|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
events |
|
|
Origin |
Модуль, в котором произошло событие. |
admin_console |
|
|
Severity |
Важность события. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Тип события. |
login_successful |
|
|
suser |
Имя пользователя. |
Admin |
|
|
src |
IPv4-адрес источника. |
192.168.117.254 |
|
|
cat |
Компонент, в котором произошло событие. |
console_auth |
|
|
cs1Label |
Поле используется для указания деталей события. |
Attributes |
|
|
cs1 |
Детали события в формате JSON. |
{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"} |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
webaccess |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
captive |
|
|
reason |
Причина, по которой было создано событие, например, причина блокировки сайта. |
{"id":39,"name":"Social Networking","threat_level":3} |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP. |
|
|
app |
Протокол прикладного уровня и его версия. |
HTTP/1.1 |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
requestMethod |
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.). |
GET |
|
|
request |
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. |
||
|
requestContext |
URL источника запроса (реферер HTTP). |
||
|
requestClientApplication |
Useragent пользовательского браузера. |
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Default Allow |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Поле указывает было ли содержимое расшифровано. |
Decrypted |
|
|
cs6 |
Расшифровано или нет. |
true, false |
|
|
flexString1Label |
Поле указывает на тип контента. |
Media type |
|
|
flexString1 |
Тип контента. |
text/html |
|
|
flexString2Label |
Поле указывает на категорию запрашиваемого URL-адреса. |
URL Categories |
|
|
flexString2 |
Категория URL. |
Computers & Technology |
|
|
cn1Label |
Поле используется для указания количества переданных пакетов в направлении источник — назначение. |
Packets sent |
|
|
cn1 |
Количество переданных пакетов в направлении источник — назначение. |
3 |
|
|
cn2Label |
Поле используется для указания количества переданных пакетов в направлении назначение — источник. |
Packets received |
|
|
cn2 |
Количество переданных пакетов в направлении назначение — источник. |
1 |
|
|
cn3Label |
Поле указывает исходный ответ сервера. |
Response |
|
|
cn3 |
Код ответа HTTP. |
302 |
Формат журнала веб-доступа CEF Compact:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
webaccess |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
captive |
|
|
reason |
Причина, по которой было создано событие, например, причина блокировки сайта. |
{"id":39,"name":"Social Networking","threat_level":3} |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP. |
|
|
app |
Протокол прикладного уровня и его версия. |
HTTP/1.1 |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
requestMethod |
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.). |
GET |
|
|
request |
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. |
||
|
requestContext |
URL источника запроса (реферер HTTP). |
||
|
requestClientApplication |
Useragent пользовательского браузера. |
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Default Allow |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
SrcZone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для индикации зоны назначения. |
DstZone |
|
|
cs3 |
Название зоны назначения. |
Untrusted |
|
|
flexString1Label |
Поле указывает на категорию запрашиваемого URL-адреса. |
URLCats |
|
|
flexString1 |
Категория URL. |
Computers & Technology |
|
|
cn1Label |
Поле указывает исходный ответ сервера. |
Response |
|
|
cn1 |
Код ответа HTTP. |
302 |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
dns |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1701085036026 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
|
|
reason |
Причина, по которой было создано событие, например, url категория, на которых сработало правило. |
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]} |
|
|
proto |
Используемый протокол 4-го уровня. |
UDP |
|
|
dhost |
Имя хоста назначения, адрес которого определяется с помощью DNS сервера. |
||
|
app |
Протокол прикладного уровня. |
DNS |
|
|
suser |
Имя пользователя. |
user1 (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.0.11 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53. |
|
|
cs1Label |
Поле используется для указания сработавшего правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Rule1 |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Поле используется для указания передаваемых данных. |
Data |
|
|
cs6 |
Передаваемые данные. |
{"question":[{"domain":"google.com","type":"A","class":"IN"}], "answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]} |
|
|
flexString1Label |
Поле указывает на категорию запрашиваемого URL-адреса. |
URL Categories |
|
|
flexString1 |
Категория URL. |
Search Engines & Portals |
Формат журнала DNS CEF Compact:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
dns |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1701085036026 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
|
|
reason |
Причина, по которой было создано событие, например, url категория, на которых сработало правило. |
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]} |
|
|
proto |
Используемый протокол 4-го уровня. |
UDP |
|
|
dhost |
Имя хоста назначения, адрес которого определяется с помощью DNS сервера. |
||
|
app |
Протокол прикладного уровня. |
DNS |
|
|
suser |
Имя пользователя. |
user1 (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.0.11 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53. |
|
|
cs1Label |
