Узел
|
node
|
Показано имя узла устройства NGFW или SIEM.
|
Время
|
date
|
Указано время события или срабатывания правила аналитики. Отображается в часовом поясе, настроенном на UserGate SIEM.
|
Время первого события
|
triggeredAlertFirstEventDate
|
Для журнала срабатываний: отображено время первого события, попавшего под срабатывание правила аналитики.
|
Время последнего события
|
triggeredAlertLastEventDate
|
Для журнала срабатываний: отображено время последнего события, попавшего под срабатывание правила аналитики.
|
Источник
|
source
|
Показан журнал, в который записано событие: журналы SIEM, NGFW, конечных устройств, срабатываний.
|
Важность
|
severity
|
Отражена категория события журналов событий NGFW, SIEM:
-
Информационные: как правило, не требуют внимания администратора.
-
Предупреждение: предупреждают о возможных проблемах.
-
Ошибка: сообщают об ошибках.
-
Критические: сообщают о серьёзных ошибках, которые могут повлиять на функциональность.
|
Компонент
|
component
|
Отражён компонент, в котором произошло событие (например: обновления, настройки, консольная авторизация, аналитика и т.п.). Относится к записям журнала событий NGFW и SIEM.
|
Тип события
|
event
|
Отображён тип события из журнала событий NGFW, SIEM (например: проверка, скачивание, установка обновлений, успешная/неуспешная авторизация, поиск параметров и т.п.).
|
Пользователь
|
user
|
Показано имя пользователя, с учётной записи которого был совершён вход в систему NGFW, SIEM, конечного устройства. Относится к записям журналов событий NGFW, SIEM и конечных устройств, веб доступа, трафика, СОВ, срабатываний.
|
Модуль
|
module
|
Указан модуль, в котором произошло событие (например: Web console, Core, VPN сервер и т.п.). Относится к записям журнала событий NGFW, SIEM.
|
Учёт изменений
|
changeTracker
|
Указан тип изменений (журнал событий SIEM, NGFW). Возможные типы изменений пользователь может задать самостоятельно.
|
Данные
|
data
|
Представлена подробная информация о событии. Относится к записям журналов событий конечных устройств и Syslog.
|
Информация
|
details
|
Представлена подробная информация о событии из журнала событий SIEM и NGFW.
|
Правило
|
rule
|
Отображено название правила аналитики, межсетевого экрана, контентной фильтрации, АСУ ТП или СОВ.
|
Действие
|
action
|
Отображено действие, настроенное в правилах межсетевого экрана, контентной фильтрации, АСУ ТП или СОВ:
-
Разрешить (allow/pass/allow_webaccess): действие, настроенное в правилах межсетевого экрана, СОВ или контентной фильтрации.
-
Безопасный поиск ('safe browsing').
-
Captive-портал ('captive portal').
-
Предупредить (warning): действие, настроенное в правилах контентной фильтрации.
-
Уведомление (alert): относится к DoS защите на зоне.
-
NAT (nat).
-
DNAT (dnat).
-
Порт-форвардинг ('port forwarding').
-
Policy-based routing ('policy based routing').
-
Network mapping ('network mapping').
-
Запретить (deny/drop/deny_webaccess): действие, настроенное в правилах межсетевого экрана, СОВ или контентной фильтрации.
-
Расшифровать (decrypt): действие, настроенное в правилах инспектирования.
-
Журналировать (log): действие, настроенное в правилах СОВ.
-
Пропускать (pass): действие, настроенное в правилах АСУ ТП.
-
Блокировать (drop): действие, настроенное в правилах АСУ ТП.
|
Приложение
|
application
|
Название приложения. Относится к записям журнала трафика, СОВ, Syslog, журналов правил и приложений конечных устройств.
|
Угроза приложения
|
applicationThreat
|
Уровень угрозы приложения. Относится к записям журнала веб-доступа, трафика и СОВ.
|
Сетевой протокол
|
networkProtocol
|
Показан транспортный протокол подключения, использующийся для доступа к ресурсу. Относится к записям журналов трафика, СОВ, журнала правил конечных устройств.
|
Протокол прикладного уровня
|
httpProtocol
|
Указана версия HTTP протокола. Относится к записям журнала веб-доступа.
|
Категории сайтов
|
urlCategory
|
Отображены категории, к которым относится сайт. Относится к записям журнала веб-доступа и журнала правил конечных устройств.
|
Угроза URL-категории
|
urlCategoryThreat
|
Уровень угрозы категории URL. Параметр относится к записям журнала веб-доступа.
|
Причины
|
|
Отображены причины из журнала веб-доступа (например: причина блокировки).
|
HTTP метод
|
httpMethod
|
Отображен метод HTTP (основная операция над ресурсом).
-
OPTIONS: используется для определения возможностей веб-сервера или параметров соединения для конкретного ресурса.
-
GET: используется для запроса содержимого указанного ресурса.
-
HEAD: аналогичен методу GET, за исключением того, что в ответе сервера отсутствует тело.
