|
Название поля |
Описание |
Пример значения |
|---|---|---|
|
user |
Имя пользователя. |
Admin |
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
|
ip_address |
IPv4-адрес источника события. |
192.168.174.134 |
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
attributes |
Детали события в формате JSON. |
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"} |
|
event_type |
Тип события. |
logexport_rule_updated |
|
event_severity |
Важность события. |
info (информационные), warning (предупреждения), error (ошибки), critical (критичные). |
|
event_origin |
Модуль, в котором произошло событие. |
core |
|
event_component |
Компонент, в котором произошло событие. |
console_auth |
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
url_categories |
id |
Идентификатор категории, к которой относится URL. |
39 |
|
|
threat_level |
Уровень угрозы категории URL. |
Может принимать значения:
|
||
|
name |
Название категории, к которой относится URL. |
Social Networking |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
52 |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
packets_recv |
Количество байтов, переданных в направлении назначение — источник. |
5 |
||
|
request_method |
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.). |
GET |
||
|
url |
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. |
|||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
2 |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
||
|
media_type |
Тип контента. |
application/json |
||
|
host |
Имя хоста. |
www.google.com |
||
|
session |
Идентификатор сессии. |
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) |
||
|
app_protocol |
Протокол прикладного уровня и его версия. |
HTTP/1.1 |
||
|
status_code |
Код ответа HTTP. |
302 |
||
|
bytes_recv |
Количество пакетов, переданных в направлении назначение — источник. |
100 |
||
|
http_referer |
URL источника запроса (реферер HTTP). |
|||
|
decrypted |
Поле указывает было ли содержимое расшифровано. |
true, false |
||
|
reasons |
Причина, по которой было создано событие, например, причина блокировки сайта. |
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}] |
||
|
useragent |
Useragent пользовательского браузера. |
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника. |
Trusted |
||
|
country |
Страна источника трафика. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Страна назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения. |
192.168.174.134 |
||
|
port |
Порт назначения. |
Может принимать значения от 0 до 65535. |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого вызвало создание события. |
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4 |
|
|
name |
Название правила. |
Default allow |
||
|
user |
guid |
Уникальный идентификатор пользователя. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя |
user_name |
||
|
groups |
guid |
Уникальный идентификатор группы, в которой состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
100 |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
packets_recv |
Количество пакетов, переданных в направлении назначение — источник. |
1 |
||
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
1 |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
||
|
session |
Идентификатор сессии. |
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) |
||
|
bytes_recv |
Количество байтов, переданных в направлении назначение — источник. |
6 |
||
|
signatures |
id |
Идентификатор сработавшей сигнатуры. |
999999 |
|
|
threat_level |
Уровень угрозы сработавшей сигнатуры. |
Может принимать значения:
|
||
|
name |
Название сработавшей сигнатуры. |
BlackSun Test |
||
|
application |
id |
Идентификатор приложения. |
195 |
|
|
threat_level |
Уровень угрозы приложения. |
Может принимать значения:
|
||
|
name |
Название приложения. |
Youtube |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
nat |
source |
ip |
Адрес источника после переназначения (если настроены правила NAT). |
192.168.117.85 (если NAT не настроен, то: "nat":null) |
|
port |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null) |
||
|
destination |
ip |
Адрес назначения после переназначения (если настроены правила NAT). |
64.233.164.198 (если NAT не настроен, то: "nat":null) |
|
|
port |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null) |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
type |
Тип правила. |
firewall |
||
|
name |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
Admin |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
session |
Идентификатор сессии. |
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) |
||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
1 |
||
|
packets_recv |
Количество пакетов, переданных в направлении назначение — источник. |
1 |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
100 |
||
|
bytes_recv |
Количество байтов, переданных в направлении назначение — источник. |
6 |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
||
|
application |
id |
Идентификатор приложения. |
195 |
|
|
threat_level |
Уровень угрозы приложения. |
Может принимать значения:
|
||
|
name |
Название приложения. |
Youtube |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
Admin |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
||
|
signatures |
id |
Идентификатор сработавшей сигнатуры. |
999999 |
|
|
threat_level |
Уровень угрозы сработавшей сигнатуры. |
Может принимать значения:
|
||
|
name |
Название сработавшей сигнатуры. |
BlackSun Test |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
pdu_severity |
Критичность АСУ ТП. |
1 |
||
|
pdu_func |
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство). |
12 |
||
|
pdu_address |
Адрес регистра, с которым необходимо провести операцию. |
3154 |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
details |
pdu_varname |
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS. |
VAR |
|
|
pdu_device |
Адрес устройства, используемый в протоколах MMS и OPCUA. |
DEV |
||
|
mb_write_quantity |
Количество значений для записи (команда Read Write Register). |
998 |
||
|
mb_write_addr |
Начальный адрес регистра для записи (команда Read Write Register). |
776 |
||
|
mb_value |
Записываемое значение (для команд Write Single Coil, Write Single Register). |
322 |
||
|
mb_unit_id |
Адрес устройства. |
186 |
||
|
mb_read_quantity |
Количество значений для чтения (команда Read Write Register). |
658 |
||
|
mb_read_addr |
Начальный адрес регистра для чтения (команда Read Write Register). |