Поле используется для указания сработавшего правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Rule1 |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
SrcZone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для индикации зоны назначения. |
DstZone |
|
|
cs3 |
Название зоны назначения. |
Untrusted |
|
|
cs4Label |
Поле используется для указания передаваемых данных. |
Data |
|
|
cs4 |
Передаваемые данные. |
{"question":[{"domain":"google.com","type":"A","class":"IN"}], "answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]} |
|
|
flexString1Label |
Поле указывает на категорию запрашиваемого URL-адреса. |
URLCats |
|
|
flexString1 |
Категория URL. |
Search Engines & Portals |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
traffic |
|
|
Rule Type |
Тип правила, срабатывание которого вызвало событие. |
firewall |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
|
app |
Имя сработавшего приложения |
my_app |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
00:50:56:80:28:08 |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
dmac |
MAC-адрес назначения. |
00:50:56:80:7D:21 |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
sourceTranslatedAddress |
Адрес источника после переназначения (если настроены правила NAT). |
192.168.174.134 (0.0.0.0 — если нет) |
|
|
sourceTranslatedPort |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (0 — если нет) |
|
|
destinationTranslatedAddress |
Адрес назначения после переназначения (если настроены правила NAT). |
192.226.127.130 (0.0.0.0 — если нет) |
|
|
destinationTranslatedPort |
Порт назначения после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (0 — если нет) |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cn1Label |
Поле используется для указания количества переданных пакетов в направлении источник — назначение. |
Packets sent |
|
|
cn1 |
Количество переданных пакетов в направлении источник — назначение. |
3 |
|
|
cn2Label |
Поле используется для указания количества пакетов, переданных в направлении назначение — источник. |
Packets received |
|
|
cn2 |
Количество пакетов, переданных в направлении назначение — источник. |
1 |
Формат журнала трафика CEF Compact:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
traffic |
|
|
Rule Type |
Тип правила, срабатывание которого вызвало событие. |
firewall |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
|
app |
Имя сработавшего приложения |
my_app |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
00:50:56:80:28:08 |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
dmac |
MAC-адрес назначения. |
00:50:56:80:7D:21 |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
sourceTranslatedAddress |
Адрес источника после переназначения (если настроены правила NAT). |
192.168.174.134 (0.0.0.0 — если нет) |
|
|
sourceTranslatedPort |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (0 — если нет) |
|
|
destinationTranslatedAddress |
Адрес назначения после переназначения (если настроены правила NAT). |
192.226.127.130 (0.0.0.0 — если нет) |
|
|
destinationTranslatedPort |
Порт назначения после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (0 — если нет) |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
SrcZone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для индикации зоны назначения. |
DstZone |
|
|
cs3 |
Название зоны назначения. |
Untrusted |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
idps |
|
|
Signature |
Название сработавшей сигнатуры СОВ. |
BlackSun Test |
|
|
Threat Level |
Уровень угрозы сигнатуры. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
|
app |
Протокол прикладного уровня. |
HTTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
msg |
Уровень угрозы сигнатуры и её название. |
[2] BlackSun |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
IDPS Rule Example |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
Формат журнала СОВ CEF Compact:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
idps |
|
|
Signature |
Название сработавшей сигнатуры СОВ. |
BlackSun Test |
|
|
Threat Level |
Уровень угрозы сигнатуры. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
|
app |
Протокол прикладного уровня. |
HTTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
231 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
40 |
|
|
msg |
Уровень угрозы сигнатуры и её название. |
[2] BlackSun |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
IDPS Rule Example |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
scada |
|
|
Name |
Тип источника. |
log |
|
|
PDU Severity |
Критичность АСУ ТП. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
app |
Протокол прикладного уровня. |
Modbus |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
Scada Rule Example |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Поле указывает на информацию об устройстве. |
PDU Details |
|
|
cs6 |
Информация об устройстве в формате JSON. |
{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0} |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
ssh |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
app |
Протокол прикладного уровня. |
SSH или SFTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
SSH inspection rule |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
|
cs4 |
Название зоны назначения. |
Untrusted |
|
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Указание на команду, передаваемую по SSH. |
Command |
|
|
cs6 |
Команда, передаваемая по SSH, в формате JSON. |
whoami |
Формат журнала инспектирования SSH CEF Compact:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
ssh |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
app |
Протокол прикладного уровня. |
SSH или SFTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
