Системные типы событий по технологии Контроль активов

Поддержка

Поддержка приложений для бизнеса

Kaspersky Anti Targeted Attack (KATA) Platform

Сотруднику службы безопасности: работа в веб-интерфейсе приложения

Системные типы событий в Kaspersky Anti Targeted Attack Platform

Системные типы событий по технологии Контроль активов

16 января 2025

ID 187476_1

Скачать PDF

В этой статье приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).

Системные типы событий по технологии Контроль активов (AM)

Код	Заголовок типа события	Условия для регистрации
4000005003	Обнаружено новое устройство с адресом $owner_ip_or_mac	В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. Одновременно с регистрацией события приложение может зарегистрировать для этого устройства и риск Неразрешенное устройство. В этом случае устанавливается связь риска и события. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – присвоенное имя устройства; $assigned_mac – присвоенный MAC-адрес (если определен); $owner_ip – присвоенный IP-адрес (если определен); $asset_id – идентификатор устройства.
4000005004	Получена новая информация об устройстве с адресом $owner_ip_or_mac	В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $updated_params – список обновленных сведений; $asset_id – идентификатор устройства.
4000005005	Обнаружен конфликт IP-адреса $owner_ip	В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные: $owner_ip – IP-адрес; $challenger_asset_name – имя устройства, которое использовало IP-адрес; $challenger_mac – MAC-адрес устройства, которое использовало IP-адрес; $asset_name – имя устройства, в параметрах которого был указан IP-адрес; $owner_mac – MAC-адрес устройства, в параметрах которого был указан IP-адрес; $challenger_ips_list – список других IP-адресов устройства, которое использовало IP-адрес; $asset_id – идентификатор устройства, в параметрах которого был указан IP-адрес; $challenger_id – идентификатор устройства, которое использовало IP-адрес.
4000005006	Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое	В режиме наблюдения контроля активов или по полученным данным от EPP-приложения обнаружена активность устройства, которому был присвоен статус Неиспользуемое. Одновременно с регистрацией события приложение может зарегистрировать для этого устройства и риск Неразрешенное устройство. В этом случае устанавливается связь риска и события. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $last_seen_timestamp – дата и время последнего появления устройства в сети; $asset_id – идентификатор устройства.
4000005007	Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac	В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные: $new_ip_addr – обнаруженный IP-адрес; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $owner_ips_list – список других IP-адресов устройства; $asset_id – идентификатор устройства.
4000005008	Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip	В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_mac – обнаруженный MAC-адрес устройства; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005009	Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac	В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_ip – обнаруженный IP-адрес устройства; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005010	Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip	В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные: $new_mac_addr – обнаруженный MAC-адрес; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005011	Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-приложения	По полученным данным от EPP-приложения обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные: $owner_mac – старый MAC-адрес устройства; $challenger_mac – новый MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005012	Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-приложения	В полученных данных от EPP-приложения обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано приложением как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $detected_epp_addresses – адресная информация; $asset_id – идентификатор устройства.
4000005013	Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-приложения	По полученным данным от EPP-приложения обнаружен конфликт с адресами нескольких устройств в Kaspersky Anti Targeted Attack Platform. По данным от EPP-приложения, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные: $conflicted_epp_assets – устройства, у которых обнаружен конфликт адресов; $unaccepted_epp_addresses – адреса, для которых установлена принадлежность одному устройству.
4000005014	Добавлена подсеть $subnet_mask по данным от EPP-приложения	После получения данных от EPP-приложения в список известных подсетей автоматически добавлена новая подсеть. Подсеть добавляется в то адресное пространство, в котором источником данных может являться сервер интеграции, получающий данные от EPP-приложения. При наличии нескольких таких адресных пространств выбирается то АП, которое содержит наиболее подходящую подсеть для автоматического добавления новой вложенной подсети. В заголовке и в описании типа события используются следующие переменные: $subnet_mask – адрес подсети; $subnet_type – тип подсети.
4000005016	Обнаружен несанкционированный DHCP-сервер с IP-адресом $owner_ip	Устройство $asset_name (ID: $asset_id) с адресом $owner_ip_or_mac определено как несанкционированный DHCP-сервер. В заголовке и в описании типа события используются следующие переменные: $asset_id – идентификатор устройства; $owner_ip_or_mac – IP- или MAC-адрес устройства.
4000005017	Обнаружен несанкционированный DHCP-ретранслятор с IP-адресом $owner_ip	Устройство $asset_name (ID: $asset_id) с адресом $owner_ip_or_mac определено как несанкционированный DHCP-ретранслятор. В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $owner_ip_or_mac – IP- или MAC-адрес устройства.
4000005600	Обнаружены изменения в списке пользователей устройства с адресом $owner_ip_or_mac	При контроле пользователей на устройствах обнаружены изменения сведений о пользователях. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства; $added_asset_users – список добавленных пользователей; $modified_asset_users – список измененных пользователей; $removed_asset_users – список удаленных пользователей.
4000005601	Обнаружены изменения в списке приложений устройства с адресом $owner_ip_or_mac	При контроле приложений и патчей на устройствах обнаружены изменения сведений о приложениях устройства. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства; $added_asset_apps – список добавленных приложений; $removed_asset_apps – список удаленных приложений.
4000005602	Обнаружены изменения в списке патчей устройства с адресом $owner_ip_or_mac	При контроле приложений и патчей на устройствах обнаружены изменения сведений о патчей устройства. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства; $added_asset_patches – список добавленных патчей; $removed_asset_patches – список удаленных патчей.
4000005603	Обнаружены изменения в компоненте конфигурации $inventory_loc_key на устройстве	При контроле конфигураций устройств обнаружены изменения в компоненте конфигурации при сравнении с предыдущей конфигурацией по результатам сканирования устройства (для заданий в режимах обработки конфигураций Только обновление и/или Архивирование версий). В заголовке и в описании типа события используются следующие переменные: $inventory_loc_key – название компонента конфигурации; $device_config_inventory_changed_format – обнаруженные изменения в компоненте конфигурации.
4000005604	Обнаружены отличия от эталонного компонента конфигурации $inventory_loc_key на устройстве	При контроле конфигураций устройств обнаружены отличия от эталонного компонента конфигурации по результатам сканирования устройства (для заданий в режиме обработки конфигураций Сравнение с эталоном). В заголовке и в описании типа события используются следующие переменные: $inventory_loc_key – название компонента конфигурации; $device_config_diverged_format – обнаруженные отличия от эталонного компонента конфигурации.
4000005700	Обнаружено несовпадение открытого ключа при удаленном подключении к устройству	При удаленном подключении к устройству обнаружено несовпадение полученного открытого ключа устройства со значением, сохраненным в приложении. Сканирование устройства отменено. В описании типа события используются следующие переменные: $asset_name – имя устройства; $new_asset_sshpublickey – полученный открытый ключ; $old_asset_sshpublickey – сохраненный открытый ключ.
4000005701	Обнаружено несовпадение открытого ключа при активном опросе устройства	При активном опросе устройства обнаружено несовпадение полученного открытого ключа устройства со значением, сохраненным в приложении. Активный опрос устройства отменен. В описании типа события используются следующие переменные: $asset_name – имя устройства; $new_asset_sshpublickey – полученный открытый ключ; $old_asset_sshpublickey – сохраненный открытый ключ.
4000000004	Тестовое событие (AM)	Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств).

Профессиональные услуги «Лаборатории Касперского»

Внедрение продуктов. Аудит и конфигурирование системы защиты. Свяжитесь с нами и получите помощь экспертов

Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов

Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!