Описание форматов журналов

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

events

Origin

Модуль, в котором произошло событие.

admin_console

Severity

Важность события.

Может принимать значения:

• 1 — информационные.

• 4 — предупреждения.

• 7 — ошибки.

• 10 — критичные.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Тип события.

login_successful

suser

Имя пользователя.

Admin

src

IPv4-адрес источника.

192.168.117.254

cat

Компонент, в котором произошло событие.

console_auth

cs1Label

Поле используется для указания деталей события.

Attributes

cs1

Детали события в формате JSON.

{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня.

TCP.

app

Протокол прикладного уровня и его версия.

HTTP/1.1

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает было ли содержимое расшифровано.

Decrypted

cs6

Расшифровано или нет.

true, false

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString2

Категория URL.

Computers & Technology

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник.

1

cn3Label

Поле указывает исходный ответ сервера.

Response

cn3

Код ответа HTTP.

302

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня.

TCP.

app

Протокол прикладного уровня и его версия.

HTTP/1.1

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URLCats

flexString1

Категория URL.

Computers & Technology

cn1Label

Поле указывает исходный ответ сервера.

Response

cn1

Код ответа HTTP.

302

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

dns

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

block

reason

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

proto

Используемый протокол 4-го уровня.

UDP

dhost

Имя хоста назначения, адрес которого определяется с помощью DNS сервера.

google.com

app

Протокол прикладного уровня.

DNS

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

cs1Label

Поле используется для указания сработавшего правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Rule1

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания передаваемых данных.

Data

cs6

Передаваемые данные.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString1

Категория URL.

Search Engines & Portals

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

dns

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

block

reason

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

proto

Используемый протокол 4-го уровня.

UDP

dhost

Имя хоста назначения, адрес которого определяется с помощью DNS сервера.

google.com

app

Протокол прикладного уровня.

DNS

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

cs1Label

Поле используется для указания сработавшего правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Rule1

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

cs4Label

Поле используется для указания передаваемых данных.

Data

cs4

Передаваемые данные.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URLCats

flexString1

Категория URL.

Search Engines & Portals

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Имя сработавшего приложения

my_app

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

dmac

MAC-адрес назначения.

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник.

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник.

1

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Имя сработавшего приложения

my_app

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

dmac

MAC-адрес назначения.

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Протокол прикладного уровня.

HTTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Протокол прикладного уровня.

HTTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Указание на команду, передаваемую по SSH.

Command

cs6

Команда, передаваемая по SSH, в формате JSON.

whoami

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

cs4Label

Указание на команду, передаваемую по SSH.

Command

cs4

Команда, передаваемая по SSH, в формате JSON.

whoami

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

app

Протокол прикладного уровня.

SMTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

10

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

cs2Label

Поле используется для указания зоны источника.

Source Zone

cs2

Зона источника.

Untrusted

cs3Label

Поле используется для индикации страны источника трафика.

Source Country

cs3

Страна источника трафика.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для указания зоны назначения трафика.

Destination Zone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для индикации страны назначения трафика.

Destination Country

cs5

Страна назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

flexString1Label

Поле используется для указания почтового адреса отправителя.

From

flexString1

Email отправителя.

sender@example.com

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник.

1

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

app

Протокол прикладного уровня.

SMTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

10

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

cs2Label

Поле используется для указания зоны источника.

SrcZone

cs2

Зона источника.

Untrusted

cs4Label

Поле используется для указания зоны назначения трафика.

DstZone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для указания почтового адреса отправителя.

From

cs5

Email отправителя.

sender@example.com

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

suser

Имя пользователя.

user1.dep.local

msg

Описание события в журнале AD.

Group membership information

Subject: Security ID: S-1-0-0 Account Name: — Account Domain: — Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: S-1-5-21-3795870133-5220325-2125745684-1103 Account Name: user1 Account Domain: DEP Logon ID: 0xA57A446 Event in sequence: 1 of 1 Group Membership: %{S-1-5-21-3795870133-5220325-2125745684-513} %{S-1-1-0} %{S-1-5-32-544} %{S-1-5-32-555} %{S-1-5-32-545} %{S-1-5-32-554} %{S-1-5-2} %{S-1-5-11} %{S-1-5-15} %{S-1-5-21-3795870133-5220325-2125745684-512} %{S-1-5-21-3795870133-5220325-2125745684-572} %{S-1-5-64-10} %{S-1-16-12288} The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. This event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.

cn1Label

Поле используется для указания кода события из журнала AD.

logEventCode

cn1

Код события.