smac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
SSH inspection rule |
|
|
cs2Label |
Поле используется для индикации зоны источника. |
SrcZone |
|
|
cs2 |
Название зоны источника. |
Trusted |
|
|
cs3Label |
Поле используется для индикации зоны назначения. |
DstZone |
|
|
cs3 |
Название зоны назначения. |
Untrusted |
|
|
cs4Label |
Указание на команду, передаваемую по SSH. |
Command |
|
|
cs4 |
Команда, передаваемая по SSH, в формате JSON. |
whoami |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
mailsecurity |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
||
|
act |
Действие, выполненное устройством в соответствии с настроенными политиками. |
mark |
|
|
app |
Протокол прикладного уровня. |
SMTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4-адрес источника. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4-адрес назначения. |
10.10.10.10 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
10 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
10 |
|
|
cs1Label |
Поле используется для указания названия правила. |
Rule |
|
|
cs1 |
Название правила защиты почтового трафика. |
Mail security rule |
|
|
cs2Label |
Поле используется для указания зоны источника. |
Source Zone |
|
|
cs2 |
Зона источника. |
Untrusted |
|
|
cs3Label |
Поле используется для индикации страны источника трафика. |
Source Country |
|
|
cs3 |
Страна источника трафика. |
RU (отображается двухбуквенный код страны) |
|
|
cs4Label |
Поле используется для указания зоны назначения трафика. |
Destination Zone |
|
|
cs4 |
Название зоны назначения трафика. |
Untrusted |
|
|
cs5Label |
Поле используется для индикации страны назначения трафика. |
Destination Country |
|
|
cs5 |
Страна назначения. |
RU (отображается двухбуквенный код страны) |
|
|
cs6Label |
Поле используется для указания почтового адреса получателя. |
To |
|
|
cs6 |
Email получателя. |
||
|
flexString1Label |
Поле используется для указания почтового адреса отправителя. |
From |
|
|
flexString1 |
Email отправителя. |
||
|
cn1Label |
Поле используется для указания количества переданных пакетов в направлении источник — назначение. |
Packets sent |
|
|
cn1 |
Количество переданных пакетов в направлении источник — назначение. |
3 |
|
|
cn2Label |
Поле используется для указания количества переданных пакетов в направлении назначение — источник. |
Packets received |
|
|
cn2 |
Количество переданных пакетов в направлении назначение — источник. |
1 |
Формат журнала защиты почтового трафика CEF Compact:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
mailsecurity |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы приложения. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
||
|
act |
Действие, выполненное устройством в соответствии с настроенными политиками. |
mark |
|
|
app |
Протокол прикладного уровня. |
SMTP |
|
|
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4-адрес источника. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4-адрес назначения. |
10.10.10.10 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник — назначение. |
10 |
|
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник. |
10 |
|
|
cs1Label |
Поле используется для указания названия правила. |
Rule |
|
|
cs1 |
Название правила защиты почтового трафика. |
Mail security rule |
|
|
cs2Label |
Поле используется для указания зоны источника. |
SrcZone |
|
|
cs2 |
Зона источника. |
Untrusted |
|
|
cs4Label |
Поле используется для указания зоны назначения трафика. |
DstZone |
|
|
cs4 |
Название зоны назначения трафика. |
Untrusted |
|
|
cs5Label |
Поле используется для указания почтового адреса отправителя. |
From |
|
|
cs5 |
Email отправителя. |
||
|
cs6Label |
Поле используется для указания почтового адреса получателя. |
To |
|
|
cs6 |
Email получателя. |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
endpoint_log |
|
|
Name |
Тип источника. |
log |
|
|
Severity |
Важность события. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Идентификатор устройства, сгенерировавшего это событие. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
msg |
Подробная информация о событии. |
Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON. |
|
|
suser |
Имя пользователя. |
Admin |
|
|
cs1Label |
Поле используется для указания идентификатора конечного устройства. |
endpointId |
|
|
cs1 |
Идентификатор конечного устройства или сенсора. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
cs2Label |
Поле используется для индикации имени конечного устройства или сенсора. |
endpointName |
|
|
cs2 |
Имя конечного устройства или сенсора. |
DESKTOP-0731NFQ |
|
|
cs3Label |
Поле используется для указания на тип события. |
logLevel |
|
|
cs3 |
Тип события. |
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка |
|
|
cs4Label |
Поле используется для указания категории события. |
logCategoryString |
|
|
cs4 |
Категория события. |
Special Logon |
|
|
cs5Label |
Поле используется для индикации типа журнала. |
logFile |
|
|
cs5 |
Тип журнала, содержащего важную информацию о программных и аппаратных событиях. |
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell |
|
|
cs6Label |
Поле используется для указания на источник журнала событий. |
sourceName |
|
|
cs6 |
Источник журнала событий. |
Microsoft-Windows-Security-Auditing |
|
|
cn1Label |
Поле используется для индикации кода события журнала. |
logEventCode |
|
|
cn1 |
Код события журнала. |
1154 |
|
|
cn2Label |
Поле используется для указания на идентификатор события. |
logEventId |
|
|
cn2 |
Идентификатор события. |
10016 |
|
|
cn3Label |
Поле используется для индикации типа события лога. |
logEventType |
|
|
cn3 |
Тип события лога. |
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure). |
|
|
