Системные типы событий по технологии Контроль активов

Поддержка

Поддержка приложений для бизнеса

Kaspersky Industrial CyberSecurity for Networks

Приложения

Системные типы событий в Kaspersky Industrial CyberSecurity for Networks

Системные типы событий по технологии Контроль активов

22 марта 2024

ID 187476

Скачать PDF

В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).

Системные типы событий по технологии Контроль активов (AM)

Код	Заголовок типа события	Важность	Условия для регистрации
4000005003	Обнаружено новое устройство с адресом $owner_ip_or_mac	Критические	В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – присвоенное имя устройства; $assigned_mac – присвоенный MAC-адрес (если определен); $owner_ip – присвоенный IP-адрес (если определен); $asset_id – идентификатор устройства.
4000005004	Получена новая информация об устройстве с адресом $owner_ip_or_mac	Информационные	В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $updated_params – список обновленных сведений; $asset_id – идентификатор устройства.
4000005005	Обнаружен конфликт IP-адреса $owner_ip	Критические	В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные: $owner_ip – IP-адрес; $challenger_asset_name – имя устройства, которое использовало IP-адрес; $challenger_mac – MAC-адрес устройства, которое использовало IP-адрес; $asset_name – имя устройства, в параметрах которого был указан IP-адрес; $owner_mac – MAC-адрес устройства, в параметрах которого был указан IP-адрес; $challenger_ips_list – список других IP-адресов устройства, которое использовало IP-адрес; $asset_id – идентификатор устройства, в параметрах которого был указан IP-адрес; $challenger_id. – идентификатор устройства, которое использовало IP-адрес.
4000005006	Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое	Критические	В режиме наблюдения контроля активов или по полученным данным от EPP-программы обнаружена активность устройства, которому был присвоен статус Неиспользуемое. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $last_seen_timestamp – дата и время последнего появления устройства в сети; $asset_id – идентификатор устройства.
4000005007	Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac	Критические	В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные: $new_ip_addr – обнаруженный IP-адрес; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $owner_ips_list – список других IP-адресов устройства; $asset_id – идентификатор устройства.
4000005008	Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip	Информационные	В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_mac – обнаруженный MAC-адрес устройства; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005009	Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac	Информационные	В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_ip – обнаруженный IP-адрес устройства; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005010	Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip	Критические	В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные: $new_mac_addr – обнаруженный MAC-адрес; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005011	Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-программы	Критические	По полученным данным от EPP-программы обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные: $owner_mac – старый MAC-адрес устройства; $challenger_mac – новый MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005012	Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-программы	Критические	В полученных данных от EPP-программы обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано программой как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $unaccepted_epp_addresses – адресная информация; $asset_id – идентификатор устройства.
4000005013	Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-программы	Критические	По полученным данным от EPP-программы обнаружен конфликт с адресами нескольких устройств в Kaspersky Industrial CyberSecurity for Networks. По данным от EPP-программы, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные: $conflicted_epp_assets – устройства, у которых обнаружен конфликт адресов; $unaccepted_epp_addresses – адреса, для которых установлена принадлежность одному устройству.
4000005014	Добавлена подсеть $subnet_mask по данным от EPP-программы	Критические	После получения данных от EPP-программы в список известных подсетей автоматически добавлена новая подсеть. В заголовке и в описании типа события используются следующие переменные: $subnet_mask – адрес подсети; $subnet_type – тип подсети.
4000005200	Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время обнаружения операции.
4000005201	Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время сохранения блока в программе.
4000005202	Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время обнаружения операции.
4000005203	Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время сохранения блока в программе.
4000005204	Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время обнаружения операции.
4000005205	Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время сохранения проекта в программе.
4000005206	Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время обнаружения операции.
4000005207	Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время сохранения проекта в программе.
4000005300	Обнаружена уязвимость $cve_id	Критические	Обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором). В заголовке и в описании типа события используются следующие переменные: $cve_id – идентификационный номер уязвимости; $cve_desc – описание уязвимости; $cve_mitigation – рекомендации из базы данных уязвимостей.
4000005303	Изменены сведения об уязвимости $cve_id	Критические	Обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы). В заголовке и в описании типа события используются следующие переменные: $cve_id – идентификационный номер уязвимости; $cve_desc – описание уязвимости; $cve_updated_params – измененные сведения.
4000000004	Тестовое событие (AM)	Информационные	Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств).

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!