122 |
||
|
mb_quantity |
Количество значений для чтения. |
875 |
||
|
mb_payload |
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil). |
75be5ecdc24f9883 |
||
|
mb_or_mask |
Значение маски OR команды Mask Write Register. |
1024 |
||
|
mb_message |
Сообщение Modbus. |
exception |
||
|
mb_exception_code |
Код ошибки. Актуален для типа сообщения error_response. |
255 |
||
|
mb_and_mask |
Значение маски AND команды Mask Write Register. |
121 |
||
|
mb_addr |
Адрес регистра. |
3154 |
||
|
iec104_msgtype |
Тип запроса. |
request, response, error_response |
||
|
iec104_ioa |
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события. |
23 |
||
|
iec104_cot |
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU). |
6 |
||
|
iec104_asdu |
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104. |
123 |
||
|
app_protocol |
Протокол прикладного уровня. |
Modbus |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
pass |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
SCADA Sample Rule |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
command |
Команда, передаваемая по SSH. |
whoami |
||
|
app_threat |
Уровень угрозы приложения. |
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2) |
||
|
app_protocol |
Протокол прикладного уровня. |
SSH или SFTP |
||
|
app_id |
Идентификатор приложения. |
195 |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
SSH Rule Example |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
Admin |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
events |
|
|
Origin |
Модуль, в котором произошло событие. |
admin_console |
|
|
Severity |
Важность события. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
suser |
Имя пользователя. |
Admin |
|
|
cat |
Компонент, в котором произошло событие. |
console_auth |
|
|
act |
Тип события. |
login_successful |
|
|
src |
IPv4-адрес источника. |
192.168.117.254 |
|
|
cs1Label |
Поле используется для указания деталей события. |
Attributes |
|
|
cs1 |
Детали события в формате JSON. |
{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"} |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
webaccess |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
captive |
|
|
reason |
Причина, по которой было создано событие, например, причина блокировки сайта. |
{"id":39,"name":"Social Networking","threat_level":3} |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Default Allow |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Поле указывает было ли содержимое расшифровано. |
Decrypted |
|
|
cs6 |
Расшифровано или нет. |
true, false |
|
|
app |
Протокол прикладного уровня и его версия. |
HTTP/1.1 |
|
|
requestMethod |
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.). |
GET |
|
|
request |
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. |
||
|
requestContext |
URL источника запроса (реферер HTTP). |
||
|
requestClientApplication |
Useragent пользовательского браузера. |
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 |
|
|
cn3Label |
Поле указывает исходный ответ сервера. |
Response |
|
|
cn3 |
Код ответа HTTP. |
302 |
|
|
flexString1Label |
Поле указывает на тип контента. |
Media type |
|
|
flexString1 |
Тип контента. |
text/html |
|
|
flexString2Label |
Поле указывает на категорию запрашиваемого URL-адреса. |
URL Categories |
|
|
flexString2 |
Категория URL. |
Computers & Technology |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
cn1Label |
Поле используется для указания количества переданных пакетов в направлении источник — назначение. |
Packets sent |
|
|
cn1 |
Количество переданных пакетов в направлении источник — назначение. |
3 |
|
|
cn2Label |
Поле используется для указания количества переданных пакетов в направлении назначение — источник. |
Packets received |
|
|
cn2 |
Количество переданных пакетов в направлении назначение — источник. |
1 |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
traffic |
|
|
Rule Type |
Тип правила, срабатывание которого вызвало событие. |
firewall |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2). |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
sourceTranslatedAddress |
Адрес источника после переназначения (если настроены правила NAT). |
192.168.174.134 (0.0.0.0 — если нет) |
|
|
sourceTranslatedPort |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (0 — если нет) |
|
|
destinationTranslatedAddress |
Адрес назначения после переназначения (если настроены правила NAT). |
192.226.127.130 (0.0.0.0 — если нет) |
|
|
destinationTranslatedPort |
Порт назначения после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (0 — если нет) |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
cn1Label |
Поле используется для указания количества переданных пакетов в направлении источник — назначение. |
Packets sent |
|
|
cn1 |
Количество переданных пакетов в направлении источник — назначение. |
3 |
|
|
cn2Label |
Поле используется для указания количества пакетов, переданных в направлении назначение — источник. |
Packets received |
|
|
cn2 |
Количество пакетов, переданных в направлении назначение — источник. |
1 |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
idps |
|
|
Signature |
Название сработавшей сигнатуры СОВ. |
BlackSun Test |
|
|
Threat Level |
Уровень угрозы сигнатуры. |
Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2). |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
IDPS Rule Example |
|
|
msg |
Уровень угрозы сигнатуры и её название. |
[2] BlackSun |
|
|
app |
Протокол прикладного уровня. |
HTTP |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
scada |
|
|
Name |
Тип источника. |
log |
|
|
PDU Severity |
Критичность АСУ ТП. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Scada Rule Example |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
app |
Протокол прикладного уровня. |
Modbus |
|
|
cs6Label |
Поле указывает на информацию об устройстве. |
PDU Details |
|
|
cs6 |
Информация об устройстве в формате JSON. |
{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0} |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
ssh |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2). |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
app |
Протокол прикладного уровня. |
SSH или SFTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
SSH inspection rule |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Указание на команду, передаваемую по SSH. |
Command |
|
|
cs6 |
Команда, передаваемая по SSH, в формате JSON. |
whoami |