Описание форматов журналов
 
Экспорт журналов в формате CEF

Формат журнала событий

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

events

Origin

Модуль, в котором произошло событие.

admin_console

Severity

Важность события.

Может принимать значения:

  • 1 — информационные.

  • 4 — предупреждения.

  • 7 — ошибки.

  • 10 — критичные.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

suser

Имя пользователя.

Admin

cat

Компонент, в котором произошло событие.

console_auth

act

Тип события.

login_successful

src

IPv4-адрес источника.

192.168.117.254

cs1Label

Поле используется для указания деталей события.

Attributes

cs1

Детали события в формате JSON.

{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}

Формат журнала веб-доступа

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{"id":39,"name":"Social Networking","threat_level":3}

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает было ли содержимое расшифровано.

Decrypted

cs6

Расшифровано или нет.

true, false

app

Протокол прикладного уровня и его версия.

HTTP/1.1

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

cn3Label

Поле указывает исходный ответ сервера.

Response

cn3

Код ответа HTTP.

302

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString2

Категория URL.

Computers & Technology

in

Количество переданных входящих байтов; данные передаются в направлении источник - назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение - источник.

40

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник - назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник - назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение - источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение - источник.

1

Формат журнала DNS

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

block

reason

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

app

Протокол прикладного уровня.

DNS

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания сработавшего правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Rule1

dhost

Имя хоста назначения, адрес которого определяется с помощью DNS сервера.

google.com

proto

Используемый протокол 4-го уровня.

UDP

src

IPv4 источника трафика.

10.10.0.11

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания передаваемых данных.

Data

cs6

Передаваемые данные.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString1

Категория URL.

Search Engines & Portals

Отличия, которые имеются в формате CEF Compact:

  • Отсутствуют поля:

    • cs3Label=Source Country; cs3=$src_country;

    • cs5Label=Destination Country; cs5=$dst_country;

  • Изменены следующие поля:

    • cs2Label=SrcZone;

    • cs3Label=DstZone; cs3=$dst_zone_name;

    • cs4Label=Data; cs4=$data;

    • flexString1Label=URLCats;

  • Значения некоторых полей обрезаются по длине до 80 символов — это общее правило для компактного формата. Например, список url-категорий, url, имя пользователя, имя правила, имя зоны, и т.п.

Формат журнала трафика

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

proto

Используемый протокол 4-го уровня.

TCP или UDP

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 - если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 - если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 - если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 - если нет)

in

Количество переданных входящих байтов; данные передаются в направлении источник - назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение - источник.

40

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник - назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник - назначение.

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение - источник.

Packets received

cn2

Количество пакетов, переданных в направлении назначение - источник.

1

Формат журнала СОВ

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

app

Протокол прикладного уровня.

HTTP

proto

Используемый протокол 4-го уровня.

TCP или UDP

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

in

Количество переданных входящих байтов; данные передаются в направлении источник - назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение - источник.

40

Формат журнала АСУ ТП

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

scada

Name

Тип источника.

log

PDU Severity

Критичность АСУ ТП.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Scada Rule Example

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

app

Протокол прикладного уровня.

Modbus

cs6Label

Поле указывает на информацию об устройстве.

PDU Details

cs6

Информация об устройстве в формате JSON.

{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0}

Формат журнала инспектирования SSH

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Указание на команду, передаваемую по SSH.

Command

cs6

Команда, передаваемая по SSH, в формате JSON.

whoami

Формат журнала защиты почтового трафика

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения:

  • 0 — информационные.

  • 6 — предупреждения.

  • 8 — ошибки.

  • 10 — критичные.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для указания зоны источника.

Source Zone

cs2

Зона источника.

Untrusted

cs3Label

Поле используется для индикации страны источника трафика.

Source Country

cs3

Страна источника трафика.

RU (отображается двухбуквенный код страны)

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для указания зоны назначения трафика.

Destination Zone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для индикации страны назначения трафика.

