Системные типы событий по технологии Контроль активов
В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).
Системные типы событий по технологии Контроль активов (AM)
Код | Заголовок типа события | Важность | Условия для регистрации |
---|---|---|---|
4000005003 | Обнаружено новое устройство с адресом $owner_ip_or_mac | Критические | В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. В заголовке и в описании типа события используются следующие переменные:
|
4000005004 | Получена новая информация об устройстве с адресом $owner_ip_or_mac | Информационные | В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные:
|
4000005005 | Обнаружен конфликт IP-адреса $owner_ip | Критические | В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные:
|
4000005006 | Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое | Критические | В режиме наблюдения контроля активов или по полученным данным от EPP-программы обнаружена активность устройства, которому был присвоен статус Неиспользуемое. В заголовке и в описании типа события используются следующие переменные:
|
4000005007 | Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac | Критические | В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные:
|
4000005008 | Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip | Информационные | В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные:
|
4000005009 | Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac | Информационные | В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные:
|
4000005010 | Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip | Критические | В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные:
|
4000005011 | Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-программы | Критические | По полученным данным от EPP-программы обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные:
|
4000005012 | Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-программы | Критические | В полученных данных от EPP-программы обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано программой как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные:
|
4000005013 | Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-программы | Критические | По полученным данным от EPP-программы обнаружен конфликт с адресами нескольких устройств в Kaspersky Industrial CyberSecurity for Networks. По данным от EPP-программы, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные:
|
4000005014 | Добавлена подсеть $subnet_mask по данным от EPP-программы | Критические | После получения данных от EPP-программы в список известных подсетей автоматически добавлена новая подсеть. В заголовке и в описании типа события используются следующие переменные:
|
4000005200 | Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005201 | Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005202 | Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция записи неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005203 | Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция записи известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005204 | Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005205 | Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005206 | Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005207 | Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК $asset_name | Критические | При контроле чтения и записи проектов ПЛК обнаружена операция записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005300 | Обнаружена уязвимость $cve_id | Критические | Обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором). В заголовке и в описании типа события используются следующие переменные:
|
4000005303 | Изменены сведения об уязвимости $cve_id | Критические | Обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы). В заголовке и в описании типа события используются следующие переменные:
|
4000000004 | Тестовое событие (AM) | Информационные | Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств). |