Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.
Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.
В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:
Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе программы. Все поля представлены в формате "<ключ>=<значение>"
. В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.
Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.
Тип обнаружения
|
Наименование и описание обнаружения
|
Ключ и описание его значения
|
file_web
|
File from web detected
В сетевом трафике обнаружен файл.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.dst = <IP-адрес назначения>.dpt = <порт назначения>.src = <IP-адрес источника>.spt = <порт источника>.shost = <имя хоста, на котором обнаружен файл>.suser = <имя пользователя>.fName = <имя файла внутри составного объекта>.fsize = <размер файла внутри составного объекта (в байтах)>.fileType = <формат файла внутри составного объекта>.fileHash = <MD5-хеш файла внутри составного объекта >.KasperskyLabKATAcompositeFilePath = <имя составного объекта>.KasperskyLabKATAcompositeFileSize = <общий размер составного объекта (в байтах)>.KasperskyLabKATAcompositeFileHash = <MD5-хеш составного объекта>.KasperskyLabKATAfileSHA256 = <SHA256-хеш составного объекта>.cs2 = <технология, с помощью которой обнаружен файл>.cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox).cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">.cs3 = <версия баз, с помощью которых проверен файл>.app = <название протокола прикладного уровня> (HTTP(S) или FTP).requestMethod = <метод HTTP-запроса> (только для протокола HTTP(S)).requestClientApplication = <User Agent клиентского компьютера> (только для протокола HTTP(S)).request = <URL обнаруженного объекта> (только для протокола HTTP(S)).requestContext = <HTTP-заголовок Referer> (только для протокола HTTP(S)).
|
file_mail
|
File from mail detected
В почтовом трафике обнаружен файл.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.fName = <имя файла внутри составного объекта>.fsize = <размер файла внутри составного объекта (в байтах)>.fileType = <формат файла внутри составного объекта >.fileHash = <MD5-хеш файла внутри составного объекта >.KasperskyLabKATAcompositeFilePath = <имя составного объекта>.KasperskyLabKATAcompositeFileSize = <общий размер составного объекта (в байтах)>.KasperskyLabKATAcompositeFileHash = <MD5-хеш составного объекта>.KasperskyLabKATAfileSHA256 = <SHA256-хеш составного объекта>.cs2 = <технология, с помощью которой обнаружен файл>.cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox).cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">.cs3 = <версия баз, с помощью которых проверен файл>.externalId = <ID сообщения электронной почты>.suser = <адрес электронной почты отправителя>.duser = <адреса электронной почты получателей>.msg = <тема сообщения>.
|
ids
|
IDS event detected
Обнаружение выполнено модулем Intrusion Detection System.
|
eventId = <ID обнаружения>.requestMethod = <метод HTTP-запроса> (только для протокола HTTP(S)).requestClientApplication = <User Agent клиентского компьютера> (только для протокола HTTP(S)).rt = <дата и время обнаружения>.dst = <IP-адрес назначения>.dpt = <порт назначения>.src = <IP-адрес источника>.spt = <порт источника>.proto = <название протокола сетевого уровня> (TCP или UDP).cs1 = <тип обнаруженного объекта по классификации "Лаборатории Касперского">.cs2Label = <название правила IDS>.cs2 = <номер правила IDS>.cs3 = <версия баз модуля Intrusion Detection System>.requestMethod = <метод HTTP-запроса> (только для протокола HTTP).requestClientApplication = <User Agent клиентского компьютера> (только для протокола HTTP).request = <URL обнаруженного объекта>.
|
url_web
|
URL from web detected
Обнаружение выполнено технологией URL Reputation или Sandbox в сетевом трафике.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.dst = <IP-адрес назначения>.dpt = <порт назначения>.src = <IP-адрес источника>.spt = <порт источника>.shost = <имя хоста, на котором обнаружен файл>.suser = <имя пользователя>.cs1 = <список категорий, к которым принадлежит URL-адрес обнаруженного объекта>.requestMethod = <метод HTTP-запроса>.requestClientApplication = <User Agent клиентского компьютера>.request = <URL-адрес обнаруженного объекта>.requestContext = <HTTP-заголовок Referer>.reason = <код HTTP-ответа>.
|
url_mail
|
URL from mail detected
Обнаружение выполнено технологией URL Reputation или Sandbox в почтовом трафике.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.externalId = <ID сообщения электронной почты>.suser = <адрес электронной почты отправителя>.duser = <адреса электронной почты получателей>.msg = <тема сообщения>.request = <URL-адрес обнаруженного объекта>.cs2 = <технология, с помощью которой выполнено обнаружение> (Sandbox или URL Reputation).cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для Sandbox).cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского"> (для Sandbox) или <список категорий> (для URL Reputation).cs3 = <версия баз, с помощью которых проверен файл> (только для Sandbox).
|
dns
|
DNS request detected
Обнаружение выполнено технологией URL Reputation в DNS-трафике.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.dst = <IP-адрес назначения>.dpt = <порт назначения>.src = <IP-адрес источника>.spt = <порт источника>.shost = <имя хоста, на котором обнаружен файл>.suser = <имя пользователя>.cs2 = <список URL-категорий, к которым принадлежат доменные имена>.requestMethod = <тип DNS-сообщения> (request или response).flexString1 = <тип записи из DNS-запроса>.dhost = <имя хоста из DNS-запроса>.cs1 = <список доменных имен из DNS-ответа>.
|
file_endpoint
|
File from endpoint detected
Обнаружение выполнено компонентом Endpoint Sensors на компьютере пользователя и содержит файл.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.src = <IP-адрес источника>.shost = <имя хоста, на котором обнаружен файл>.fName = <имя файла внутри составного объекта>.fsize = <размер файла внутри составного объекта (в байтах)>.fileType = <формат файла внутри составного объекта >.fileHash = <MD5-хеш файла внутри составного объекта >.KasperskyLabKATAcompositeFilePath = <имя составного объекта>.KasperskyLabKATAcompositeFileSize = <общий размер составного объекта (в байтах)>.KasperskyLabKATAcompositeFileHash = <MD5-хеш составного объекта>.KasperskyLabKATAfileSHA256 = <SHA256-хеш составного объекта>.cs2 = <технология, с помощью которой обнаружен файл>.cs3Label = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox).cs1 = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">.cs3 = <версия баз, с помощью которых проверен файл>.app = <название протокола прикладного уровня> (HTTP(S) или FTP).FilePath = <путь к файлу на компьютере с компонентом Endpoint Sensors>.
|
iocScanning
|
IOC has tripped on endpoint
Обнаружение выполнено в результате IOC-проверки компьютеров с компонентом Endpoint Sensors.
Этот тип обнаружений доступен, если вы используете только функциональность KEDR.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.src = <IP-адрес источника>.shost = <имя хоста, на котором обнаружен файл>.cs1 = <имя IOC-файла, по которому выполнено обнаружение>.
|
ioaScanning
|
IOA has tripped on events database
Обнаружение выполнено в результате IOA-анализа событий.
Этот тип обнаружений доступен, если вы используете только функциональность KEDR.
|
eventId = <ID обнаружения>.rt = <дата и время обнаружения>.shost = <имя хоста, на котором выполнено обнаружение>.cs1 = <имя IOA-правила, по которому выполнено обнаружение>.
|
heartbeat
|
Периодическое сообщение, содержащее статус компонентов.
|
dvc = <IP-адрес сервера с компонентом Central Node>.rt = <дата и время события>.KasperskyLabKATAcomponentName = <название компонента>.KasperskyLabKATAcomponentState = <статус компонента> (0 – ОК, >0 – Ошибка).
|