有关 Web 界面中用户活动的 CEF 消息的内容和属性

每条消息的标头包含以下信息:

CEF 消息的所有字段都具有“<key>=<value>”格式。密钥以及消息中包含的值显示在下表中。

CEF 消息中的事件信息

事件类型

事件名称和说明

关键及其价值描述

sensors

管理 Sensor 组件

将 Sensor 组件连接到 Central Node 服务器,修改组件设置。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

sb

配置与 Sandbox 组件的集成

将 Sandbox 组件连接到 Central Node 服务器。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

ex_integration

配置与外部系统的集成

配置与外部系统的集成。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

ksn_kpsn_mdr

参与 KSN、KPSN 和 MDR

配置参与卡巴斯基安全网络、启用或禁用卡巴斯基私人安全网络的使用以及配置与 Kaspersky Managed Detection and Response 的集成。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

yara

管理 YARA 规则

YARA 规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。
  • 设备外部 ID = <分布式方案模式下的主机 ID>。
  • cs1label = <被上传文件的名称>。

ioc

管理入侵指标

IOC 规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。
  • deviceExternalID = <分布式方案模式下主机的标识符>。

ids

管理 IDS 规则

IDS 规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。
  • deviceExternalID = <分布式方案模式下主机的标识符>。

taa

管理 TAA 规则

TAA (IOA) 规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

sb rules

管理 Sandbox 规则

Sandbox 规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

prevention

管理防御规则

防御规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

exclusions

管理扫描排除项

扫描排除规则操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

endpoint_agents

管理 Endpoint Agent 主机

对安装了 Endpoint Agent 组件的主机进行的操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

tasks

管理任务

任务操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

network_isolation

Endpoint Agent 主机的网络隔离

Endpoint Agent 主机的网络隔离。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

settings

设置

修改 Central Node 服务器设置。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

settings

设置

虚拟机操作系统集被更改为<操作系统集的版本>。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。
  • cs1label = <设置得到更新的服务器的名称>。

mt

管理 CN、PCN 和 SCN 服务器

修改分布式解决方案多租户模式下主 Central Node 和从属 Central Node 服务器的设置。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

user_account

管理用户账户

对户账户的操作。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

notifications

发送通知

配置电子邮件通知。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

license

授权许可

管理授权许可密钥。

  • dvs = <服务器的 IP 地址>。
  • eventId = <事件 ID>。
  • rt = <事件日期和时间>。
  • src = <用户的 IP 地址>。
  • 用户= <用户名>。
  • cs1 = <事件类型>。

如果同时对超过 30 个对象执行某项操作,则仅记录该操作的一项。该条目包括有关操作的信息以及执行该操作的对象的数量。

页面顶部