Destination Country

cs5

Страна назначения.

RU (отображается двухбуквенный код страны)

app

Протокол прикладного уровня.

SMTP

in

Количество переданных входящих байтов; данные передаются в направлении источник - назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение - источник.

10

flexString1Label

Поле используется для указания почтового адреса отправителя.

From

flexString1

Email отправителя.

sender@example.com

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник - назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник - назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение - источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение - источник.

1

Формат журнала событий конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Severity

Важность события.

Может принимать значения:

  • 0 — информационные.

  • 6 — предупреждения.

  • 8 — ошибки.

  • 10 — критичные.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

suser

Имя пользователя.

Admin

msg

Подробная информация о событии.

Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для индикации имени конечного устройства или сенсора.

endpointName

cs2

Имя конечного устройства или сенсора.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания на тип события.

logLevel

cs3

Тип события.

Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка

cs4Label

Поле используется для указания категории события.

logCategoryString

cs4

Категория события.

Special Logon

cs5Label

Поле используется для индикации типа журнала.

logFile

cs5

Тип журнала, содержащего важную информацию о программных и аппаратных событиях.

Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell

cs6Label

Поле используется для указания на источник журнала событий.

sourceName

cs6

Источник журнала событий.

Microsoft-Windows-Security-Auditing

flexString1Label

Поле используется для индикации строки вставки.

insertionString

flexString1

Строка вставки – данные блока EventData события Windows.

Windows DefenderSECURITY_PRODUCT_STATE_ON

cn1Label

Поле используется для индикации кода события журнала.

logEventCode

cn1

Код события журнала.

1154

cn2Label

Поле используется для указания на идентификатор события.

logEventId

cn2

Идентификатор события.

10016

cn3Label

Поле используется для индикации типа события лога.

logEventType

cn3

Тип события лога.

1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).

Формат журнала правил конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения от 1 до 10:

  • 6 — очень низкий.

  • 6 — низкий.

  • 6 — средний.

  • 8 — высокий.

  • 10 — очень высокий.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

filePath

Приложение, к которому было применено правило межсетевого экрана.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания правила, срабатывание которого создало запись в журнале.

Rule

cs3

Название правила.

Test rule name

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

shost

Имя хоста.

www.google.com

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

Categories

flexString2

Категория URL.

Computers & Technology

Формат журнала приложений конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_applications

Name

Тип источника.

log

Threat Level

Значение по умолчанию.

0

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие (запуск или остановка приложения).

start, stop

suser

Пользователь.

DESKTOP-0731NFQ\User

filePath

Расположение файла.

C:\\Windows\\system32\\cmd.exe

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

spid

Идентификатор процесса.

3860

fileHash

Хэш приложения.

B4979A9F970029889713D756C3F123643DDE73DA

cs3Label

Поле используется для индикации командной строки.

cmdLine

cs3

Запрос командной строки.

C:\\Windows\\system32\\sc.exe start w32time task_started

cs4Label

Поле используется для указания идентификатора сессии.

sessionId

cs4

Идентификатор сессии.

1656395717

Формат журнала аппаратуры конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_hardware

Name

Тип источника.

log

Threat Level

Значение по умолчанию.

0

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие (подключение или извлечение устройства).

add_device, remove_device

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

sourceServiceName

Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.

USBHUB3

cs3Label

Поле используется для указания идентификатора подключаемого/извлекаемого устройства.

deviceId

cs3

Идентификатор устройства.

USB\\VID_0E0F&PID_0002\\6&201153C1&0&8

cs4Label

Поле используется для индикации имени устройства.

deviceName

cs4

Название устройства.

Kingston DataTraveler 2.0 USB Device

Формат журнала Windows Active Directory

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

suser

Имя пользователя.

user1.dep.local

msg

Описание события в журнале AD.