flexString1Label |
Поле используется для индикации строки вставки. |
insertionString |
|
|
flexString1 |
Строка вставки – данные блока EventData события Windows. |
Windows DefenderSECURITY_PRODUCT_STATE_ON |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
endpoint_log |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Идентификатор устройства, сгенерировавшего это событие. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP |
|
|
shost |
Имя хоста. |
www.google.com |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
filePath |
Приложение, к которому было применено правило межсетевого экрана. |
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe |
|
|
cs1Label |
Поле используется для указания идентификатора конечного устройства. |
endpointId |
|
|
cs1 |
Идентификатор конечного устройства или сенсора. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
cs2Label |
Поле используется для указания на имя NetBIOS конечного устройства. |
endpointName |
|
|
cs2 |
Имя NetBIOS конечного устройства. |
DESKTOP-0731NFQ |
|
|
cs3Label |
Поле используется для указания правила, срабатывание которого создало запись в журнале. |
Rule |
|
|
cs3 |
Название правила. |
Test rule name |
|
|
flexString1Label |
Поле указывает на тип контента. |
Media type |
|
|
flexString1 |
Тип контента. |
text/html |
|
|
flexString2Label |
Поле указывает на категорию запрашиваемого URL-адреса. |
Categories |
|
|
flexString2 |
Категория URL. |
Computers & Technology |
Формат журнала правил конечных устройств CEF Format:
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
endpoint_log |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы категории URL. |
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Идентификатор устройства, сгенерировавшего это событие. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
|
proto |
Используемый протокол 4-го уровня. |
TCP |
|
|
shost |
Имя хоста. |
www.google.com |
|
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
|
filePath |
Приложение, к которому было применено правило межсетевого экрана. |
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe |
|
|
cs1Label |
Поле используется для указания идентификатора конечного устройства. |
endpointId |
|
|
cs1 |
Идентификатор конечного устройства или сенсора. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
cs2Label |
Поле используется для указания на имя NetBIOS конечного устройства. |
endpointName |
|
|
cs2 |
Имя NetBIOS конечного устройства. |
DESKTOP-0731NFQ |
|
|
cs3Label |
Поле используется для указания правила, срабатывание которого создало запись в журнале. |
Rule |
|
|
cs3 |
Название правила. |
Test rule name |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
endpoint_applications |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Значение по умолчанию. |
0 |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Идентификатор устройства, сгенерировавшего это событие. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
act |
Действие (запуск или остановка приложения). |
start, stop |
|
|
suser |
Пользователь. |
DESKTOP-0731NFQ\User |
|
|
filePath |
Расположение файла. |
C:\\Windows\\system32\\cmd.exe |
|
|
spid |
Идентификатор процесса. |
3860 |
|
|
fileHash |
Хэш приложения. |
B4979A9F970029889713D756C3F123643DDE73DA |
|
|
cs1Label |
Поле используется для указания идентификатора конечного устройства. |
endpointId |
|
|
cs1 |
Идентификатор конечного устройства. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
cs2Label |
Поле используется для указания на имя NetBIOS конечного устройства. |
endpointName |
|
|
cs2 |
Имя NetBIOS конечного устройства. |
DESKTOP-0731NFQ |
|
|
cs3Label |
Поле используется для индикации командной строки. |
cmdLine |
|
|
cs3 |
Запрос командной строки. |
C:\\Windows\\system32\\sc.exe start w32time task_started |
|
|
cs4Label |
Поле используется для указания идентификатора сессии. |
sessionId |
|
|
cs4 |
Идентификатор сессии. |
1656395717 |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Тип журнала. |
endpoint_hardware |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Значение по умолчанию. |
0 |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
|
deviceExternalId |
Идентификатор устройства, сгенерировавшего это событие. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
act |
Действие (подключение или извлечение устройства). |
add_device, remove_device |
|
|
sourceServiceName |
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством. |
USBHUB3 |
|
|
cs1Label |
Поле используется для указания идентификатора конечного устройства. |
endpointId |
|
|
cs1 |
Идентификатор конечного устройства. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
|
|
cs2Label |
Поле используется для указания на имя NetBIOS конечного устройства. |
endpointName |
|
|
cs2 |
Имя NetBIOS конечного устройства. |
DESKTOP-0731NFQ |
|
|
cs3Label |
Поле используется для указания идентификатора подключаемого/извлекаемого устройства. |
deviceId |
|
|
cs3 |
Идентификатор устройства. |
USB\\VID_0E0F&PID_0002\\6&201153C1&0&8 |
|
|
cs4Label |
Поле используется для индикации имени устройства. |
deviceName |
|
|
cs4 |
Название устройства. |
Kingston DataTraveler 2.0 USB Device |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
syslog |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1701085036026 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
|
|
msg |
Описание события. |
[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6) |
|
|
cn1Label |
Поле используется для указания типа источника событий syslog. Подробнее о значениях syslog facility смотрите в RFC 5424. |
Facility |
|
|
cn1 |
Тип источника событий syslog. Например, user-level messages. |
1 |
|
|
cs1Label |
