Системные типы событий по технологии Обнаружение вторжений

02 февраля 2024

ID 187475

В этой статье приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).

Системные типы событий по технологии Обнаружение вторжений (IDS)

Код

Заголовок типа события

Условия для регистрации

4000003000

Сработало правило из набора $fileName (системный набор правил)

Сработало правило обнаружения вторжений, входящее в системный набор правил.

В заголовке и в описании типа события используются следующие переменные:

  • $fileName – название набора правил;
  • $category – класс правила;
  • $ruleName – название правила;
  • $signature_id – идентификатор правила (sid);
  • $action – тип действия с сетевыми пакетами, заданный в правиле (действия типов drop или reject не выполняются в Kaspersky Industrial CyberSecurity for Networks).

4000003001

Сработало правило из набора $fileName (пользовательский набор правил)

Сработало правило обнаружения вторжений, входящее в пользовательский набор правил.

В заголовке и в описании типа события используются следующие переменные:

  • $fileName – название набора правил;
  • $category – класс правила;
  • $ruleName – название правила;
  • $signature_id – идентификатор правила (sid);
  • $action – тип действия с сетевыми пакетами, заданный в правиле (действия типов drop или reject не выполняются в Kaspersky Industrial CyberSecurity for Networks).

4000003002

Обнаружены признаки подбора или сканирования

Сработало правило обнаружения атак с использованием методов подбора или сканирования.

В описании типа события используется переменная $ruleName для названия правила.

4000004001

Обнаружены признаки ARP-спуфинга в ARP-ответах

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами.

В описании типа события используются следующие переменные:

  • $senderIp – подменяемый IP-адрес;
  • $targetIp – IP-адрес целевого узла;
  • $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000004002

Обнаружены признаки ARP-спуфинга в ARP-запросах

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям.

В описании типа события используются следующие переменные:

  • $senderIp – подменяемый IP-адрес;
  • $targetIp – IP-адрес целевого узла;
  • $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000005100

Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета

Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают.

4000005101

Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета

Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел.

4000005102

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения.

4000005103

Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments)

Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета.

4000002701

Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах

Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым.

4000000003

Тестовое событие (IDS)

Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам).

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!