Group membership information

Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: S-1-5-21-3795870133-5220325-2125745684-1103 Account Name: user1 Account Domain: DEP Logon ID: 0xA57A446 Event in sequence: 1 of 1 Group Membership: %{S-1-5-21-3795870133-5220325-2125745684-513} %{S-1-1-0} %{S-1-5-32-544} %{S-1-5-32-555} %{S-1-5-32-545} %{S-1-5-32-554} %{S-1-5-2} %{S-1-5-11} %{S-1-5-15} %{S-1-5-21-3795870133-5220325-2125745684-512} %{S-1-5-21-3795870133-5220325-2125745684-572} %{S-1-5-64-10} %{S-1-16-12288} The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. This event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.

cn1Label

Поле используется для указания кода события из журнала AD.

logEventCode

cn1

Код события.

4627

cn2Label

Поле используется для указания номера идентификатора события из журнала AD.

logEventId

cn2

Идентификатор события.

4627

cn3Label

Поле используется для указания типа события журнала Windows (Система\Безопасность\Приложение и т. д.).

logEventType

cn3

Тип события журнала Windows.

4

cs1Label

Поле используется для указания идентификатора конечного устройства  — источника события.

endpointId

cs1

Идентификатор конечного устройства.

16535060-5a1a-4e92-8331-239406ec34da

cs2Label

Поле используется для указания имени конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).

endpointName

cs2

Имя конечного устройства.

dep.local

cs3Label

Поле используется для указания уровня важности события в журнале AD.

logLevel

cs3

Уровень важности события.

Audit Success

cs4Label

Поле используется для указания кода категории события (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)

logCategoryString

cs4

Категория события.

Group Membership

cs5Label

Поле используется для указания файла журнала Windows.

logFile

cs5

Файл журнала Windows

Security

cs6Label

Поле используется для указания источника из журнала AD.

sourceName

cs6

Источник из журнала AD.

Microsoft-Windows-Security-Auditing

flexString1Label

Поле используется для указания содержания события из журнала AD.

insertionString

flexString1

Параметры события из журнала AD после парсинга сообщения.

['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%

{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}

\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']

Формат журнала Syslog

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

syslog

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

msg

Описание события.

[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)

cn1Label

Поле используется для указания типа источника событий syslog.

Подробнее о значениях syslog facility смотрите в RFC 5424.

Facility

cn1

Тип источника событий syslog. Например, user-level messages.

1

cs1Label

Поле используется для указания имени устройства, на котором произошло событие.

Hostname

cs1

Имя компьютера, на котором произошло событие.

node1

cs2Label

Поле используется для указания приложения, вызвавшего событие.

Tag

cs2

Приложение, вызвавшее событие.

org.gnome.Shell.desktop

cs3Label

Поле используется для указания идентификатора процесса события.

ProcessID

cs3

PID процесса вызвавшего событие.

3036

cs4Label

Поле используется для указания срабатывания правила.

Rule

cs4

Название правила, срабатывание которого вызвало событие.

Example - Allow user-level messages

Формат журнала UserID

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

login

reason

Причина, по которой было создано событие.

{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"],

"user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624}

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

dev.local

src

IPv4 источника трафика.

10.10.0.11

Экспорт журналов в формате JSON

Описание журнала событий

Название поля

Описание

Пример значения

user

Имя пользователя.

Admin

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

ip_address

IPv4-адрес источника события.

192.168.174.134

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

attributes

Детали события в формате JSON.

{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}

event_type

Тип события.

logexport_rule_updated

event_severity

Важность события.

info (информационные), warning (предупреждения), error (ошибки), critical (критичные).

event_origin

Модуль, в котором произошло событие.

core

event_component

Компонент, в котором произошло событие.

console_auth

Описание журнала веб-доступа

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

url_categories

id

Идентификатор категории, к которой относится URL.

39

threat_level

Уровень угрозы категории URL.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название категории, к которой относится URL.

Social Networking

bytes_sent

Количество байтов, переданных в направлении источник - назначение.

52

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

packets_recv

Количество байтов, переданных в направлении назначение - источник.