Поле используется для указания имени устройства, на котором произошло событие. |
Hostname |
|
|
cs1 |
Имя компьютера, на котором произошло событие. |
node1 |
|
|
cs2Label |
Поле используется для указания приложения, вызвавшего событие. |
Tag |
|
|
cs2 |
Приложение, вызвавшее событие. |
org.gnome.Shell.desktop |
|
|
cs3Label |
Поле используется для указания идентификатора процесса события. |
ProcessID |
|
|
cs3 |
PID процесса вызвавшего событие. |
3036 |
|
|
cs4Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs4 |
Название правила, срабатывание которого вызвало событие. |
Example — Allow user-level messages |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
radius |
|
|
Name |
Тип источника. |
log |
|
|
Threat Level |
Уровень угрозы. |
Может принимать значения:
|
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1701085036026 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
|
|
act |
Статус пользователя (acct_status_type). |
start, stop, interim update, accounting-on, accounting-off |
|
|
suser |
Имя пользователя. |
Unknown, если ползователь неизвестен. | |
|
src_ip |
IP-адрес источника, откуда пришло сообщение. |
192.168.57.4 |
|
|
dst |
IP-адрес NAS, авторизовавшего пользователя. |
172.16.1.4 |
|
|
dvc |
IP-аадрес пользователя (framed ip address). |
192.168.57.29 |
|
|
cs1Label |
Поле используется для указания группы, в которой состоит пользователь. |
user groups |
|
|
cs1 |
Строка групп в которых состоит пользователь. |
test_group |
|
Тип поля |
Название поля |
Описание |
Пример значения |
|---|---|---|---|
|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
|
Device Vendor |
Производитель продукта. |
UserGate |
|
|
Device Product |
Тип продукта. |
NGFW |
|
|
Device Version |
Версия продукта. |
7 |
|
|
Source |
Название журнала. |
userid |
|
|
Name |
Тип источника. |
log |
|
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1701085036026 |
|
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
|
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
login |
|
|
reason |
Причина, по которой было создано событие. |
{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"], "user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624} |
|
|
suser |
Имя пользователя. |
user1 (Unknown, если пользователь неизвестен) |
|
|
src |
IPv4 источника трафика. |
10.10.0.11 |
|
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
dev.local |
|
Название поля |
Описание |
Пример значения |
|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
|
ip_address |
IPv4-адрес источника события. |
192.168.174.134 |
|
attributes |
Детали события в формате JSON. |
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"} |
|
event_type |
Тип события. |
logexport_rule_updated |
|
event_severity |
Важность события. |
info (информационные), warning (предупреждения), error (ошибки), critical (критичные). |
|
event_origin |
Модуль, в котором произошло событие. |
core |
|
event_component |
Компонент, в котором произошло событие. |
console_auth |
|
user |
Имя пользователя. |
{"guid":"37333739-3733-3734-3635-366400000000","name":"System","groups":[]}} |
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
session |
Идентификатор сессии. |
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
reasons |
Причина, по которой было создано событие, например, причина блокировки сайта. |
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}] |
||
|
proto |
Используемый протокол 4-го уровня. |
TCP |
||
|
host |
Имя хоста. |
www.google.com |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
52 |
||
|
bytes_recv |
Количество пакетов, переданных в направлении назначение — источник. |
100 |
||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
2 |
||
|
packets_recv |
Количество байтов, переданных в направлении назначение — источник. |
5 |
||
|
request_method |
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.). |
GET |
||
|
url |
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. |
|||
|
media_type |
Тип контента. |
application/json |
||
|
status_code |
Код ответа HTTP. |
302 |
||
|
http_referer |
URL источника запроса (реферер HTTP). |
|||
|
decrypted |
Поле указывает было ли содержимое расшифровано. |
true, false |
||
|
useragent |
Useragent пользовательского браузера. |
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 |
||
|
application |
id |
Идентификатор приложения. |
20 |
|
|
name |
Название приложения. |
Youtube |
||
|
threat_level |
Уровень угрозы приложения. |
0 |
||
|
app_protocol |
Протокол прикладного уровня и его версия. |
HTTP\/1.1" |
||
|
url_categories |
id |
Идентификатор категории, к которой относится URL. |
39 |
|
|
threat_level |
Уровень угрозы категории URL. |
Может принимать значения:
|
||
|
name |
Название категории, к которой относится URL. |
Social Networking |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника. |
Trusted |
||
|
country |
Страна источника трафика. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес источника |
01:23:45:67:89:AB |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Страна назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения. |
192.168.174.134 |
||
|
port |
Порт назначения. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес назначения. |
01:23:45:67:89:AB |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого вызвало создание события. |
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4 |
|
|
name |
Название правила. |
Default allow |
||
|
type |
Тип сработавшего правила. |
|||
|
user |
guid |
Уникальный идентификатор пользователя. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя |
user_name |
||
|
groups |
guid |
Уникальный идентификатор группы, в которой состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
session |