-
POST: применяется для передачи пользовательских данных заданному ресурсу.
-
PUT: используется для загрузки содержимого запроса на указанный в запросе URI.
-
PATCH: аналогично PUT, но применяется только к фрагменту ресурса.
-
DELETE: удаляет указанный ресурс.
-
TRACE: возвращает полученный запрос так, что клиент может увидеть, какую информацию промежуточные серверы добавляют или изменяют в запросе.
-
CONNECT: преобразует соединение запроса в прозрачный TCP/IP-туннель.
Относится к записям журнала веб-доступа.
|
Код ответа HTTP
|
statusCode
|
Отображён код состояния, являющийся частью первой строки ответа от сервера при запросах по протоколу HTTP. Относится к записям журнала веб-доступа.
|
Тип контента
|
mime
|
Показан тип контента. Является записью журнала веб-доступа и журнала правил конечных устройств.
|
URL
|
url
|
Показан URL-адрес ресурса, к которому было выполнено обращение. Относится к записям журнала веб-доступа.
|
Реферер
|
referer
|
Отображён URL-адрес предыдущей страницы (если есть). Относится к записям журнала веб-доступа.
|
Операционная система
|
operatingSystem
|
Отображён тип операционной системы устройства пользователя. Относится к записям журнала веб-доступа и СОВ.
|
User-agent
|
userAgent
|
Указан Useragent пользовательского браузера. Относится к записям журнала веб-доступа.
|
Сигнатуры
|
signature
|
Отображено имя сработавшей сигнатуры системы обнаружения вторжений (СОВ). Является параметром журнала СОВ.
|
Угроза сигнатуры
|
signatureThreat
|
Уровень угрозы сигнатуры. Относится к записям журнала СОВ.
|
Зона источника
|
zoneSource
|
Указана зона источника. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ.
|
IP источника
|
ipSource
|
Показан IP-адрес источника трафика. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ, журнала правил конечных устройств.
|
Порт источника
|
portSource
|
Отображён номер порта источника, через который осуществляется подключение. Относится к записям журналов веб-доступа, трафика, СОВ, журнала правил конечных устройств.
|
MAC источника
|
macSource
|
Показан МАС-адрес источника. Относится к записям журналов трафика и СОВ.
|
Зона назначения
|
zoneDest
|
Отображена зона назначения. Относится к записям журналов веб-доступа, трафика, СОВ, журнала правил конечных устройств.
|
IP назначения
|
ipDest
|
Показан IP-адрес назначения трафика. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ, журнала правил конечных устройств.
|
Порт назначения
|
portDest
|
Указан номер порта назначения, используемый транспортным протоколом. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ, журнала правил конечных устройств.
|
MAC назначения
|
macDest
|
Показан МАС-адрес назначения. Относится к записям журналов трафика и СОВ.
|
NAT адрес источника
|
natIpSource
|
Отображён NAT IP-адрес источника (если настроены правила NAT). Относится к записям журнала трафика.
|
NAT порт источника
|
natPortSource
|
Отображён NAT порт источника (если настроены правила NAT). Относится к записям журнала трафика.
|
NAT адрес назначения
|
natIpDest
|
Отображён NAT IP-адрес назначения (если настроены правила NAT). Относится к записям журнала трафика.
|
NAT порт назначения
|
natPortDest
|
Отображён NAT порт назначения (если настроены правила NAT). Относится к записям журнала трафика.
|
Байт отправлено/получено
|
bytesSent/bytesRecv
|
Отображён отправленный/полученный объём информации. Относится к записям журналов трафика и веб-доступа.
|
Пакетов отправлено/получено
|
packetSent/packetRecv
|
Показано количество отправленных/полученных пакетов. Относится к записям журналов трафика и веб-доступа.
|
Конечное устройство/сенсор
|
sensor
|
Отображено имя конечного устройства/сенсора. Относится к записям журнала событий конечных устройств.
|
Счётчик
|
counter
|
Название счётчика, добавленного в WMI и SNMP сенсор. Относится к записям журнала событий конечных устройств.
|
Объект SNMP
|
snmpObject
|
Указан идентификатор SNMP объекта (SNMP OID). Относится к записям журнала событий конечных устройств.
|
Тип SNMP объекта
|
snmpObjectType
|
Указан тип SNMP объекта. Относится к записям журнала событий конечных устройств.
|
Статус
|
status
|
Отображён результат выполнения WMI или SNMP запроса (OK или Error). Относится к записям журнала событий конечных устройств.
|
Ошибка
|
error
|
Показана ошибка WMI или SNMP, возникшая в результате выполнения запроса. Относится к записям журнала событий конечных устройств.
|
Протокол АСУТП
|
scadaProtocol
|
Указан протокол SCADA (Supervisory Control And Data Acquisition - диспетчерское управление и сбор данных).
-
IEC 104 (ГОСТ Р МЭК 60870-5-104).
-
Modbus.
-
DNP3 (Distributed Network Protocol).
-
MMS (Manufacturing Message Specification).
-
OPC UA (Open Platform Communications Unified Architecture).