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

packets_sent

Количество пакетов, переданных в направлении источник - назначение.

2

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

media_type

Тип контента.

application/json

host

Имя хоста.

www.google.com

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

app_protocol

Протокол прикладного уровня и его версия.

HTTP/1.1

status_code

Код ответа HTTP.

302

bytes_recv

Количество пакетов, переданных в направлении назначение - источник.

100

http_referer

URL источника запроса (реферер HTTP).

https://www.google.com/

decrypted

Поле указывает было ли содержимое расшифровано.

true, false

reasons

Причина, по которой было создано событие, например, причина блокировки сайта.

"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]

useragent

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника.

Trusted

country

Страна источника трафика.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Страна назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения.

192.168.174.134

port

Порт назначения.

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события.

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила.

Default allow

user

guid

Уникальный идентификатор пользователя.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя

user_name

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

Описание журнала DNS

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

proto

Используемый протокол 4-го уровня.

UDP

data

Поле используется для указания передаваемых данных.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

reasons

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

url_categories

id

Идентификатор сработавшей URL-категории.

37

threat_level

Уровень угрозы сработавшей категории.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название сработавшей категории.

Search Engines & Portals

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Rule1

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

user1

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

Описание журнала трафика

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

bytes_sent

Количество байтов, переданных в направлении источник - назначение.

100

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

packets_recv

Количество пакетов, переданных в направлении назначение - источник.

1

proto

Используемый протокол 4-го уровня.

TCP или UDP

packets_sent

Количество пакетов, переданных в направлении источник - назначение.

1

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

bytes_recv

Количество байтов, переданных в направлении назначение - источник.

6

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название приложения.

Youtube

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

nat

source

ip

Адрес источника после переназначения (если настроены правила NAT).

192.168.117.85 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

destination

ip

Адрес назначения после переназначения (если настроены правила NAT).

64.233.164.198 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила.

firewall

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

Описание журнала СОВ

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

packets_sent

Количество пакетов, переданных в направлении источник - назначение.

1

packets_recv

Количество пакетов, переданных в направлении назначение - источник.

1

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

proto

Используемый протокол 4-го уровня.

TCP или UDP

bytes_sent

Количество байтов, переданных в направлении источник - назначение.

100

bytes_recv

Количество байтов, переданных в направлении назначение - источник.

6

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название приложения.

Youtube

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

Описание журнала АСУ ТП

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

pdu_severity

Критичность АСУ ТП.

1

pdu_func

Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).

12

pdu_address

Адрес регистра, с которым необходимо провести операцию.

3154

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

details

pdu_varname

Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.

VAR

pdu_device

Адрес устройства, используемый в протоколах MMS и OPCUA.

DEV

mb_write_quantity

Количество значений для записи (команда Read Write Register).

998

mb_write_addr

Начальный адрес регистра для записи (команда Read Write Register).

776

mb_value

Записываемое значение (для команд Write Single Coil, Write Single Register).

322

mb_unit_id

Адрес устройства.

186

mb_read_quantity

Количество значений для чтения (команда Read Write Register).

658

mb_read_addr

Начальный адрес регистра для чтения (команда Read Write Register).

122

mb_quantity

Количество значений для чтения.

875

mb_payload

Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).

75be5ecdc24f9883

mb_or_mask

Значение маски OR команды Mask Write Register.

1024

mb_message

Сообщение Modbus.

exception

mb_exception_code

Код ошибки. Актуален для типа сообщения error_response.

255

mb_and_mask

Значение маски AND команды Mask Write Register.

121

mb_addr

Адрес регистра.

3154

iec104_msgtype

Тип запроса.

request, response, error_response

iec104_ioa

Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.

23

iec104_cot

Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).

6

iec104_asdu

Адрес ASDU (COA - Common Object Address). Параметр относится к протоколу IEC-104.

123

app_protocol

Протокол прикладного уровня.

