Экспорт журналов в формате CEF

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

events

Origin

Модуль, в котором произошло событие.

admin_console

Severity

Важность события.

Может принимать значения:

• 1 — информационные.

• 4 — предупреждения.

• 7 — ошибки.

• 10 — критичные.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Тип события.

login_successful

suser

Имя пользователя.

Admin

src

IPv4-адрес источника.

192.168.117.254

cat

Компонент, в котором произошло событие.

console_auth

cs1Label

Поле используется для указания деталей события.

Attributes

cs1

Детали события в формате JSON.

{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня.

TCP.

app

Протокол прикладного уровня и его версия.

HTTP/1.1

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает было ли содержимое расшифровано.

Decrypted

cs6

Расшифровано или нет.

true, false

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString2

Категория URL.

Computers & Technology

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник.

1

cn3Label

Поле указывает исходный ответ сервера.

Response

cn3

Код ответа HTTP.

302

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

dns

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

block

reason

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

proto

Используемый протокол 4-го уровня.

UDP

dhost

Имя хоста назначения, адрес которого определяется с помощью DNS сервера.

google.com

app

Протокол прикладного уровня.

DNS

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

cs1Label

Поле используется для указания сработавшего правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Rule1

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания передаваемых данных.

Data

cs6

Передаваемые данные.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString1

Категория URL.

Search Engines & Portals

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Имя сработавшего приложения

my_app

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

dmac

MAC-адрес назначения.

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник.

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник.

1

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Протокол прикладного уровня.

HTTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

scada

Name

Тип источника.

log

PDU Severity

Критичность АСУ ТП.

Может принимать значения:

• 1 — очень низкий.

• 2 — низкий.

• 3 — средний.

• 4 — высокий.

• 5 — очень высокий.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

Modbus

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Scada Rule Example

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает на информацию об устройстве.

PDU Details

cs6

Информация об устройстве в формате JSON.

{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0}

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Указание на команду, передаваемую по SSH.

Command

cs6

Команда, передаваемая по SSH, в формате JSON.

whoami

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

cs4Label

Указание на команду, передаваемую по SSH.

Command

cs4

Команда, передаваемая по SSH, в формате JSON.

whoami

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

app

Протокол прикладного уровня.

SMTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

10

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

cs2Label

Поле используется для указания зоны источника.

Source Zone

cs2

Зона источника.

Untrusted

cs3Label

Поле используется для индикации страны источника трафика.

Source Country

cs3

Страна источника трафика.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для указания зоны назначения трафика.

Destination Zone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для индикации страны назначения трафика.

Destination Country

cs5

Страна назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

flexString1Label

Поле используется для указания почтового адреса отправителя.

From

flexString1

Email отправителя.

sender@example.com

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник.

1

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

app

Протокол прикладного уровня.

SMTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

10

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

cs2Label

Поле используется для указания зоны источника.

SrcZone

cs2

Зона источника.

Untrusted

cs4Label

Поле используется для указания зоны назначения трафика.

DstZone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для указания почтового адреса отправителя.

From

cs5

Email отправителя.

sender@example.com

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Severity

Важность события.

Может принимать значения:

• 1 — error;

• 2 — warning;

• 3 — info;

• 4 — audit success;

• 5 — audit failure.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

msg

Подробная информация о событии.

Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.

suser

Имя пользователя.

Admin

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для индикации имени конечного устройства или сенсора.

endpointName

cs2

Имя конечного устройства или сенсора.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания на тип события.

logLevel

cs3

Тип события.

Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка

cs4Label

Поле используется для указания категории события.

logCategoryString

cs4

Категория события.

Special Logon

cs5Label

Поле используется для индикации типа журнала.

logFile

cs5

Тип журнала, содержащего важную информацию о программных и аппаратных событиях.

Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell

cs6Label

Поле используется для указания на источник журнала событий.

sourceName

cs6

Источник журнала событий.

Microsoft-Windows-Security-Auditing

cn1Label

Поле используется для индикации кода события журнала.

logEventCode

cn1

Код события журнала.

1154

cn2Label

Поле используется для указания на идентификатор события.

logEventId

cn2

Идентификатор события.

10016

cn3Label

Поле используется для индикации типа события лога.

logEventType

cn3

Тип события лога.

1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).

flexString1Label

Поле используется для индикации строки вставки.

insertionString

flexString1

Строка вставки – данные блока EventData события Windows.

Windows DefenderSECURITY_PRODUCT_STATE_ON

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP

shost

Имя хоста.

www.google.com

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

filePath

Приложение, к которому было применено правило межсетевого экрана.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания правила, срабатывание которого создало запись в журнале.

Rule

cs3

Название правила.

Test rule name

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

Categories

flexString2

Категория URL.

Computers & Technology

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP

shost

Имя хоста.

www.google.com

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

filePath

Приложение, к которому было применено правило межсетевого экрана.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания правила, срабатывание которого создало запись в журнале.

