Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе
06 сентября 2024
ID 247576
В заголовке каждого сообщения содержится следующая информация:
- Версия формата.
Номер текущей версии:
0
. Текущее значение поля:CEF:0
. - Производитель.
Текущее значение поля:
AO Kaspersky Lab
. - Название приложения.
Текущее значение поля:
Kaspersky Anti Targeted Attack Platform
. - Версия приложения.
Текущее значение поля: 6.0.0-200.
- Тип события.
См. таблицу ниже.
- Наименование события.
См. таблицу ниже.
- Важность события.
Текущее значение поля:
Low
.Пример:
CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|6.0.0-200|tasks|Managing tasks|Low|
Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>"
. Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.
Информация о событии в CEF-сообщениях
Тип события | Наименование и описание события | Ключ и описание его значения |
---|---|---|
|
Подключение компонента Sensor к серверу Central Node, изменение настроек компонента. |
|
|
Подключение компонента Sandbox к серверу Central Node. |
|
|
Настройки интеграции с внешними системами. |
|
|
Настройка участия в Kaspersky Security Network, включение / отключение использования Kaspersky Private Security Network и настройка интеграции с Kaspersky Managed Detection and Response. |
|
|
Операции с правилами YARA. |
|
|
Операции с правилами IOC. |
|
|
Операции с правилами IDS. |
|
|
Операции с правилами TAA (IOA). |
|
|
Операции с правилами Sandbox. |
|
|
Операции с правилами запрета. |
|
|
Операции с правилами исключений из проверки. |
|
endpoint_agents | Managing Endpoint Agent hosts Операции с хостами, на которых установлен компонент Endpoint Agent. |
|
|
Операции с задачами. |
|
|
Сетевая изоляция хостов Endpoint Agent. |
|
|
Изменение параметров сервера Central Node. |
|
|
Набор ОС виртуальных машин изменен на <версия набора ОС>. |
|
|
Изменение параметров сервера Primary Central Node и Secondary Central Node в режиме распределенного решения и мультитенантности. |
|
|
Действия с учетными записями пользователей. |
|
|
Настройка отправки уведомлений на электронный адрес почты. |
|
|
Управление лицензионным ключом. |
|
Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.