Modbus

action

Действие, принятое устройством в соответствии с настроенными политиками.

pass

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SCADA Sample Rule

Описание журнала инспектирования SSH

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

command

Команда, передаваемая по SSH.

whoami

app_threat

Уровень угрозы приложения.

Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2)

app_protocol

Протокол прикладного уровня.

SSH или SFTP

app_id

Идентификатор приложения.

195

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

FA:16:3E:65:1C:B4

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SSH Rule Example

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

Описание журнала защиты почтового трафика

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

from

Почтовый адрес отправителя.

sender@example.com

to

Почтовый адрес получателя.

receiver@example.com

app_protocol

Сетевой протокол прикладного уровня.

SMTP

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

10.10.10.10

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Mail security rule

user

guid

Уникальный идентификатор пользователя.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

user_name

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

Описание журнала событий конечных устройств

Название поля

Описание

Пример значения

user_name

Имя пользователя.

DESKTOP-0731NFQ\\Username

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

status

Результат выполнения WMI или SNMP запроса.

OK, Error

source_name

Источник журнала событий.

Microsoft-Windows-Security-Auditing

endpoint_name

Название конечного устройства или сенсора.

DESKTOP-0731NFQ

endpoint_id

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

node

Идентификатор конечного устройства или узла, на котором запущен сенсор.

35fb5820-74db-4eac-b05b-d01bc284c4e8

log_level

Тип события.

Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка

log_file

Тип журнала, содержащего важную информацию о программных и аппаратных событиях.

Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell

log_event_type

Тип события лога.

1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).

log_event_id

Идентификатор события.

4672

log_event_code

Код события журнала.

14056

log_category_string

Категория события.

Special Logon

insertion_string

Строка вставки – данные блока EventData события Windows.

Windows DefenderSECURITY_PRODUCT_STATE_ON

error

Ошибка WMI или SNMP, возникшая в результате выполнения запроса.

0

data

Подробная информация о событии.

Тип запуска службы "Установщик модулей Windows" был изменен с "Автоматически" на "Вручную".

counter_id

Идентификатор счётчика, добавленного в WMI или SNMP сенсор.

35fb5820-74db-4eac-b05b-d01bc284c4e8

computer_name

Имя компьютера.

DESKTOP-0731NFQ

Описание журнала правил конечных устройств

Название поля

Описание

Пример значения

url_categories

id

Идентификатор категории, к которой относится URL.

39

threat level

Уровень угрозы категории URL.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

name

Название категории, к которой относится URL.

Social Networking 

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

endpoint_name

Имя конечного устройства.

DESKTOP-0731NFQ

endpoint_id

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

media_type

Тип контента.

application/json

ip_protocol

Номер используемого сетевого протокола.

4

host

Имя хоста.

www.google.com

app_name

Приложение, к которому было применено правило межсетевого экрана.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

action

Действие, принятое устройством в соответствии с настроенными политиками.

drop, accept, nat

source

ip

IPv4-адрес источника.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

ip

IPv4-адрес назначения.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила, срабатывание которого вызвало событие.

Default allow

Описание журнала приложений конечных устройств

Название поля

Описание

Пример значения

user_name

Имя пользователя, под учётной записью которого выполнен вход на конечном устройстве.

DESKTOP-0731NFQ\\User

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

endpoint_name

Название конечного устройства или сенсора.

DESKTOP-0731NFQ

endpoint_id

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

process_id

Идентификатор процесса.

3916

hash

Хэш приложения.

B4CE5C3495FEA0A4FDBAC8ABDCD199F7E4CA8C1F

app_name

Приложение, которое было запущено/остановлено.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

action

Действие (запуск или остановка приложения).

start, stop

version

Версия приложения.

6.2.19041.746

subject

Субъект подписи.

Microsoft Corporation

issuer

Издатель сертификата для приложения.

Microsoft Windows Production PCA 2011

cmd_line

Запрос командной строки.

C:\\Windows\\system32\\svchost.exe -k wsappx -p -s AppXSvc

session_id

Идентификатор сессии.