Rule

cs3

Название правила.

Test rule name

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_applications

Name

Тип источника.

log

Threat Level

Значение по умолчанию.

0

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие (запуск или остановка приложения).

start, stop

suser

Пользователь.

DESKTOP-0731NFQ\User

filePath

Расположение файла.

C:\\Windows\\system32\\cmd.exe

spid

Идентификатор процесса.

3860

fileHash

Хэш приложения.

B4979A9F970029889713D756C3F123643DDE73DA

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для индикации командной строки.

cmdLine

cs3

Запрос командной строки.

C:\\Windows\\system32\\sc.exe start w32time task_started

cs4Label

Поле используется для указания идентификатора сессии.

sessionId

cs4

Идентификатор сессии.

1656395717

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_hardware

Name

Тип источника.

log

Threat Level

Значение по умолчанию.

0

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие (подключение или извлечение устройства).

add_device, remove_device

sourceServiceName

Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.

USBHUB3

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания идентификатора подключаемого/извлекаемого устройства.

deviceId

cs3

Идентификатор устройства.

USB\\VID_0E0F&PID_0002\\6&201153C1&0&8

cs4Label

Поле используется для индикации имени устройства.

deviceName

cs4

Название устройства.

Kingston DataTraveler 2.0 USB Device

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

suser

Имя пользователя.

user1.dep.local

msg

Описание события в журнале AD.

Group membership information

Subject: Security ID: S-1-0-0 Account Name: — Account Domain: — Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: S-1-5-21-3795870133-5220325-2125745684-1103 Account Name: user1 Account Domain: DEP Logon ID: 0xA57A446 Event in sequence: 1 of 1 Group Membership: %{S-1-5-21-3795870133-5220325-2125745684-513} %{S-1-1-0} %{S-1-5-32-544} %{S-1-5-32-555} %{S-1-5-32-545} %{S-1-5-32-554} %{S-1-5-2} %{S-1-5-11} %{S-1-5-15} %{S-1-5-21-3795870133-5220325-2125745684-512} %{S-1-5-21-3795870133-5220325-2125745684-572} %{S-1-5-64-10} %{S-1-16-12288} The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. This event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.

cn1Label

Поле используется для указания кода события из журнала AD.

logEventCode

cn1

Код события.

4627

cn2Label

Поле используется для указания номера идентификатора события из журнала AD.

logEventId

cn2

Идентификатор события.

4627

cn3Label

Поле используется для указания типа события журнала Windows (Система\Безопасность\Приложение и т. д.).

logEventType

cn3

Тип события журнала Windows.

4

cs1Label

Поле используется для указания идентификатора конечного устройства  — источника события.

endpointId

cs1

Идентификатор конечного устройства.

16535060-5a1a-4e92-8331-239406ec34da

cs2Label

Поле используется для указания имени конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).

endpointName

cs2

Имя конечного устройства.

dep.local

cs3Label

Поле используется для указания уровня важности события в журнале AD.

logLevel

cs3

Уровень важности события.

Audit Success

cs4Label

Поле используется для указания кода категории события (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)

logCategoryString

cs4

Категория события.

Group Membership

cs5Label

Поле используется для указания файла журнала Windows.

logFile

cs5

Файл журнала Windows

Security

cs6Label

Поле используется для указания источника из журнала AD.

sourceName

cs6

Источник из журнала AD.

Microsoft-Windows-Security-Auditing

flexString1Label

Поле используется для указания содержания события из журнала AD.

insertionString

flexString1

Параметры события из журнала AD после парсинга сообщения.

['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%

{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}

\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

syslog

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения:

• 0 — emergencies;

• 1 — alerts;

• 2 — critical;

• 3 — errors;

• 4 — warnings;

• 5 — notifications;

• 6 — informational;

• 7 — debugging.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

msg

Описание события.

[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)

cn1Label

Поле используется для указания типа источника событий syslog.

Подробнее о значениях syslog facility смотрите в RFC 5424.

Facility

cn1

Тип источника событий syslog. Например, user-level messages.

1

cs1Label

Поле используется для указания имени устройства, на котором произошло событие.

Hostname

cs1

Имя компьютера, на котором произошло событие.

node1

cs2Label

Поле используется для указания приложения, вызвавшего событие.

Tag

cs2

Приложение, вызвавшее событие.

org.gnome.Shell.desktop

cs3Label

Поле используется для указания идентификатора процесса события.

ProcessID

cs3

PID процесса вызвавшего событие.

3036

cs4Label

Поле используется для указания срабатывания правила.

Rule

cs4

Название правила, срабатывание которого вызвало событие.

Example — Allow user-level messages

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

userid

Name

Тип источника.

log

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

login

reason

Причина, по которой было создано событие.

{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"],

"user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624}

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

dev.local