Kaspersky Anti Targeted Attack (KATA) Platform

Содержание и свойства syslog-сообщений об обнаружениях

14 мая 2024

ID 247573

Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.

Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.

В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:

  • Версия формата.

    Номер текущей версии: 0. Текущее значение поля: CEF:0.

  • Производитель.

    Текущее значение поля: AO Kaspersky Lab.

  • Название приложения.

    Текущее значение поля: Kaspersky Anti Targeted Attack Platform.

  • Версия приложения.

    Текущее значение поля: 6.0.0-200.

  • Тип обнаружения.

    См. таблицу ниже.

  • Наименование события.

    См. таблицу ниже.

  • Важность обнаружения.

    Допустимые значения поля: Low, Medium, High или 0 (для сообщений типа heartbeat).

  • Дополнительная информация.

    Пример:

    CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |6.0.0-200|url_web| URL from web detected|Low|

Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе приложения. Все поля представлены в формате "<ключ>=<значение>". В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация об обнаружении в syslog-сообщениях

Тип обнаружения

Наименование и описание обнаружения

Ключ и описание его значения

file_web

File from web detected

В сетевом трафике обнаружен файл.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • dst = <IP-адрес назначения>.
  • dpt = <порт назначения>.
  • src = <IP-адрес источника>.
  • spt = <порт источника>.
  • shost = <имя хоста, на котором обнаружен файл>.
  • suser = <имя пользователя>.
  • fName = <имя файла внутри составного объекта>.
  • fsize = <размер файла внутри составного объекта (в байтах)>.
  • fileType = <формат файла внутри составного объекта>.
  • fileHash = <MD5-хеш файла внутри составного объекта >.
  • KasperskyLabKATAcompositeFilePath = <имя составного объекта>.
  • KasperskyLabKATAcompositeFileSize = <общий размер составного объекта (в байтах)>.
  • KasperskyLabKATAcompositeFileHash = <MD5-хеш составного объекта>.
  • KasperskyLabKATAfileSHA256 = <SHA256-хеш составного объекта>.
  • cs2 = <технология, с помощью которой обнаружен файл>.
  • cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox).
  • cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">.
  • cs3 = <версия баз, с помощью которых проверен файл>.
  • app = <название протокола прикладного уровня> (HTTP(S) или FTP).
  • requestMethod = <метод HTTP-запроса> (только для протокола HTTP(S)).
  • requestClientApplication = <User Agent клиентского компьютера> (только для протокола HTTP(S)).
  • request = <URL обнаруженного объекта> (только для протокола HTTP(S)).
  • requestContext = <HTTP-заголовок Referer> (только для протокола HTTP(S)).

file_mail

File from mail detected

В почтовом трафике обнаружен файл.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • fName = <имя файла внутри составного объекта>.
  • fsize = <размер файла внутри составного объекта (в байтах)>.
  • fileType = <формат файла внутри составного объекта >.
  • fileHash = <MD5-хеш файла внутри составного объекта >.
  • KasperskyLabKATAcompositeFilePath = <имя составного объекта>.
  • KasperskyLabKATAcompositeFileSize = <общий размер составного объекта (в байтах)>.
  • KasperskyLabKATAcompositeFileHash = <MD5-хеш составного объекта>.
  • KasperskyLabKATAfileSHA256 = <SHA256-хеш составного объекта>.
  • KasperskyLabKATAmailEnvelopeFrom = <адрес электронной почты отправителя> (из заголовка Received).
  • KasperskyLabKATAmailFor = <адрес электронной почты получателя> (из заголовка Received).
  • KasperskyLabKATAmailRecievedFromIp = <IP-адрес первого в цепочке отправки сообщения сервера> (из заголовка Received).
  • cs2 = <технология, с помощью которой обнаружен файл>.
  • cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox).
  • cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">.
  • cs3 = <версия баз, с помощью которых проверен файл>.
  • externalId = <ID сообщения электронной почты>.
  • suser = <адрес электронной почты отправителя>.
  • duser = <адреса электронной почты получателей>.
  • msg = <тема сообщения>.

ids

IDS event detected

Обнаружение выполнено модулем Intrusion Detection System.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • requestMethod = <метод HTTP-запроса> (только для протокола HTTP(S)).
  • requestClientApplication = <User Agent клиентского компьютера> (только для протокола HTTP(S)).
  • rt = <дата и время обнаружения>.
  • dst = <IP-адрес назначения>.
  • dpt = <порт назначения>.
  • src = <IP-адрес источника>.
  • spt = <порт источника>.
  • proto = <название протокола сетевого уровня> (TCP или UDP).
  • cs1 = <тип обнаруженного объекта по классификации "Лаборатории Касперского">.
  • cs2Label = <название правила IDS>.
  • cs2 = <номер правила IDS>.
  • cs3 = <версия баз модуля Intrusion Detection System>.
  • requestMethod = <метод HTTP-запроса> (только для протокола HTTP).
  • requestClientApplication = <User Agent клиентского компьютера> (только для протокола HTTP).
  • request = <URL обнаруженного объекта>.