Идентификатор сессии. |
00000000-0000-0000-0000-000000000000 |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
||
|
reasons |
Причина, по которой было создано событие, например, url категория, на которых сработало правило. |
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]} |
||
|
proto |
Используемый протокол 4-го уровня. |
UDP |
||
|
host |
Имя хоста. |
google.com |
||
|
data |
Поле используется для указания передаваемых данных. |
{"question":[{"domain":"google.com","type":"A","class":"IN"}], "answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]} |
||
|
url_categories |
id |
Идентификатор сработавшей URL-категории. |
37 |
|
|
threat_level |
Уровень угрозы сработавшей категории. |
Может принимать значения:
|
||
|
name |
Название сработавшей категории. |
Search Engines & Portals |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
||
|
application |
id |
Идентификатор приложения. |
5 |
|
|
name |
Название приложения. |
|||
|
threat_level |
Уровень угрозы приложения. |
0 |
||
|
app_protocol |
Протокол прикладного уровня. |
DNS |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес источника. |
01:23:45:67:89:AB |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53. |
||
|
mac |
MAC-адрес назначения |
01:23:45:67:89:AB |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
Rule1 |
||
|
Type |
Тип сработавшего правила. |
|||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
user1 |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
session |
Идентификатор сессии. |
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
100 |
||
|
bytes_recv |
Количество байтов, переданных в направлении назначение — источник. |
6 |
||
|
packets_recv |
Количество пакетов, переданных в направлении назначение — источник. |
1 |
||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
1 |
||
|
json_data |
Дополнительные данные. |
null |
||
|
application |
id |
Идентификатор приложения. |
195 |
|
|
threat_level |
Уровень угрозы приложения. |
Может принимать значения:
|
||
|
app_protocol |
Протокол прикладного уровня. |
HTTP |
||
|
name |
Название приложения. |
Youtube |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
nat |
source |
ip |
Адрес источника после переназначения (если настроены правила NAT). |
192.168.117.85 (если NAT не настроен, то: "nat":null) |
|
port |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null) |
||
|
destination |
ip |
Адрес назначения после переназначения (если настроены правила NAT). |
64.233.164.198 (если NAT не настроен, то: "nat":null) |
|
|
port |
Порт источника после переназначения (если настроены правила NAT). |
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null) |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
type |
Тип правила. |
firewall |
||
|
name |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
Admin |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
session |
Идентификатор сессии. |
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
100 |
||
|
bytes_recv |
Количество байтов, переданных в направлении назначение — источник. |
6 |
||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
1 |
||
|
packets_recv |
Количество пакетов, переданных в направлении назначение — источник. |
1 |
||
|
json_data |
Дополнительные данные. |
null |
||
|
application |
id |
Идентификатор приложения. |
195 |
|
|
threat_level |
Уровень угрозы приложения. |
Может принимать значения:
|
||
|
name |
Название приложения. |
Youtube |
||
|
app_protocol |
Протокол прикладного уровня. |
HTTP |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
Admin |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
Allow trusted to untrusted |
||
|
type |
Тип сработавшего правила |
idps |
||
|
signatures |
id |
Идентификатор сработавшей сигнатуры. |
999999 |
|
|
threat_level |
Уровень угрозы сработавшей сигнатуры. |
Может принимать значения:
|
||
|
name |
Название сработавшей сигнатуры. |
BlackSun Test |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес источника. |
01:23:45:67:89:AB |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес назначения. |
01:23:45:67:89:AB |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
pdu_severity |
Критичность АСУ ТП. |
1 |
||
|
pdu_func |
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство). |
12 |
||
|
pdu_address |
Адрес регистра, с которым необходимо провести операцию. |
3154 |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
details |
pdu_varname |
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS. |
VAR |
|
|
pdu_device |
Адрес устройства, используемый в протоколах MMS и OPCUA. |
DEV |
||
|
mb_write_quantity |
Количество значений для записи (команда Read Write Register). |
998 |
||
|
mb_write_addr |
Начальный адрес регистра для записи (команда Read Write Register). |
776 |
||
|
mb_value |
Записываемое значение (для команд Write Single Coil, Write Single Register). |
322 |
||
|
mb_unit_id |
Адрес устройства. |
186 |
||
|
mb_read_quantity |
Количество значений для чтения (команда Read Write Register). |
658 |
||
|
mb_read_addr |
Начальный адрес регистра для чтения (команда Read Write Register). |
122 |
||
|
mb_quantity |
Количество значений для чтения. |
875 |
||
|
mb_payload |
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil). |
75be5ecdc24f9883 |
||
|
mb_or_mask |
Значение маски OR команды Mask Write Register. |
1024 |
||
|
mb_message |
Сообщение Modbus. |
exception |
||
|
mb_exception_code |
Код ошибки. Актуален для типа сообщения error_response. |
255 |
||
|
mb_and_mask |
Значение маски AND команды Mask Write Register. |
121 |
||
|
mb_addr |
Адрес регистра. |
3154 |
||
|
iec104_msgtype |
Тип запроса. |
request, response, error_response |
||
|
iec104_ioa |
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события. |