1656038456

Описание журнала аппаратуры конечных устройств

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

endpoint_name

Название конечного устройства или сенсора.

DESKTOP-0731NFQ

endpoint_id

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

action

Действие (подключение/извлечение устройства).

add_device, remove_device

device_name

Название устройства, которое было подключено/извлечено.

Generic USB Hub

device_id

Идентификатор устройства.

USB\\VID_0E0F&PID_0002\\6&201153C1&0&7

service

Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.

USBHUB3

Описание журнала Windows Active Directory

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node_name

Имя, которое однозначно идентифицирует устройство UserGate, генерирующее это событие.

utmcore@ntoorereaeda

endpoint_id

Идентификатор конечного устройства — источника события.

16535060-5a1a-4e92-8331-239406ec34da

endpoint_name

Имя конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).

dep.local

user_name

Поле «Пользователь» из журнала AD.

user1.dep.local

log_level

Поле «Keywords» из журнала AD.

Audit Success

log_category_string

Код категории события из журнала AD.

Group Membership

log_file

Файл журнала Windows.

Security

source_name

Поле «Источник» из журнала AD.

Microsoft-Windows-Security-Auditing

data

Описание события в журнале AD.

Group membership information.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-3795870133-5220325-2125745684-1103\r\n\tAccount Name:\t\tuser1\r\n\tAccount Domain:\t\tDEP\r\n\tLogon ID:\t\t0x7A25A21\r\n\r\nEvent in sequence:\t\t1 of 1\r\n\r\nGroup Membership:\t\t\t\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-513}\r\n\t\t%{S-1-1-0}\r\n\t\t%{S-1-5-32-544}\r\n\t\t%{S-1-5-32-555}\r\n\t\t%{S-1-5-32-545}\r\n\t\t%{S-1-5-32-554}\r\n\t\t%{S-1-5-2}\r\n\t\t%{S-1-5-11}\r\n\t\t%{S-1-5-15}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-512}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-572}\r\n\t\t%{S-1-5-64-10}\r\n\t\t%{S-1-16-12288}\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThis event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.

computer_name

Узел Windows из журнала AD, на котором произошло событие.

DC1.dep.local

insertion_string

Параметры события из журнала AD после парсинга сообщения.

['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%

{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}

\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']

error

Код ошибки из журнала AD, которая произошла при получении данных.

0

status

Описание ошибки из журнала AD, которая произошла при получении данных.

counter_id

Идентификатор счетчика WMI сенсора.

login_logout

log_event_code

Поле «Код события» из журнала AD.

4627

log_event_id

Поле «Идентификатор события» из журнала AD.

4627

log_event_type

Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.).

4

Описание журнала Syslog

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

syslog_facility

Тип источника события syslog. Например, user-level messages.

Подробнее о значениях syslog facility смотрите в RFC 5424.

1

syslog_severity

Уровень важности события syslog. Например, warning.

Подробнее о значениях syslog severity смотрите в RFC 5424.

4

computer_name

Имя устройства, на котором произошло событие.

node1

app_name

Приложение, вызвавшее событие.

org.gnome.Shell.desktop

process_id

PID процесса, вызвавшего событие.

3036

data

Описание события.

[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

16535060-5a1a-4e92-8331-239406ec34da

name

Название правила, срабатывание которого вызвало событие.

Example - Allow user-level messages

Описание журнала UserID

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

reasons

Причина, по которой было создано событие.

{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"],

\"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624}

action

Действие, принятое устройством в соответствии с настроенными политиками.

login

src_ip

IPv4 источника события.

10.10.0.11

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

16535060-5a1a-4e92-8331-239406ec34da

name

Название правила, срабатывание которого вызвало событие.

dev.local

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

745591c3-9d21-092d-8db4-5b9b0000044f 

name

Имя пользователя.

user1

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

aa218609-8716-9252-df20-88c43a0d0bf6

name

Название группы, в которой состоит пользователь.

CN=Domain Users,CN=Users,DC=dev,DC=local