有关 Web 界面中用户活动的 CEF 消息的内容和属性

每条消息的标头包含以下信息：

格式化版本。
当前版本号：0。当前字段值：CEF:0。
供应商。
当前字段值：AO Kaspersky Lab。
应用程序名称。
当前字段值：Kaspersky Anti Targeted Attack Platform。
应用程序版本
当前字段值：6.0.0-200。
事件类型。
见下表。
活动名称。
见下表。
事件重要性。
当前字段值：低。

示例：

CEF:0|AO卡巴斯基实验室|Kaspersky Anti Targeted Attack Platform|6.0.0-200|任务|管理任务|低|

CEF 消息的所有字段都具有“<key>=<value>”格式。密钥以及消息中包含的值显示在下表中。

CEF 消息中的事件信息

事件类型	事件名称和说明	关键及其价值描述
`sensors`	`管理 Sensor 组件` 将 Sensor 组件连接到 Central Node 服务器，修改组件设置。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`sb`	`配置与 Sandbox 组件的集成` 将 Sandbox 组件连接到 Central Node 服务器。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`ex_integration`	`配置与外部系统的集成` 配置与外部系统的集成。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`ksn_kpsn_mdr`	`参与 KSN、KPSN 和 MDR` 配置参与卡巴斯基安全网络、启用或禁用卡巴斯基私人安全网络的使用以及配置与 Kaspersky Managed Detection and Response 的集成。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`yara`	`管理 YARA 规则` YARA 规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。 `设备外部 ID` = <分布式方案模式下的主机 ID>。 `cs1label` = <被上传文件的名称>。
`ioc`	`管理入侵指标` IOC 规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。 `deviceExternalID` = <分布式方案模式下主机的标识符>。
`ids`	`管理 IDS 规则` IDS 规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。 `deviceExternalID` = <分布式方案模式下主机的标识符>。
`taa`	`管理 TAA 规则` TAA (IOA) 规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`sb rules`	`管理 Sandbox 规则` Sandbox 规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`prevention`	`管理防御规则` 防御规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`exclusions`	`管理扫描排除项` 扫描排除规则操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
endpoint_agents	管理 Endpoint Agent 主机对安装了 Endpoint Agent 组件的主机进行的操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`tasks`	`管理任务` 任务操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`network_isolation`	`Endpoint Agent 主机的网络隔离` Endpoint Agent 主机的网络隔离。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`settings`	`设置` 修改 Central Node 服务器设置。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`settings`	`设置` 虚拟机操作系统集被更改为<操作系统集的版本>。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。 `cs1label` = <设置得到更新的服务器的名称>。
`mt`	`管理 CN、PCN 和 SCN 服务器` 修改分布式解决方案和多租户模式下主 Central Node 和从属 Central Node 服务器的设置。 Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器（主 Central Node (PCN)）和从属服务器（从属 Central Node (SCN)）。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`user_account`	`管理用户账户` 对户账户的操作。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`notifications`	`发送通知` 配置电子邮件通知。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。
`license`	`授权许可` 管理授权许可密钥。	`dvs` = <服务器的 IP 地址>。 `eventId` = <事件 ID>。 `rt` = <事件日期和时间>。 `src` = <用户的 IP 地址>。 `用户`= <用户名>。 `cs1` = <事件类型>。

如果同时对超过 30 个对象执行某项操作，则仅记录该操作的一项。该条目包括有关操作的信息以及执行该操作的对象的数量。

页面顶部