Kaspersky Anti Targeted Attack (KATA) Platform

Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

14 мая 2024

ID 247576

В заголовке каждого сообщения содержится следующая информация:

  • Версия формата.

    Номер текущей версии: 0. Текущее значение поля: CEF:0.

  • Производитель.

    Текущее значение поля: AO Kaspersky Lab.

  • Название приложения.

    Текущее значение поля: Kaspersky Anti Targeted Attack Platform.

  • Версия приложения.

    Текущее значение поля: 6.0.0-200.

  • Тип события.

    См. таблицу ниже.

  • Наименование события.

    См. таблицу ниже.

  • Важность события.

    Текущее значение поля: Low.

    Пример:

    CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|6.0.0-200|tasks|Managing tasks|Low|

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Тип события

Наименование и описание события

Ключ и описание его значения

sensors

Managing the Sensor component

Подключение компонента Sensor к серверу Central Node, изменение настроек компонента.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

sb

Configuring integration with the Sandbox component

Подключение компонента Sandbox к серверу Central Node.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

ex_integration

Configuring integration with external systems

Настройки интеграции с внешними системами.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

ksn_kpsn_mdr

Participation in KSN, KPSN and MDR

Настройка участия в Kaspersky Security Network, включение / отключение использования Kaspersky Private Security Network и настройка интеграции с Kaspersky Managed Detection and Response.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

yara

Managing YARA rules

Операции с правилами YARA.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.
  • device external ID = <идентификатор хоста в режиме распределенного решения>.
  • cs1label = <имя загружаемого файла>.

ioc

Managing indicator of compromise

Операции с правилами IOC.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.
  • deviceExternalID = <идентификатор хоста в режиме распределенного решения>.

ids

Managing IDS rules

Операции с правилами IDS.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.
  • deviceExternalID = <идентификатор хоста в режиме распределенного решения>.

taa

Managing TAA rules

Операции с правилами TAA (IOA).

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

sb rules

Managing Sandbox rules

Операции с правилами Sandbox.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

prevention

Managing prevention rules

Операции с правилами запрета.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

exclusions

Managing scan exclusions

Операции с правилами исключений из проверки.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

endpoint_agents

Managing Endpoint Agent hosts

Операции с хостами, на которых установлен компонент Endpoint Agent.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

tasks

Managing tasks

Операции с задачами.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

network_isolation

Network isolation of Endpoint Agent hosts

Сетевая изоляция хостов Endpoint Agent.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

settings

Settings

Изменение параметров сервера Central Node.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

settings

Settings

Набор ОС виртуальных машин изменен на <версия набора ОС>.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.
  • cs1label = <имя сервера, на котором обновились настройки>.

mt

Managing CN, PCN and SCN servers

Изменение параметров сервера Primary Central Node и Secondary Central Node в режиме распределенного решения и мультитенантности.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

user_account

Managing user accounts

Действия с учетными записями пользователей.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

notifications

Sending notifications

Настройка отправки уведомлений на электронный адрес почты.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

license

License

Управление лицензионным ключом.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • user = <имя пользователя>.
  • cs1 = <тип события>.

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!