События аудита KUMA

События аудита KUMA

События аудита создаются при выполнении в KUMA определенных действий, связанных с безопасностью, и используются для обеспечения целостности системы.

Чтобы просмотреть события аудита, перейдите в раздел KUMA События и добавьте в запрос SELECT * FROM 'events' WHERE Type=4.

В результате выполнения запроса в разделе События отобразятся события аудита, если роль пользователя предусматривает права для просмотра событий аудита.

Поля событий с общей информацией

Каждое событие аудита имеет поля событий, описанные ниже.

Название поля события	Значение поля
`Timestamp`	Время события.
`DeviceHostName`	Хост источника события. Для событий аудита это имя хоста, на котором установлена служба kuma-core, потому что она является источником событий.
`DeviceTimeZone`	Часовой пояс системного времени сервера, на котором установлено Ядро KUMA в формате +-`чч:мм`.
`Type`	Тип события аудита. `Audit` или `Base`.
`TenantID`	Идентификатор главного тенанта.
`DeviceVendor`	`Kaspersky`
`DeviceProduct`	`KUMA`
`EndTime`	Время создания события.
`SpaceID`	`KUMA Audit`

В этом разделе

Пользователь успешно вошел в систему или не смог войти

Логин пользователя изменен

Роль пользователя изменена

Другие данные пользователя изменены

Пользователь вышел из системы

Пароль пользователя изменен

Пользователь создан

Пользователю назначена роль

Роль пользователя отозвана

Пользователь изменил параметры набора полей для определения источников

Пользователю назначен алерт

Токен доступа пользователя изменен

Лицензия добавлена с использованием файла

Лицензия добавлена с использованием кода активации

Резервная лицензия добавлена

Резервная лицензия удалена

Лицензия продлена

Недействительный код активации

Лицензия заблокирована

Лицензия удалена

Лицензия заменена

Превышено количество EPS

Окончание срока действия лицензии и начало льготного периода

Окончание льготного периода

Добавлена лицензия с истекшим сроком действия

Изменен набор пространств для разграничения доступа к событиям

Изменены пороговые значения для мониторинга сервисов

Изменены значения параметров Ядра KUMA

Базы GeoIP импортированы

Сервис создан

Сервис удален

Сервис перезагружен

Сервис перезапущен

Сервис запущен

Сервис сопряжен

Статус сервиса изменен

Индекс партиции удален пользователем

Партиция удалена автоматически по истечении срока хранения

Удаление партиции по абсолютному сроку хранения

Удаление партиции по относительному сроку хранения

Перемещение партиции в холодное хранилище

Перемещение партиции в холодное хранилище завершилось с ошибкой

Активный лист успешно очищен или операция завершилась с ошибкой

Элемент активного листа успешно изменен или операция завершилась с ошибкой

Элемент активного листа успешно удален или операция завершилась с ошибкой

Активный лист успешно импортирован или операция завершилась с ошибкой

Активный лист экспортирован

Контекстная таблица экспортирована

Контекстная таблица успешно импортирована или операция завершилась с ошибкой

Элемент контекстной таблицы успешно изменен или операция завершилась с ошибкой

Элемент контекстной таблицы успешно удален или операция завершилась с ошибкой

Контекстная таблица успешно очищена или операция завершилась с ошибкой

Ресурс добавлен

Ресурс удален

Ресурс обновлен

Импорт ресурсов

Актив создан

Актив удален

Категория актива добавлена

Категория актива удалена

Параметры обновлены

Тенант создан

Тенант включен

Тенант выключен

Другие данные тенанта изменены

Словарь успешно обновлен на сервисе или операция завершилась ошибкой

Запись добавлена в словарь

Запись успешно удалена из словаря или операция завершилась с ошибкой

Инцидент успешно создан или операция завершилась с ошибкой

Инцидент успешно закрыт или операция завершилась с ошибкой

Пользователю назначен инцидент или операция завершилась с ошибкой

Алерт привязан к инциденту или алерт отвязан от инцидента или операция завершилась с ошибкой

Зарегистрирован алерт VictoriaMetrics для сервиса или операция завершилась с ошибкой

Событие привязано к алерту или отвязано от алерта или операция завершилась с ошибкой

Реагирование в Active Directory

Создание поля расширенной схемы события

Редактирование поля расширенной схемы события

Импорт поля расширенной схемы события

Импорт нормализатора с полем расширенной схемы события

Удаление поля расширенной схемы события

Отправлен запрос в KIRA

Реагирование через KICS/KATA

Реагирование через Kaspersky Automated Security Awareness Platform

Реагирование через KEDR

Импорт техник и тактик MITRE ATT&CK

В начало