4627

cn2Label

Поле используется для указания номера идентификатора события из журнала AD.

logEventId

cn2

Идентификатор события.

4627

cn3Label

Поле используется для указания типа события журнала Windows (Система\Безопасность\Приложение и т. д.).

logEventType

cn3

Тип события журнала Windows.

4

cs1Label

Поле используется для указания идентификатора конечного устройства  — источника события.

endpointId

cs1

Идентификатор конечного устройства.

16535060-5a1a-4e92-8331-239406ec34da

cs2Label

Поле используется для указания имени конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).

endpointName

cs2

Имя конечного устройства.

dep.local

cs3Label

Поле используется для указания уровня важности события в журнале AD.

logLevel

cs3

Уровень важности события.

Audit Success

cs4Label

Поле используется для указания кода категории события (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)

logCategoryString

cs4

Категория события.

Group Membership

cs5Label

Поле используется для указания файла журнала Windows.

logFile

cs5

Файл журнала Windows

Security

cs6Label

Поле используется для указания источника из журнала AD.

sourceName

cs6

Источник из журнала AD.

Microsoft-Windows-Security-Auditing

flexString1Label

Поле используется для указания содержания события из журнала AD.

insertionString

flexString1

Параметры события из журнала AD после парсинга сообщения.

['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%

{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}

\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

syslog

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения:

• 0 — emergencies;

• 1 — alerts;

• 2 — critical;

• 3 — errors;

• 4 — warnings;

• 5 — notifications;

• 6 — informational;

• 7 — debugging.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

msg

Описание события.

[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)

cn1Label

Поле используется для указания типа источника событий syslog.

Подробнее о значениях syslog facility смотрите в RFC 5424.

Facility

cn1

Тип источника событий syslog. Например, user-level messages.

1

cs1Label

Поле используется для указания имени устройства, на котором произошло событие.

Hostname

cs1

Имя компьютера, на котором произошло событие.

node1

cs2Label

Поле используется для указания приложения, вызвавшего событие.

Tag

cs2

Приложение, вызвавшее событие.

org.gnome.Shell.desktop

cs3Label

Поле используется для указания идентификатора процесса события.

ProcessID

cs3

PID процесса вызвавшего событие.

3036

cs4Label

Поле используется для указания срабатывания правила.

Rule

cs4

Название правила, срабатывание которого вызвало событие.

Example — Allow user-level messages

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

radius

Name

Тип источника.

log

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Статус пользователя (acct_status_type).

start, stop, interim update, accounting-on, accounting-off

suser

Имя пользователя.

Unknown, если пользователь неизвестен.

src_ip

IP-адрес источника, откуда пришло сообщение.

192.168.57.4

dst

IP-адрес NAS, авторизовавшего пользователя.

172.16.1.4

dvc

IP-аадрес пользователя (framed ip address). 

192.168.57.29

cs1Label

Поле используется для указания группы, в которой состоит пользователь.

user groups

cs1

Строка групп в которых состоит пользователь.

test_group

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

userid

Name

Тип источника.

log

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

login

reason

Причина, по которой было создано событие.

{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"],

"user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624}

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

dev.local

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

ip_address

IPv4-адрес источника события.

192.168.174.134

attributes

Детали события в формате JSON.

{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}

event_type

Тип события.

logexport_rule_updated

event_severity

Важность события.

info (информационные), warning (предупреждения), error (ошибки), critical (критичные).

event_origin

Модуль, в котором произошло событие.

core

event_component

Компонент, в котором произошло событие.

console_auth

user

Имя пользователя.

{"guid":"37333739-3733-3734-3635-366400000000","name":"System","groups":[]}}

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

reasons

Причина, по которой было создано событие, например, причина блокировки сайта.

"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]

proto

Используемый протокол 4-го уровня.

TCP

host

Имя хоста.

www.google.com

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

bytes_sent

Количество байтов, переданных в направлении источник — назначение.

52

bytes_recv

Количество пакетов, переданных в направлении назначение — источник.

100

packets_sent

Количество пакетов, переданных в направлении источник — назначение.

2

packets_recv

Количество байтов, переданных в направлении назначение — источник.

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

media_type

Тип контента.

application/json

status_code

Код ответа HTTP.

302

http_referer

URL источника запроса (реферер HTTP).

https://www.google.com/

decrypted

Поле указывает было ли содержимое расшифровано.

true, false

useragent

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

application

id

Идентификатор приложения.

20

name

Название приложения.

Youtube

threat_level

Уровень угрозы приложения.

0

app_protocol

Протокол прикладного уровня и его версия.

