Системные типы событий по технологии Обнаружение вторжений

22 марта 2024

ID 187475

В этом разделе приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).

Системные типы событий по технологии Обнаружение вторжений (IDS)

Код

Заголовок типа события

Важность

Условия для регистрации

4000003000

Сработало правило из набора $fileName (системный набор правил)

Определяется по приоритету правила

Сработало правило обнаружения вторжений, входящее в системный набор правил (набор правил находится в активном состоянии).

В заголовке и в описании типа события используются следующие переменные:

  • $fileName – название набора правил;
  • $category – класс правила;
  • $ruleName – название правила;
  • $severity – приоритет правила;
  • $signature_id – идентификатор правила (sid).

     

4000003001

Сработало правило из набора $fileName (пользовательский набор правил)

Определяется по приоритету правила

Сработало правило обнаружения вторжений, входящее в пользовательский набор правил (набор правил находится в активном состоянии).

В заголовке и в описании типа события используются следующие переменные:

  • $fileName – название набора правил;
  • $category – класс правила;
  • $ruleName – название правила;
  • $severity – приоритет правила;
  • $signature_id – идентификатор правила (sid).

     

4000004001

Обнаружены признаки ARP-спуфинга в ARP-ответах

Критические

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами.

В описании типа события используются следующие переменные:

  • $senderIp – подменяемый IP-адрес;
  • $targetIp – IP-адрес целевого узла;
  • $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000004002

Обнаружены признаки ARP-спуфинга в ARP-запросах

Критические

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям.

В описании типа события используются следующие переменные:

  • $senderIp – подменяемый IP-адрес;
  • $targetIp – IP-адрес целевого узла;
  • $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000005100

Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета

Критические

Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают.

4000005101

Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета

Критические

Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел.

4000005102

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого

Критические

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения.

4000005103

Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments)

Важные

Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета.

4000002701

Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах

Критические

Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым.

4000000003

Тестовое событие (IDS)

Информационные

Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам).

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!