资产管理技术的系统事件类型

本文介绍了资产管理技术的系统事件类型(见下表)。

资产管理 (AM) 技术的系统事件类型

代码

事件类型标题

注册条件

4000005003

检测到地址为 ' + $owner_ip_or_mac + ' 的新设备'

在资产监控处于监控模式时,会通过检测到的 IP 或 MAC 地址自动添加新设备,而表中的其他设备则未指定该地址。

应用程序在注册该事件的时候,可能会同时为该设备注册“未经授权的设备”风险。在这种情况下,风险和事件之间建立了关系。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备的指定名称
  • $assigned_mac – 分配的 MAC 地址(如果已定义)
  • $owner_ip – 分配的 IP 地址(如果已定义)
  • $asset_id – 设备的 ID

4000005004

收到关于地址为 ' + $owner_ip_or_mac + ' 的设备的新信息

在资产监控处于监控模式时,设备信息会根据从流量收到的信息自动更新。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $updated_pa​​rams – 更新信息列表
  • $asset_id – 设备的 ID

4000005005

检测到 IP 地址冲突 $owner_ip

在资产监控处于监控模式时,检测到指定 IP 地址的设备未使用该 IP 地址。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip – IP 地址
  • $challenger_asset_name – 使用该 IP 地址的设备名称
  • $challenger_mac – 使用该 IP 地址的设备的 MAC 地址
  • $asset_name – 在其设置中指定了该 IP 地址的设备的名称
  • $owner_mac – 在其设置中指定了该 IP 地址的设备的 MAC 地址
  • $challenger_ips_list – 使用该 IP 地址的设备的其他 IP 地址列表
  • $asset_id – 在其设置中指定了该 IP 地址的设备的 ID
  • $challenger_id – 使用该 IP 地址的设备的 ID

4000005006

检测到来自地址 $owner_ip_or_mac 的流量,该地址被分配给具有“已存档”状态的设备

在资产监控处于监控模式时,或根据从 EPP 应用程序收到的数据,检测到具有“已存档”状态的设备的活动。

应用程序在注册该事件的时候,可能会同时为该设备注册“未经授权的设备”风险。在这种情况下,风险和事件之间建立了关系。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $last_seen_timestamp – 设备最后一次出现在网络中的日期和时间
  • $asset_id – 设备的 ID

4000005007

检测到具有 MAC 地址 $owner_mac 的设备的新 IP 地址 $new_ip_addr

在资产监控处于监控模式时,检测到设备使用的新 IP 地址。

事件类型的标题和描述中使用了以下变量:

  • $new_ip_addr – 检测到的 IP 地址
  • $owner_mac – 设备的 MAC 地址
  • $asset_name – 设备名称
  • $owner_ips_list – 设备的其他 IP 地址列表
  • $asset_id – 设备的 ID

4000005008

新的 MAC 地址($owner_mac)被添加到 IP 地址为 $owner_ip 的设备

在资产管理监控模式下,对于仅指定了 IP 地址的网络接口(设备处于“未授权”或“已存档”状态),会自动添加 MAC 地址。

事件类型的标题和描述中使用了以下变量:

  • $owner_mac – 检测到的设备的 MAC 地址
  • $owner_ip – 设备的 IP 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005009

新的 IP 地址 $owner_ip 被添加到 MAC 地址为 $owner_mac 的设备

在资产管理监控模式下,对于仅指定了 MAC 地址的网络接口(设备处于“未授权”或“已存档”状态),会自动添加 IP 地址。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip – 检测到的设备的 IP 地址
  • $owner_mac – 设备的 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005010

检测到 IP 地址为 $owner_ip 的设备的新 MAC 地址 $new_mac_addr

在资产监控处于监控模式时,检测到设备使用的新 MAC 地址(此设备已禁用地址信息的自动更新)。

事件类型的标题和描述中使用了以下变量:

  • $new_mac_addr – 检测到的 MAC 地址
  • $owner_ip – 设备的 IP 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005011

在从 EPP 应用程序接收到的设备数据中检测到 MAC地址 $owner_mac 更改为 $challenger_mac

根据从 EPP 应用程序收到的信息,设备的 MAC 地址已更新。

事件类型的标题和描述中使用了以下变量:

  • $owner_mac – 设备的旧 MAC 地址
  • $challenger_mac – 设备的新 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005012