HTTP\/1.1"

url_categories

id

Идентификатор категории, к которой относится URL.

39

threat_level

Уровень угрозы категории URL.

Может принимать значения:

• 1 — очень низкий.

• 2 — низкий.

• 3 — средний.

• 4 — высокий.

• 5 — очень высокий.

name

Название категории, к которой относится URL.

Social Networking

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника.

Trusted

country

Страна источника трафика.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника

01:23:45:67:89:AB

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Страна назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения.

192.168.174.134

port

Порт назначения.

Может принимать значения от 0 до 65535.

mac

MAC-адрес назначения.

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события.

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила.

Default allow

type

Тип сработавшего правила.

user

guid

Уникальный идентификатор пользователя.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя

user_name

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

00000000-0000-0000-0000-000000000000

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

reasons

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

proto

Используемый протокол 4-го уровня.

UDP

host

Имя хоста.

google.com

data

Поле используется для указания передаваемых данных.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

url_categories

id

Идентификатор сработавшей URL-категории.

37

threat_level

Уровень угрозы сработавшей категории.

Может принимать значения:

• 1 — очень низкий.

• 2 — низкий.

• 3 — средний.

• 4 — высокий.

• 5 — очень высокий.

name

Название сработавшей категории.

Search Engines & Portals

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

application

id

Идентификатор приложения.

5

name

Название приложения.

threat_level

Уровень угрозы приложения.

0

app_protocol

Протокол прикладного уровня.

DNS

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

01:23:45:67:89:AB

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

mac

MAC-адрес назначения

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Rule1

Type

Тип сработавшего правила.

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

user1

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

proto

Используемый протокол 4-го уровня.

TCP или UDP

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

bytes_sent

Количество байтов, переданных в направлении источник — назначение.

100

bytes_recv

Количество байтов, переданных в направлении назначение — источник.

6

packets_recv

Количество пакетов, переданных в направлении назначение — источник.

1

packets_sent

Количество пакетов, переданных в направлении источник — назначение.

1

json_data

Дополнительные данные.

null

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

• 1 — очень низкий.

• 2 — низкий.

• 3 — средний.

• 4 — высокий.

• 5 — очень высокий.

app_protocol

Протокол прикладного уровня.

HTTP

name

Название приложения.

Youtube

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

nat

source

ip

Адрес источника после переназначения (если настроены правила NAT).

192.168.117.85 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

destination

ip

Адрес назначения после переназначения (если настроены правила NAT).

64.233.164.198 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила.

firewall

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

proto

Используемый протокол 4-го уровня.

TCP или UDP

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

bytes_sent

Количество байтов, переданных в направлении источник — назначение.

100

bytes_recv

Количество байтов, переданных в направлении назначение — источник.

6

packets_sent

Количество пакетов, переданных в направлении источник — назначение.

1

packets_recv

Количество пакетов, переданных в направлении назначение — источник.

1

json_data

Дополнительные данные.

null

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

• 1 — очень низкий.

• 2 — низкий.

• 3 — средний.

• 4 — высокий.

• 5 — очень высокий.

name

Название приложения.

Youtube

app_protocol

Протокол прикладного уровня.

HTTP

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

type

Тип сработавшего правила

idps

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

• 1 — очень низкий.

• 2 — низкий.

• 3 — средний.

• 4 — высокий.

• 5 — очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

01:23:45:67:89:AB

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения.

Может принимать значения от 0 до 65535.

mac

MAC-адрес назначения.

01:23:45:67:89:AB

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

command

Команда, передаваемая по SSH.

whoami

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

application

id

Идентификатор приложения.

195

name

Название приложения.

threat_level

Уровень угрозы приложения.

Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).

app_protocol

Протокол прикладного уровня.

SSH или SFTP

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

FA:16:3E:65:1C:B4

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения.

Может принимать значения от 0 до 65535.

mac

MAC-адрес назначения.

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SSH Rule Example

type

Тип сработавшего правила.

ssh

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

action

Действие, принятое устройством в соответствии с настроенными политиками.

mark

bytes_sent

Количество байтов, переданных в направлении источник — назначение.

0

bytes_recv

Количество байтов, переданных в направлении назначение — источник.

0

packets_sent

Количество пакетов, переданных в направлении источник — назначение.

0

packets_rcv

Количество пакетов, переданных в направлении назначение — источник.

0

decrypted

Поле указывает было ли содержимое расшифровано.

true, false

from

Почтовый адрес отправителя.

sender@example.com

to

Почтовый адрес получателя.

receiver@example.com

application

id

Идентификатор приложения.

