Поле указывает на категорию запрашиваемого URL-адреса.
URL Categories
flexString1
Категория URL.
Search Engines & Portals
Отличия, которые имеются в формате CEF Compact:
Отсутствуют поля:
cs3Label=Source Country; cs3=$src_country;
cs5Label=Destination Country; cs5=$dst_country;
Изменены следующие поля:
cs2Label=SrcZone;
cs3Label=DstZone; cs3=$dst_zone_name;
cs4Label=Data; cs4=$data;
flexString1Label=URLCats;
Значения некоторых полей обрезаются по длине до 80 символов — это общее правило для компактного формата. Например, список url-категорий, url, имя пользователя, имя правила, имя зоны, и т.п.
Формат журнала трафика
Тип поля
Название поля
Описание
Пример значения
CEF заголовок
CEF:Version
Версия CEF.
CEF:0
Device Vendor
Производитель продукта.
UserGate
Device Product
Тип продукта.
NGFW
Device Version
Версия продукта.
7
Source
Тип журнала.
traffic
Rule Type
Тип правила, срабатывание которого вызвало событие.
firewall
Threat Level
Уровень угрозы приложения.
Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).
CEF [расширение]
rt
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
1652344423822
deviceExternalId
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
suser
Имя пользователя.
user_example (Unknown, если пользователь неизвестен)
act
Действие, принятое устройством в соответствии с настроенными политиками.
accept
cs1Label
Поле используется для указания срабатывания правила.
Rule
cs1
Название правила, срабатывание которого вызвало событие.
Allow trusted to untrusted
src
IPv4 источника трафика.
10.10.10.10
spt
Порт источника.
Может принимать значения от 0 до 65535.
cs2Label
Поле используется для индикации зоны источника.
Source Zone
cs2
Название зоны источника.
Trusted
cs3Label
Поле используется для указания страны источника.
Source Country
cs3
Название страны источника.
RU (отображается двухбуквенный код страны)
proto
Используемый протокол 4-го уровня.
TCP или UDP
dst
IPv4 адрес назначения трафика.
194.226.127.130
dpt
Порт назначения.
Может принимать значения от 0 до 65535.
cs4Label
Поле используется для индикации зоны назначения.
Destination Zone
cs4
Название зоны назначения.
Untrusted
cs5Label
Поле используется для указания страны назначения.
Destination Country
cs5
Название страны назначения.
RU (отображается двухбуквенный код страны)
sourceTranslatedAddress
Адрес источника после переназначения (если настроены правила NAT).
192.168.174.134 (0.0.0.0 - если нет)
sourceTranslatedPort
Порт источника после переназначения (если настроены правила NAT).
Может принимать значения от 0 до 65535 (0 - если нет)
destinationTranslatedAddress
Адрес назначения после переназначения (если настроены правила NAT).
192.226.127.130 (0.0.0.0 - если нет)
destinationTranslatedPort
Порт назначения после переназначения (если настроены правила NAT).
Может принимать значения от 0 до 65535 (0 - если нет)
in
Количество переданных входящих байтов; данные передаются в направлении источник - назначение.
231
out
Количество переданных исходящих байтов; данные передаются в направлении назначение - источник.
40
cn1Label
Поле используется для указания количества переданных пакетов в направлении источник - назначение.
Packets sent
cn1
Количество переданных пакетов в направлении источник - назначение.
3
cn2Label
Поле используется для указания количества пакетов, переданных в направлении назначение - источник.
Packets received
cn2
Количество пакетов, переданных в направлении назначение - источник.
1
Формат журнала СОВ
Тип поля
Название поля
Описание
Пример значения
CEF заголовок
CEF:Version
Версия CEF.
CEF:0
Device Vendor
Производитель продукта.
UserGate
Device Product
Тип продукта.
NGFW
Device Version
Версия продукта.
7
Source
Тип журнала.
idps
Signature
Название сработавшей сигнатуры СОВ.
BlackSun Test
Threat Level
Уровень угрозы сигнатуры.
Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2).
CEF [расширение]
rt
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
1652344423822
deviceExternalId
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
suser
Имя пользователя.
user_example (Unknown, если пользователь неизвестен)
act
Действие, принятое устройством в соответствии с настроенными политиками.
accept
cs1Label
Поле используется для указания срабатывания правила.
Rule
cs1
Название правила, срабатывание которого вызвало событие.
IDPS Rule Example
msg
Уровень угрозы сигнатуры и её название.
[2] BlackSun
app
Протокол прикладного уровня.
HTTP
proto
Используемый протокол 4-го уровня.
TCP или UDP
src
IPv4 источника трафика.
10.10.10.10
spt
Порт источника.
Может принимать значения от 0 до 65535.
cs2Label
Поле используется для индикации зоны источника.
Source Zone
cs2
Название зоны источника.
Trusted
cs3Label
Поле используется для указания страны источника.
Source Country
cs3
Название страны источника.
RU (отображается двухбуквенный код страны)
dst
IPv4 адрес назначения трафика.
194.226.127.130
dpt
Порт назначения.
Может принимать значения от 0 до 65535.
cs4Label
Поле используется для индикации зоны назначения.
Destination Zone
cs4
Название зоны назначения.
Untrusted
cs5Label
Поле используется для указания страны назначения.
Destination Country
cs5
Название страны назначения.
RU (отображается двухбуквенный код страны)
in
Количество переданных входящих байтов; данные передаются в направлении источник - назначение.
231
out
Количество переданных исходящих байтов; данные передаются в направлении назначение - источник.