在从 EPP 应用程序接收的数据中发现设备 $asset_name 的新地址信息

在从 EPP 应用程序接收的数据中发现设备的新地址信息。如果设备地址信息的改变还未被应用程序处理,则会注册此类事件,如事件 4000005009 或 4000005010。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $detected_epp_addresses – 地址信息
  • $asset_id – 设备的 ID

4000005013

从 EPP 应用程序接收数据后,在设备地址 $conflicted_epp_assets 中检测到冲突

根据从 EPP 应用程序收到的信息,检测到 Kaspersky Anti Targeted Attack Platform 中多个设备的地址存在冲突。根据来自 EPP 应用程序的信息,这些地址属于同一设备。

事件类型的标题和描述中使用了以下变量:

  • $conflicted_epp_assets – 检测到具有冲突地址的设备
  • $unaccepted_epp_addresses – 属于同一设备的地址

4000005014

从 EPP 应用程序数据添加了子网 $subnet_mask

EPP 应用程序获取信息后,新子网会自动添加到已知子网列表中。该子网被添加到一个地址空间,其中数据源可以是从 EPP 应用程序获取信息的集成服务器。如果存在多个这样的地址空间,则选择包含最合适子网的地址空间来自动添加新的嵌套子网。

事件类型的标题和描述中使用了以下变量:

  • $subnet_mask – 子网地址
  • $subnet_type – 子网类型

4000005016

检测到 IP 地址为 $owner_ip 的未授权的 DHCP 服务器

地址为 $owner_ip_or_mac 的 $asset_name 设备(ID:$asset_id)被识别为未经授权的 DHCP 服务器。

事件类型的标题和描述中使用了以下变量:

  • $asset_id – 设备的 ID
  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址

4000005017

检测到 IP 地址为 $owner_ip 的未授权的 DHCP 中继

地址为 $owner_ip_or_mac 的 $asset_name 设备(ID:$asset_id)被识别为未经授权的 DHCP 中继。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址

4000005600

检测到地址为 $owner_ip_or_mac 的设备上的用户列表发生变化

在设备上控制用户时检测到用户信息发生变化。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID
  • $added_asset_users – 已添加的用户列表
  • $modified_asset_users – 修改的用户列表
  • $removed_asset_users – 已删除的用户列表

4000005601

在地址为 $owner_ip_or_mac 的设备上的应用程序列表中检测到更改

在监控设备上的应用程序和补丁时检测到有关设备上应用程序的信息被修改。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID
  • $added_asset_apps – 已添加的应用程序列表
  • $removed_asset_apps – 已删除的应用程序列表

4000005602

在地址为 $owner_ip_or_mac 的设备上检测到补丁列表中的更改

在监控设备上的应用程序和补丁时检测到设备补丁信息被修改。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID
  • $added_asset_patches – 已添加补丁的列表
  • $removed_asset_patches – 已删除补丁的列表

4000005603

在设备上的配置组件 $inventory_loc_key 中检测到更改

在监控设备配置时,根据设备扫描结果与以前的配置进行比较时检测到配置组件中的更改(对于在“仅更新”和/或“存档版本”配置处理模式下运行的作业)。

事件类型的标题和描述中使用了以下变量:

  • $inventory_loc_key – 配置组件的名称
  • $device_config_inventory_changed_format – 在配置组件中检测到的更改

4000005604

与设备上的参考配置组件 $inventory_loc_key 相比检测到差异

监控设备配置时,根据设备扫描结果发现与参考配置组件相比存在差异(对于在“与基准比较”配置处理模式下运行的作业)。

事件类型的标题和描述中使用了以下变量:

  • $inventory_loc_key – 配置组件的名称
  • $device_config_diverged_format – 与参考配置组件相比检测到差异

4000005700

远程连接设备时检测到公钥不匹配

远程连接到设备时,检测到收到的设备公钥与应用程序中存储的值不匹配。设备扫描已取消。

事件类型的描述中使用了以下变量:

  • $asset_name – 设备名称
  • $new_asset_sshpublickey – 收到的公钥
  • $old_asset_sshpublickey – 存储的公钥

4000005701

设备主动轮询期间检测到公钥不匹配

在主动轮询设备时,检测到接收到的设备公钥与应用程序中存储的值不匹配。已取消该设备的主动轮询。

事件类型的描述中使用了以下变量:

  • $asset_name – 设备名称
  • $new_asset_sshpublickey – 收到的公钥
  • $old_asset_sshpublickey – 存储的公钥

4000000004

测试事件 (AM)

检测到测试网络数据包(启用了设备活动检测方法)。

页面顶部