23 |
||
|
iec104_cot |
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU). |
6 |
||
|
iec104_asdu |
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104. |
123 |
||
|
app_protocol |
Протокол прикладного уровня. |
Modbus |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
pass |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
SCADA Sample Rule |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ersthetatica |
||
|
command |
Команда, передаваемая по SSH. |
whoami |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
block |
||
|
application |
id |
Идентификатор приложения. |
195 |
|
|
name |
Название приложения. |
|||
|
threat_level |
Уровень угрозы приложения. |
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2). |
||
|
app_protocol |
Протокол прикладного уровня. |
SSH или SFTP |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес источника. |
FA:16:3E:65:1C:B4 |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
104.19.197.151 |
||
|
port |
Порт назначения. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес назначения. |
01:23:45:67:89:AB |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
SSH Rule Example |
||
|
type |
Тип сработавшего правила. |
ssh |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
Admin |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
|||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
mark |
||
|
bytes_sent |
Количество байтов, переданных в направлении источник — назначение. |
0 |
||
|
bytes_recv |
Количество байтов, переданных в направлении назначение — источник. |
0 |
||
|
packets_sent |
Количество пакетов, переданных в направлении источник — назначение. |
0 |
||
|
packets_rcv |
Количество пакетов, переданных в направлении назначение — источник. |
0 |
||
|
decrypted |
Поле указывает было ли содержимое расшифровано. |
true, false |
||
|
from |
Почтовый адрес отправителя. |
sender@example.com |
||
|
to |
Почтовый адрес получателя. |
receiver@example.com |
||
|
application |
id |
Идентификатор приложения. |
9 |
|
|
name |
Название приложения. |
|||
|
threat_level |
Уровень угрозы приложения. |
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2). |
||
|
app_protocol |
Сетевой протокол прикладного уровня. |
SMTP |
||
|
source |
zone |
guid |
Уникальный идентификатор зоны источника трафика. |
d0038912-0d8a-4583-a525-e63950b1da47 |
|
name |
Название зоны источника трафика. |
Trusted |
||
|
country |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес источника трафика. |
10.10.10.10 |
||
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
mac |
MAC-адрес источника. |
01:23:45:67:89:AB |
||
|
destination |
zone |
guid |
Уникальный идентификатор зоны назначения трафика. |
3c0b1253-f069-4060-903b-5fec4f465db0 |
|
name |
Название зоны назначения трафика. |
Untrusted |
||
|
country |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
||
|
ip |
IPv4-адрес назначения трафика. |
10.10.10.10 |
||
|
port |
Порт назначения. |
Может принимать значения от 0 до 65535. |
||
|
port |
MAC-адрес назначения. |
01:23:45:67:89:AB |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
59e38e06-533a-4771-9664-031c3e8b2e1f |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
Mail security rule |
||
|
type |
Тип сработавшего правила. |
Mail security rule |
||
|
user |
guid |
Уникальный идентификатор пользователя. |
a7a3cd49-8232-4f1a-962a-3659af89e96f |
|
|
name |
Имя пользователя. |
user_name |
||
|
groups |
guid |
Уникальный идентификатор группы, в которой состоит пользователь. |
919878b2-e882-49ed-3331-8ec72c3c79cb |
|
|
name |
Название группы, в которой состоит пользователь. |
Default Group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
user_name |
Имя пользователя. |
DESKTOP-0731NFQ\\Username |
||
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
status |
Результат выполнения WMI или SNMP запроса. |
OK, Error |
||
|
source_name |
Источник журнала событий. |
Microsoft-Windows-Security-Auditing |
||
|
endpoint_name |
Название конечного устройства или сенсора. |
DESKTOP-0731NFQ |
||
|
endpoint_id |
Идентификатор конечного устройства или сенсора. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
||
|
node |
Идентификатор конечного устройства или узла, на котором запущен сенсор. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
||
|
log_level |
Тип события. |
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка |
||
|
log_file |
Тип журнала, содержащего важную информацию о программных и аппаратных событиях. |
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell |
||
|
log_event_type |
Тип события лога. |
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure). |
||
|
log_event_id |
Идентификатор события. |
4672 |
||
|
log_event_code |
Код события журнала. |
14056 |
||
|
log_category_string |
Категория события. |
Special Logon |
||
|
insertion_string |
Строка вставки – данные блока EventData события Windows. |
Windows DefenderSECURITY_PRODUCT_STATE_ON |
||
|
error |
Ошибка WMI или SNMP, возникшая в результате выполнения запроса. |
0 |
||
|
data |
Подробная информация о событии. |
Тип запуска службы "Установщик модулей Windows" был изменен с "Автоматически" на "Вручную". |
||
|
counter_id |
Идентификатор счётчика, добавленного в WMI или SNMP сенсор. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
||
|
computer_name |
Имя компьютера. |
DESKTOP-0731NFQ |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
session |
Идентификатор сессии. |
00000006-0000-0000-f04d-14bdad0f01bb |
||
|
proto |
Используемый протокол 4-го уровня. |
TCP |
||
|
host |
Имя хоста. |
www.google.com |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
drop, accept, nat |
||
|
endpoint_name |
Имя конечного устройства. |