40
Формат журнала АСУ ТП
Тип поля
Название поля
Описание
Пример значения
CEF заголовок
CEF:Version
Версия CEF.
CEF:0
Device Vendor
Производитель продукта.
UserGate
Device Product
Тип продукта.
NGFW
Device Version
Версия продукта.
7
Source
Название журнала.
scada
Name
Тип источника.
log
PDU Severity
Критичность АСУ ТП.
1
CEF [расширение]
rt
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
1652344423822
deviceExternalId
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
act
Действие, принятое устройством в соответствии с настроенными политиками.
accept
cs1Label
Поле используется для указания срабатывания правила.
Rule
cs1
Название правила, срабатывание которого вызвало событие.
Поле используется для указания количества переданных пакетов в направлении источник - назначение.
Packets sent
cn1
Количество переданных пакетов в направлении источник - назначение.
3
cn2Label
Поле используется для указания количества переданных пакетов в направлении назначение - источник.
Packets received
cn2
Количество переданных пакетов в направлении назначение - источник.
1
Формат журнала Windows Active Directory
Тип поля
Название поля
Описание
Пример значения
CEF заголовок
CEF:Version
Версия CEF.
CEF:0
Device Vendor
Производитель продукта.
Usergate
Device Product
Тип продукта.
NGFW
Device Version
Версия продукта.
7
Source
Название журнала.
endpoint_log
Name
Тип источника.
log
Threat Level
Уровень угрозы.
Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2).
CEF [расширение]
rt
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
1701085036026
deviceExternalId
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ntoorereaeda
suser
Имя пользователя.
user1.dep.local
msg
Описание события в журнале AD.
Group membership information
Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: S-1-5-21-3795870133-5220325-2125745684-1103 Account Name: user1 Account Domain: DEP Logon ID: 0xA57A446 Event in sequence: 1 of 1 Group Membership: %{S-1-5-21-3795870133-5220325-2125745684-513} %{S-1-1-0} %{S-1-5-32-544} %{S-1-5-32-555} %{S-1-5-32-545} %{S-1-5-32-554} %{S-1-5-2} %{S-1-5-11} %{S-1-5-15} %{S-1-5-21-3795870133-5220325-2125745684-512} %{S-1-5-21-3795870133-5220325-2125745684-572} %{S-1-5-64-10} %{S-1-16-12288} The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. This event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.
cn1Label
Поле используется для указания кода события из журнала AD.
logEventCode
cn1
Код события.
4627
cn2Label
Поле используется для указания номера идентификатора события из журнала AD.
logEventId
cn2
Идентификатор события.
4627
cn3Label
Поле используется для указания типа события журнала Windows (Система\Безопасность\Приложение и т. д.).
logEventType
cn3
Тип события журнала Windows.
4
cs1Label
Поле используется для указания идентификатора конечного устройства — источника события.
endpointId
cs1
Идентификатор конечного устройства.
16535060-5a1a-4e92-8331-239406ec34da
cs2Label
Поле используется для указания имени конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).
endpointName
cs2
Имя конечного устройства.
dep.local
cs3Label
Поле используется для указания уровня важности события в журнале AD.
logLevel
cs3
Уровень важности события.
Audit Success
cs4Label
Поле используется для указания кода категории события (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)
logCategoryString
cs4
Категория события.
Group Membership
cs5Label
Поле используется для указания файла журнала Windows.
logFile
cs5
Файл журнала Windows
Security
cs6Label
Поле используется для указания источника из журнала AD.
sourceName
cs6
Источник из журнала AD.
Microsoft-Windows-Security-Auditing
flexString1Label
Поле используется для указания содержания события из журнала AD.
insertionString
flexString1
Параметры события из журнала AD после парсинга сообщения.
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
name
Название правила, срабатывание которого вызвало событие.
Mail security rule
user
guid
Уникальный идентификатор пользователя.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя.
user_name
groups
guid
Уникальный идентификатор группы, в которой состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
Описание журнала Windows Active Directory
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node_name
Имя, которое однозначно идентифицирует устройство UserGate, генерирующее это событие.
utmcore@ntoorereaeda
endpoint_id
Идентификатор конечного устройства — источника события.
16535060-5a1a-4e92-8331-239406ec34da
endpoint_name
Имя конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).
dep.local
user_name
Поле «Пользователь» из журнала AD.
user1.dep.local
log_level
Поле «Keywords» из журнала AD.
Audit Success
log_category_string
Код категории события из журнала AD.
Group Membership
log_file
Файл журнала Windows.
Security
source_name
Поле «Источник» из журнала AD.
Microsoft-Windows-Security-Auditing
data
Описание события в журнале AD.
Group membership information.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-3795870133-5220325-2125745684-1103\r\n\tAccount Name:\t\tuser1\r\n\tAccount Domain:\t\tDEP\r\n\tLogon ID:\t\t0x7A25A21\r\n\r\nEvent in sequence:\t\t1 of 1\r\n\r\nGroup Membership:\t\t\t\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-513}\r\n\t\t%{S-1-1-0}\r\n\t\t%{S-1-5-32-544}\r\n\t\t%{S-1-5-32-555}\r\n\t\t%{S-1-5-32-545}\r\n\t\t%{S-1-5-32-554}\r\n\t\t%{S-1-5-2}\r\n\t\t%{S-1-5-11}\r\n\t\t%{S-1-5-15}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-512}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-572}\r\n\t\t%{S-1-5-64-10}\r\n\t\t%{S-1-16-12288}\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThis event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.
computer_name
Узел Windows из журнала AD, на котором произошло событие.
DC1.dep.local
insertion_string
Параметры события из журнала AD после парсинга сообщения.