9

name

Название приложения.

threat_level

Уровень угрозы приложения.

Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).

app_protocol

Сетевой протокол прикладного уровня.

SMTP

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

01:23:45:67:89:AB

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

10.10.10.10

port

Порт назначения.

Может принимать значения от 0 до 65535.

port

MAC-адрес назначения.

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Mail security rule

type

Тип сработавшего правила.

Mail security rule

user

guid

Уникальный идентификатор пользователя.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

user_name

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node_name

Имя, которое однозначно идентифицирует устройство UserGate, генерирующее это событие.

utmcore@ntoorereaeda

endpoint_id

Идентификатор конечного устройства — источника события.

16535060-5a1a-4e92-8331-239406ec34da

endpoint_name

Имя конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).

dep.local

user_name

Поле «Пользователь» из журнала AD.

user1.dep.local

log_level

Поле «Keywords» из журнала AD.

Audit Success

log_category_string

Код категории события из журнала AD.

Group Membership

log_file

Файл журнала Windows.

Security

source_name

Поле «Источник» из журнала AD.

Microsoft-Windows-Security-Auditing

data

Описание события в журнале AD.

Group membership information.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-3795870133-5220325-2125745684-1103\r\n\tAccount Name:\t\tuser1\r\n\tAccount Domain:\t\tDEP\r\n\tLogon ID:\t\t0x7A25A21\r\n\r\nEvent in sequence:\t\t1 of 1\r\n\r\nGroup Membership:\t\t\t\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-513}\r\n\t\t%{S-1-1-0}\r\n\t\t%{S-1-5-32-544}\r\n\t\t%{S-1-5-32-555}\r\n\t\t%{S-1-5-32-545}\r\n\t\t%{S-1-5-32-554}\r\n\t\t%{S-1-5-2}\r\n\t\t%{S-1-5-11}\r\n\t\t%{S-1-5-15}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-512}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-572}\r\n\t\t%{S-1-5-64-10}\r\n\t\t%{S-1-16-12288}\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThis event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.

computer_name

Узел Windows из журнала AD, на котором произошло событие.

DC1.dep.local

insertion_string

Параметры события из журнала AD после парсинга сообщения.

['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%

{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}

\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']

error

Код ошибки из журнала AD, которая произошла при получении данных.

0

status

Описание ошибки из журнала AD, которая произошла при получении данных.

counter_id

Идентификатор счетчика WMI сенсора.

login_logout

log_event_code

Поле «Код события» из журнала AD.

4627

log_event_id

Поле «Идентификатор события» из журнала AD.

4627

log_event_type

Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.).

4

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

syslog_facility

Тип источника события syslog. Например, user-level messages.

Подробнее о значениях syslog facility смотрите в RFC 5424.

1

syslog_severity

Уровень важности события syslog. Например, warning.

Подробнее о значениях syslog severity смотрите в RFC 5424.

4

computer_name

Имя устройства, на котором произошло событие.

node1

app_name

Приложение, вызвавшее событие.

org.gnome.Shell.desktop

process_id

PID процесса, вызвавшего событие.

3036

data

Описание события.

[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

16535060-5a1a-4e92-8331-239406ec34da

name

Название правила, срабатывание которого вызвало событие.

Example — Allow user-level messages

type

Тип сработавшего правила.

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

event_type

Статус пользователя (acct_status_type).

start, stop, interim update, accounting-on, accounting-off

action

Действие, принятое устройством в соответствии с настроенными политиками.

login

src_ip

IP-адрес источника, откуда пришло сообщение.

192.168.57.4

nas_ip

IP-адрес NAS, авторизовавшего пользователя.

172.16.1.4

framed_ip

IP-адрес пользователя.

192.168.57.29

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

16535060-5a1a-4e92-8331-239406ec34da

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

745591c3-9d21-092d-8db4-5b9b0000044f 

name

Имя пользователя.

user_name

groups

Название группы, в которой состоит пользователь.

test_group

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

reasons

Причина, по которой было создано событие.

{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"],

\"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624}

action

Действие, принятое устройством в соответствии с настроенными политиками.

login

src_ip

IPv4 источника события.

10.10.0.11

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

16535060-5a1a-4e92-8331-239406ec34da

name

Название правила, срабатывание которого вызвало событие.

dev.local

type

Тип сработавшего правила.

syslog

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

745591c3-9d21-092d-8db4-5b9b0000044f 

name

Имя пользователя.

user1

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

aa218609-8716-9252-df20-88c43a0d0bf6

name

Название группы, в которой состоит пользователь.

CN=Domain Users,CN=Users,DC=dev,DC=local