Содержание и свойства syslog-сообщений об обнаружениях
Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.
Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.
В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:
- Версия формата.
Номер текущей версии:
0
. Текущее значение поля:CEF:0
. - Производитель.
Текущее значение поля:
AO Kaspersky Lab
. - Название приложения.
Текущее значение поля:
Kaspersky Anti Targeted Attack Platform
. - Версия приложения.
Текущее значение поля: 6.0.0-200.
- Тип обнаружения.
См. таблицу ниже.
- Наименование события.
См. таблицу ниже.
- Важность обнаружения.
Допустимые значения поля:
Low
,Medium
,High
или0
(для сообщений типаheartbeat
). - Дополнительная информация.
Пример:
CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |6.0.0-200|url_web| URL from web detected|Low|
Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе приложения. Все поля представлены в формате "<ключ>=<значение>"
. В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.
Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.
Информация об обнаружении в syslog-сообщениях
Тип обнаружения | Наименование и описание обнаружения | Ключ и описание его значения |
---|---|---|
|
В сетевом трафике обнаружен файл. |
|
|
В почтовом трафике обнаружен файл. |
|
|
Обнаружение выполнено модулем Intrusion Detection System. |
|
|
Обнаружение выполнено технологией URL Reputation или Sandbox в сетевом трафике. |
|
|
Обнаружение выполнено технологией URL Reputation или Sandbox в почтовом трафике. |
|
|
Обнаружение выполнено технологией URL Reputation в DNS-трафике. |
|
|
Обнаружение выполнено компонентом Endpoint Agent на хосте пользователя и содержит файл. |
|
|
Обнаружение выполнено в результате IOC-проверки хостов с компонентом Endpoint Agent для Windows. Этот тип обнаружений доступен, если вы используете функциональность KEDR. |
|
|
Обнаружение выполнено в результате IOA-анализа событий. Этот тип обнаружений доступен, если вы используете функциональность KEDR. |
|
|
Обнаружение выполнено в результате YARA-проверки хостов с компонентом Endpoint Agent для Windows. Этот тип обнаружений доступен, если вы используете функциональность KEDR. |
|
| Периодическое сообщение, содержащее статус компонентов. |
|