Содержание и свойства CEF-сообщений о действиях пользователей в веб-интерфейсе

В заголовке каждого сообщения содержится следующая информация:

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Тип события

Наименование и описание события

Ключ и описание его значения

sensors

Managing the Sensor component

Подключение компонента Sensor к серверу Central Node, изменение настроек компонента.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

sb

Configuring integration with the Sandbox component

Подключение компонента Sandbox к серверу Central Node.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

ex_integration

Configuring integration with external systems

Настройки интеграции с внешними системами.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

ksn_kpsn_mdr

Participation in KSN, KPSN and MDR

Настройка участия в Kaspersky Security Network, включение / отключение использования Kaspersky Private Security Network и настройка интеграции с Kaspersky Managed Detection and Response.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

yara

Managing YARA rules

Операции с правилами YARA.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.
  • device external ID = <идентификатор хоста в режиме распределенного решения>.

ioc

Managing indicator of compromise

Операции с правилами IOC.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.
  • deviceExternalID = <идентификатор хоста в режиме распределенного решения>.

ids

Managing IDS rules

Операции с правилами IDS.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.
  • deviceExternalID = <идентификатор хоста в режиме распределенного решения>.

taa

Managing TAA rules

Операции с правилами TAA (IOA).

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

prevention

Managing prevention rules

Операции с правилами запрета.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

exclusions

Managing scan exclusions

Операции с правилами исключений из проверки.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

tasks

Managing tasks

Операции с задачами.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

network_isolation

Network isolation of Endpoint Agent hosts

Сетевая изоляция хостов Endpoint Agent.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

settings

Settings

Изменение параметров сервера Central Node.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

mt

Managing CN, PCN and SCN servers

Изменение настроек сервера Primary Central Node и Secondary Central Node в режиме распределенного решения и multitenancy.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

user_account

Managing user accounts

Действия с учетными записями пользователей.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

notifications

Sending notifications

Настройка отправки уведомлений на электронный адрес почты.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

license

License

Управление лицензионным ключом.

  • dvs = <IP-адрес сервера>.
  • eventId = <ID события>.
  • rt = <дата и время события>.
  • src = <IP-адрес пользователя>.
  • suser = <имя пользователя>.
  • cs1 = <тип события>.

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

В начало