url_web

URL from web detected

Обнаружение выполнено технологией URL Reputation или Sandbox в сетевом трафике.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • dst = <IP-адрес назначения>.
  • dpt = <порт назначения>.
  • src = <IP-адрес источника>.
  • spt = <порт источника>.
  • shost = <имя хоста, на котором обнаружен файл>.
  • suser = <имя пользователя>.
  • cs1 = <список категорий, к которым принадлежит URL-адрес обнаруженного объекта>.
  • requestMethod = <метод HTTP-запроса>.
  • requestClientApplication = <User Agent клиентского компьютера>.
  • request = <URL-адрес обнаруженного объекта>.
  • requestContext = <HTTP-заголовок Referer>.
  • reason = <код HTTP-ответа>.

url_mail

URL from mail detected

Обнаружение выполнено технологией URL Reputation или Sandbox в почтовом трафике.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • externalId = <ID сообщения электронной почты>.
  • suser = <адрес электронной почты отправителя>.
  • duser = <адреса электронной почты получателей>.
  • KasperskyLabKATAmailEnvelopeFrom = <адрес электронной почты отправителя> (из заголовка Received).
  • KasperskyLabKATAmailFor = <адрес получателя> (из заголовка Received).
  • KasperskyLabKATAmailRecievedFromIp = <IP-адрес первого в цепочке отправки сообщения сервера> (из заголовка Received).
  • msg = <тема сообщения>.
  • request = <URL-адрес обнаруженного объекта>.
  • cs2 = <технология, с помощью которой выполнено обнаружение> (Sandbox или URL Reputation).
  • cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для Sandbox).
  • cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского"> (для Sandbox) или <список категорий> (для URL Reputation).
  • cs3 = <версия баз, с помощью которых проверен файл> (только для Sandbox).

dns

DNS request detected

Обнаружение выполнено технологией URL Reputation в DNS-трафике.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • dst = <IP-адрес назначения>.
  • dpt = <порт назначения>.
  • src = <IP-адрес источника>.
  • spt = <порт источника>.
  • shost = <имя хоста, на котором обнаружен файл>.
  • suser = <имя пользователя>.
  • cs2 = <список URL-категорий, к которым принадлежат доменные имена>.
  • requestMethod = <тип DNS-сообщения> (request или response).
  • flexString1 = <тип записи из DNS-запроса>.
  • dhost = <имя хоста из DNS-запроса>.
  • cs1 = <список доменных имен из DNS-ответа>.

file_endpoint

File from endpoint detected

Обнаружение выполнено компонентом Endpoint Agent на хосте пользователя и содержит файл.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • src = <IP-адрес источника>.
  • shost = <имя хоста, на котором обнаружен файл>.
  • fName = <имя файла внутри составного объекта>.
  • fsize = <размер файла внутри составного объекта (в байтах)>.
  • fileType = <формат файла внутри составного объекта >.
  • fileHash = <MD5-хеш файла внутри составного объекта >.
  • KasperskyLabKATAcompositeFilePath = <имя составного объекта>.
  • KasperskyLabKATAcompositeFileSize = <общий размер составного объекта (в байтах)>.
  • KasperskyLabKATAcompositeFileHash = <MD5-хеш составного объекта>.
  • KasperskyLabKATAfileSHA256 = <SHA256-хеш составного объекта>.
  • cs2 = <технология, с помощью которой обнаружен файл>.
  • cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox).
  • cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">.
  • cs3 = <версия баз, с помощью которых проверен файл>.
  • app = <название протокола прикладного уровня> (HTTP(S) или FTP).
  • FilePath = <путь к файлу на компьютере с компонентом Endpoint Sensors>.

iocScanning

IOC has tripped on endpoint

Обнаружение выполнено в результате IOC-проверки хостов с компонентом Endpoint Agent для Windows.

Этот тип обнаружений доступен, если вы используете функциональность KEDR.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • src = <IP-адрес источника>.
  • shost = <имя хоста, на котором обнаружен файл>.
  • cs1 = <имя IOC-файла, по которому выполнено обнаружение>.

taaScanning

TAA has tripped on events database

Обнаружение выполнено в результате IOA-анализа событий.

Этот тип обнаружений доступен, если вы используете функциональность KEDR.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • shost = <имя хоста, на котором выполнено обнаружение>.
  • cs1 = <имя IOA-правила, по которому выполнено обнаружение>.

yaraScanningEP

YARA has tripped on endpoint

Обнаружение выполнено в результате YARA-проверки хостов с компонентом Endpoint Agent для Windows.

Этот тип обнаружений доступен, если вы используете функциональность KEDR.

  • dvchost = <имя сервера с компонентом Central Node>.
  • eventId = <ID обнаружения>.
  • rt = <дата и время обнаружения>.
  • src = <IP-адрес источника>.
  • shost = <имя хоста, на котором выполнено обнаружение>.
  • cs1 = <имя YARA-правила, по которому выполнено обнаружение>.

heartbeat

Периодическое сообщение, содержащее статус компонентов.

  • dvchost = <имя сервера с компонентом Central Node>.
  • rt = <дата и время события>.
  • KasperskyLabKATAcomponentName = <название компонента>.
  • KasperskyLabKATAcomponentState = <статус компонента> (0 – ОК, >0 – Ошибка).

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!