запрос.

DeviceCustomString1

Менеджер пользователя, на которого назначен курс.

DeviceCustomString1Label

manager

DeviceCustomString3

Информация о группе, где был пользователь. Отсутствует в случае failed.

DeviceCustomString3Label

manager

DeviceCustomString4

Информация о группе, куда добавили пользователя.

DeviceCustomString4Label

new kasap group

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

DestinationUserID

Идентификатор учетной записи пользователя Active Directory, на которую происходит реагирование.

DestinationUserName

Имя учетной записи (sAMAccountName).

DestinationNtDomain

Домен учетной записи пользователя Active Directory, на которую происходит реагирование.

В начало
[Topic 245020]

Реагирование через KEDR

Название поля события

Значение поля

DeviceAction

KEDR response

DeviceFacility

manual response или automatic response

EventOutcome

succeeded или failed

Message

Описание ошибки, если произошла ошибка, иначе поле будет пустое.

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который отправил запрос.

SourceUserID

Идентификатор пользователя, который отправил запрос.

SourceAssetID

Идентификатор актива в KUMA, для которого производится реагирование. Значение не указывается, если реагирование производится по хешу или для всех активов.

DeviceExternalID

Параметр external ID, присвоенный KUMA в KEDR. Если external id один, при запуске по пользовательским хостам не заполняется.

DeviceCustomString1

Перечисление IP/FQDN-адресов актива для правила запрета для хоста по выбранному хешу из карточки события.

DeviceCustomString1Label

user defined list of ips or hostnames

DeviceCustomString2

Параметр sensor ID в KEDR (UUIDv4 | 'all' | 'custom').

DeviceCustomString2Label

sensor id of asset in KATA/EDR

ServiceID

Идентификатор сервиса, который вызвал реагирование. Заполняется только при автоматическом реагировании.

DeviceCustomString3

Наименование типа задачи: enable_network_isolation, disable_network_isolation, enable_prevention, disable_prevention, run_process.

DeviceCustomString3Label

kedr response kind

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name

В начало
[Topic 245021]