DESKTOP-0731NFQ |
||
|
endpoint_id |
Идентификатор конечного устройства. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
||
|
media_type |
Тип контента. |
application/json |
||
|
app_name |
Приложение, к которому было применено правило межсетевого экрана. |
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe |
||
|
source |
ip |
IPv4-адрес источника. |
10.10.10.10 |
|
|
port |
Порт источника. |
Может принимать значения от 0 до 65535. |
||
|
destination |
ip |
IPv4-адрес назначения. |
104.19.197.151 |
|
|
port |
Порт назначения |
Может принимать значения от 0 до 65535. |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4 |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
Default allow |
||
|
type |
Тип сработавшего правила. |
|||
|
url_categories |
id |
Идентификатор категории, к которой относится URL. |
39 |
|
|
threat_level |
Уровень угрозы категории URL. |
Может принимать значения:
|
||
|
name |
Название категории, к которой относится URL. |
Social Networking |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
user_name |
Имя пользователя, под учётной записью которого выполнен вход на конечном устройстве. |
DESKTOP-0731NFQ\\User |
||
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
endpoint_name |
Название конечного устройства или сенсора. |
DESKTOP-0731NFQ |
||
|
endpoint_id |
Идентификатор конечного устройства или сенсора. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
||
|
process_id |
Идентификатор процесса. |
3916 |
||
|
hash |
Хэш приложения. |
B4CE5C3495FEA0A4FDBAC8ABDCD199F7E4CA8C1F |
||
|
app_name |
Приложение, которое было запущено/остановлено. |
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe |
||
|
action |
Действие (запуск или остановка приложения). |
start, stop |
||
|
version |
Версия приложения. |
6.2.19041.746 |
||
|
subject |
Субъект подписи. |
Microsoft Corporation |
||
|
issuer |
Издатель сертификата для приложения. |
Microsoft Windows Production PCA 2011 |
||
|
cmd_line |
Запрос командной строки. |
C:\\Windows\\system32\\svchost.exe -k wsappx -p -s AppXSvc |
||
|
session_id |
Идентификатор сессии. |
1656038456 |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
endpoint_name |
Название конечного устройства или сенсора. |
DESKTOP-0731NFQ |
||
|
endpoint_id |
Идентификатор конечного устройства или сенсора. |
35fb5820-74db-4eac-b05b-d01bc284c4e8 |
||
|
action |
Действие (подключение/извлечение устройства). |
add_device, remove_device |
||
|
device_name |
Название устройства, которое было подключено/извлечено. |
Generic USB Hub |
||
|
device_id |
Идентификатор устройства. |
USB\\VID_0E0F&PID_0002\\6&201153C1&0&7 |
||
|
service |
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством. |
USBHUB3 |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
||
|
syslog_facility |
Тип источника события syslog. Например, user-level messages. Подробнее о значениях syslog facility смотрите в RFC 5424. |
1 |
||
|
syslog_severity |
Уровень важности события syslog. Например, warning. Подробнее о значениях syslog severity смотрите в RFC 5424. |
4 |
||
|
computer_name |
Имя устройства, на котором произошло событие. |
node1 |
||
|
app_name |
Приложение, вызвавшее событие. |
org.gnome.Shell.desktop |
||
|
process_id |
PID процесса, вызвавшего событие. |
3036 |
||
|
data |
Описание события. |
[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6) |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
16535060-5a1a-4e92-8331-239406ec34da |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
Example — Allow user-level messages |
||
|
type |
Тип сработавшего правила. |
|||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
||
|
event_type |
Статус пользователя (acct_status_type). |
start, stop, interim update, accounting-on, accounting-off |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
login |
||
|
src_ip |
IP-адрес источника, откуда пришло сообщение. |
192.168.57.4 |
||
|
nas_ip |
IP-адрес NAS, авторизовавшего пользователя. |
172.16.1.4 |
||
|
framed_ip |
IP-адрес пользователя. |
192.168.57.29 |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
16535060-5a1a-4e92-8331-239406ec34da |
|
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
745591c3-9d21-092d-8db4-5b9b0000044f |
|
|
name |
Имя пользователя. |
user_name |
||
|
groups |
guid |
Уникальный идентификатор группы, в которой состоит пользователь. |
aa218609-8716-9252-df20-88c43a0d0bf6 |
|
|
name |
Название группы, в которой состоит пользователь. |
test_group |
||
|
Название поля |
Описание |
Пример значения |
||
|---|---|---|---|---|
|
timestamp |
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. |
2022-05-12T08:11:46.15869Z |
||
|
node |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
utmcore@ntoorereaeda |
||
|
reasons |
Причина, по которой было создано событие. |
{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"], \"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624} |
||
|
action |
Действие, принятое устройством в соответствии с настроенными политиками. |
login |
||
|
src_ip |
IPv4 источника события. |
10.10.0.11 |
||
|
rule |
guid |
Уникальный идентификатор правила, срабатывание которого создало событие. |
16535060-5a1a-4e92-8331-239406ec34da |
|
|
name |
Название правила, срабатывание которого вызвало событие. |
dev.local |
||
|
type |
Тип сработавшего правила. |
syslog |
||
|
user |
guid |
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. |
745591c3-9d21-092d-8db4-5b9b0000044f |
|
|
name |
Имя пользователя. |
user1 |
||
|
groups |
guid |
Уникальный идентификатор группы, в которых состоит пользователь. |
aa218609-8716-9252-df20-88c43a0d0bf6 |
|
|
name |
Название группы, в которой состоит пользователь. |
CN=Domain Users,CN=Users,DC=dev,DC=local |
||