本文介绍了资产管理技术的系统事件类型(见下表)。
资产管理 (AM) 技术的系统事件类型
代码 |
事件类型标题 |
注册条件 |
---|---|---|
4000005003 |
检测到地址为 ' + $owner_ip_or_mac + ' 的新设备' |
在资产监控处于监控模式时,会通过检测到的 IP 或 MAC 地址自动添加新设备,而表中的其他设备则未指定该地址。 应用程序在注册该事件的时候,可能会同时为该设备注册“未经授权的设备”风险。在这种情况下,风险和事件之间建立了关系。 事件类型的标题和描述中使用了以下变量:
|
4000005004 |
收到关于地址为 ' + $owner_ip_or_mac + ' 的设备的新信息 |
在资产监控处于监控模式时,设备信息会根据从流量收到的信息自动更新。 事件类型的标题和描述中使用了以下变量:
|
4000005005 |
检测到 IP 地址冲突 $owner_ip |
在资产监控处于监控模式时,检测到指定 IP 地址的设备未使用该 IP 地址。 事件类型的标题和描述中使用了以下变量:
|
4000005006 |
检测到来自地址 $owner_ip_or_mac 的流量,该地址被分配给具有“已存档”状态的设备 |
在资产监控处于监控模式时,或根据从 EPP 应用程序收到的数据,检测到具有“已存档”状态的设备的活动。 应用程序在注册该事件的时候,可能会同时为该设备注册“未经授权的设备”风险。在这种情况下,风险和事件之间建立了关系。 事件类型的标题和描述中使用了以下变量:
|
4000005007 |
检测到具有 MAC 地址 $owner_mac 的设备的新 IP 地址 $new_ip_addr |
在资产监控处于监控模式时,检测到设备使用的新 IP 地址。 事件类型的标题和描述中使用了以下变量:
|
4000005008 |
新的 MAC 地址($owner_mac)被添加到 IP 地址为 $owner_ip 的设备 |
在资产管理监控模式下,对于仅指定了 IP 地址的网络接口(设备处于“未授权”或“已存档”状态),会自动添加 MAC 地址。 事件类型的标题和描述中使用了以下变量:
|
4000005009 |
新的 IP 地址 $owner_ip 被添加到 MAC 地址为 $owner_mac 的设备 |
在资产管理监控模式下,对于仅指定了 MAC 地址的网络接口(设备处于“未授权”或“已存档”状态),会自动添加 IP 地址。 事件类型的标题和描述中使用了以下变量:
|
4000005010 |
检测到 IP 地址为 $owner_ip 的设备的新 MAC 地址 $new_mac_addr |
在资产监控处于监控模式时,检测到设备使用的新 MAC 地址(此设备已禁用地址信息的自动更新)。 事件类型的标题和描述中使用了以下变量:
|
4000005011 |
在从 EPP 应用程序接收到的设备数据中检测到 MAC地址 $owner_mac 更改为 $challenger_mac |
根据从 EPP 应用程序收到的信息,设备的 MAC 地址已更新。 事件类型的标题和描述中使用了以下变量:
|
4000005012 |
在从 EPP 应用程序接收的数据中发现设备 $asset_name 的新地址信息 |
在从 EPP 应用程序接收的数据中发现设备的新地址信息。如果设备地址信息的改变还未被应用程序处理,则会注册此类事件,如事件 4000005009 或 4000005010。 事件类型的标题和描述中使用了以下变量:
|
4000005013 |
从 EPP 应用程序接收数据后,在设备地址 $conflicted_epp_assets 中检测到冲突 |
根据从 EPP 应用程序收到的信息,检测到 Kaspersky Anti Targeted Attack Platform 中多个设备的地址存在冲突。根据来自 EPP 应用程序的信息,这些地址属于同一设备。 事件类型的标题和描述中使用了以下变量:
|
4000005014 |
从 EPP 应用程序数据添加了子网 $subnet_mask |
从 EPP 应用程序获取信息后,新子网会自动添加到已知子网列表中。该子网被添加到一个地址空间,其中数据源可以是从 EPP 应用程序获取信息的集成服务器。如果存在多个这样的地址空间,则选择包含最合适子网的地址空间来自动添加新的嵌套子网。 事件类型的标题和描述中使用了以下变量:
|
4000005016 |
检测到 IP 地址为 $owner_ip 的未授权的 DHCP 服务器 |
地址为 $owner_ip_or_mac 的 $asset_name 设备(ID:$asset_id)被识别为未经授权的 DHCP 服务器。 事件类型的标题和描述中使用了以下变量:
|
4000005017 |
检测到 IP 地址为 $owner_ip 的未授权的 DHCP 中继 |
地址为 $owner_ip_or_mac 的 $asset_name 设备(ID:$asset_id)被识别为未经授权的 DHCP 中继。 事件类型的标题和描述中使用了以下变量:
|
4000005600 |
检测到地址为 $owner_ip_or_mac 的设备上的用户列表发生变化 |
在设备上控制用户时检测到用户信息发生变化。 事件类型的标题和描述中使用了以下变量:
|
4000005601 |
在地址为 $owner_ip_or_mac 的设备上的应用程序列表中检测到更改 |
在监控设备上的应用程序和补丁时检测到有关设备上应用程序的信息被修改。 事件类型的标题和描述中使用了以下变量:
|
4000005602 |
在地址为 $owner_ip_or_mac 的设备上检测到补丁列表中的更改 |
在监控设备上的应用程序和补丁时检测到设备补丁信息被修改。 事件类型的标题和描述中使用了以下变量:
|
4000005603 |
在设备上的配置组件 $inventory_loc_key 中检测到更改 |
在监控设备配置时,根据设备扫描结果与以前的配置进行比较时检测到配置组件中的更改(对于在“仅更新”和/或“存档版本”配置处理模式下运行的作业)。 事件类型的标题和描述中使用了以下变量:
|
4000005604 |
与设备上的参考配置组件 $inventory_loc_key 相比检测到差异 |
监控设备配置时,根据设备扫描结果发现与参考配置组件相比存在差异(对于在“与基准比较”配置处理模式下运行的作业)。 事件类型的标题和描述中使用了以下变量:
|
4000005700 |
远程连接设备时检测到公钥不匹配 |
远程连接到设备时,检测到收到的设备公钥与应用程序中存储的值不匹配。设备扫描已取消。 事件类型的描述中使用了以下变量:
|
4000005701 |
设备主动轮询期间检测到公钥不匹配 |
在主动轮询设备时,检测到接收到的设备公钥与应用程序中存储的值不匹配。已取消该设备的主动轮询。 事件类型的描述中使用了以下变量:
|
4000000004 |
测试事件 (AM) |
检测到测试网络数据包(启用了设备活动检测方法)。 |