Относится к записям журнала АСУ ТП.
|
Уровень лога
|
logLevel
|
Указан тип события:
-
Audit Success (успешный аудит): событие журнала безопасности, которое происходит при успешном обращении к аудируемым ресурсам.
-
Audit Failure (неуспешный аудит): событие журнала безопасности, которое происходит при неуспешном обращении к аудируемым ресурсам.
-
Error (ошибка): событие указывает на существенные проблемы, которые могут стать причиной потери функциональности или данных.
-
Information (сведения): информационные события, которые, как правило, не требуют внимания администратора.
-
Warning (предупреждение): события указывают на проблемы, которые не требуют немедленного исправления, однако могут привести к ошибкам в будущем.
Относится к записям журнала событий конечных устройств.
|
Источник журнала событий
|
logEventSource
|
Отображено название программного обеспечения, которое сформировало запись события в журнал. Относится к записям журнала событий конечных устройств.
|
Категория лога
|
logCategory
|
Указана категория лога, необходимая для упорядочивания событий. Данные берутся из Windows EventLog. Каждый источник может определять свои идентификаторы категорий. Относится к записям журнала событий конечных устройств.
|
Категория задачи
|
taskCategory
|
Показана категория задачи. Является записью журнала событий конечных устройств.
|
Имя компьютера
|
computerName
|
Представлено полное имя конечного устройства. Относится к записям журналов событий конечных устройств, Syslog.
|
Код события лога
|
logEventCode
|
Отображён код события лога, соответствующий определённому событию. Является записью журнала событий конечных устройств.
|
Идентификатор события лога
|
logEventId
|
Показан идентификатор события лога, который определяет первичный идентификатор события. Относится к записям журнала событий конечных устройств.
|
Тип события лога
|
logEventType
|
Отображён тип события лога. Он представлен параметрами, каждый из которых соответствует уровню лога:
-
1 — уровень лога: error.
-
2 — уровень лога: warning.
-
3 — уровень лога: information.
-
4 — уровень лога: audit success.
-
5 — уровень лога: audit failure.
Относится к записям журнала событий конечных устройств.
|
Строка вставки
|
insertionString
|
Отображены данные блока EventData события Windows. Относится к записям журнала событий конечных устройств.
|
Файл журнала лога
|
logFile
|
Показана информация из журнала событий конечных устройств, т.е. информация о важных программных и аппаратных событиях. Типы журналов:
-
Application (файл журнала приложений): для событий приложений и служб.
-
Security (файл журнала безопасности): для событий системы аудита.
-
System (файл системного журнала): для событий драйверов устройств.
-
CustomLog: журнал содержит события, регистрируемые приложениями, которые создают пользовательский журнал. Использование пользовательского журнала позволяет приложению управлять размером журнала или присоединять списки управления доступом в целях безопасности, не затрагивая другие приложения.
Относится к записям журнала событий конечных устройств.
|
Команда
|
scadaCommand
|
Отображена команда управления АСУ ТП (например: чтение или запись). Относится к записям журнала АСУ ТП.
|
Адрес регистра
|
scadaAddress
|
Представлен адрес регистра, с которым необходимо провести операцию (запись или чтение). Относится к записям журнала АСУ ТП.
|
Номер ASDU
|
scadaAsdu
|
Показан адрес ASDU (COA - Common Object Address). Параметр относится к протоколу IEC-104. Относится к записям журнала АСУ ТП.
|
Идентификатор устройства
|
scadaDevice
|
Указан уникальный номер устройства, содержащийся в базе данных OPC-сервера. Параметр относится к протоколу OPC UA. Относится к записям журнала АСУ ТП.
|
Имя переменной
|
scadaVarname
|
Отображено имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS. Относится к записям журнала АСУ ТП.
|
Хэш
|
hash
|
Показан хэш приложения. Является параметром журнала приложений конечных устройств.
|
Объект
|
facility
|
Отображена категория события. Относится к записям журнала Syslog. Возможны следующие значения:
-
Сообщения ядра.
-
Сообщения пользовательские.
-
Почтовая система.
-
Системный сервис.
-
Безопасность/авторизация.
-
Сообщения syslog.
-
Система печати LPR.
-
Система сетевых новостей.
-
Подсистема UUCP.
-
Сервис времени.
-
Безопасность/аутентификация.
-
FTP сервис.
-
Система NTP.
-
Аудит.
-
Тревога.
-
Сервис времени 2.
-
Local 0 - Local7.
|
Критичность
|
syslogSeverity
|
Указана критичность событий журнала Syslog.
-
Экстренная: критическое состояние, которое сказывается на работоспособности системы.
-
Тревога: состояние, требующее незамедлительного вмешательства.
-
Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.
-
Ошибки: несрочные сбои в системе.
-
Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.
-
Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.
-
Информативная: информационные уведомления.
-
Отладочная: информация, полезная разработчикам для отладки приложений.
|
Идентификатор процесса
|
processId
|
Указан идентификатор процесса. Относится к записям журнала Syslog.
|