Системные типы событий по технологии Обнаружение вторжений
В этом разделе приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).
Системные типы событий по технологии Обнаружение вторжений (IDS)
Код | Заголовок типа события | Важность | Условия для регистрации |
---|---|---|---|
4000003000 | Сработало правило из набора $fileName (системный набор правил) | Определяется по приоритету правила | Сработало правило обнаружения вторжений, входящее в системный набор правил (набор правил находится в активном состоянии). В заголовке и в описании типа события используются следующие переменные:
|
4000003001 | Сработало правило из набора $fileName (пользовательский набор правил) | Определяется по приоритету правила | Сработало правило обнаружения вторжений, входящее в пользовательский набор правил (набор правил находится в активном состоянии). В заголовке и в описании типа события используются следующие переменные:
|
4000004001 | Обнаружены признаки ARP-спуфинга в ARP-ответах | Критические | Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами. В описании типа события используются следующие переменные:
|
4000004002 | Обнаружены признаки ARP-спуфинга в ARP-запросах | Критические | Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям. В описании типа события используются следующие переменные:
|
4000005100 | Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета | Критические | Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают. |
4000005101 | Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета | Критические | Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел. |
4000005102 | Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого | Критические | Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения. |
4000005103 | Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments) | Важные | Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета. |
4000002701 | Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах | Критические | Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым. |
4000000003 | Тестовое событие (IDS) | Информационные | Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам). |