資產管理技術的系統事件類型

本文介紹了資產管理技術的系統事件類型(見下表)。

資產管理(AM) 技術的系統事件類型

代碼

事件類型標題

註冊條件

4000005003

偵測到位址為 ' + $owner_ip_or_mac + ' 的新裝置'

當資產監控處於監控模式時,會透過偵測到的 IP 或 mAC 位址自動新增裝置,而表中的其他裝置則未指定該位址。

應用程式在註冊該事件的時候,可能會同時為該裝置註冊“未經授權的裝置”風險。在這種情況下,風險和事件之間建立了關係。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址
  • $asset_name – 裝置的指定名稱
  • $assigned_mac – 指派的 MAC 位址(如果已定義)
  • $owner_ip – 分配的 IP 位址(如果已定義)
  • $asset_id – 裝置的 ID

4000005004

收到關於位址為 ' + $owner_ip_or_mac + ' 的裝置的新資訊

當資產監控處於監控模式時,裝置資訊會根據從流量收到的資訊自動更新。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址
  • $asset_name – 裝置名稱
  • $updated_pa​​rams – 更新資訊清單
  • $asset_id – 裝置的 ID

4000005005

偵測到 IP 位址衝突$owner_ip

當資產監控處於監控模式時,偵測到指定 IP 位址的裝置未使用該 IP 位址。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip – IP 位址
  • $challenger_asset_name – 使用該 IP 位址的裝置名稱
  • $challenger_mac – 使用該 IP 位址的裝置的 MAC 位址
  • $asset_name – 在其設定中指定了該 IP 位址的裝置的名稱
  • $owner_mac – 在其設定中指定了該 IP 位址的裝置的 MAC 位址
  • $challenger_ips_list – 使用該 IP 位址的裝置的其他IP 位址清單
  • $asset_id – 在其設定中指定了該 IP 位址的裝置的 ID
  • $challenger_id – 使用該 IP 位址的裝置的 ID

4000005006

偵測到來自位址 $owner_ip_or_mac 的流量,該位址被指派給具有“已存檔”狀態的裝置

當資產監控處於監控模式時,或根據從 EPP 應用程式收到的資料,偵測到具有“已存檔”狀態的裝置的活動。

應用程式在註冊該事件的時候,可能會同時為該裝置註冊“未經授權的裝置”風險。在這種情況下,風險和事件之間建立了關係。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址
  • $asset_name – 裝置名稱
  • $last_seen_timestamp – 裝置最後一次出現在網路中的日期和時間
  • $asset_id – 裝置的 ID

4000005007

偵測到具有 MAC 位址 $owner_mac 的裝置的新IP 位址 $new_ip_addr

當資產監控處於監控模式時,偵測到裝置使用的新IP 位址。

事件類型的標題和描述中使用了以下變數:

  • $new_ip_addr – 偵測到的 IP 位址
  • $owner_mac – 裝置的 MAC 位址
  • $asset_name – 裝置名稱
  • $owner_ips_list – 裝置的其他 IP 位址清單
  • $asset_id – 裝置的 ID

4000005008

新的 MAC 位址($owner_mac)被新增到 IP 位址為 $owner_ip 的裝置

在資產管理監控模式下,僅指定了 IP 位址的網路介面(裝置處於“未授權”或“已存檔”狀態),會自動新增MAC 位址。

事件類型的標題和描述中使用了以下變數:

  • $owner_mac – 偵測到的裝置的 MAC 位址
  • $owner_ip – 裝置的 IP 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID

4000005009

新的 IP 位址 $owner_ip 被新增到 MAC 位址為$owner_mac 的裝置

在資產管理監控模式下,僅指定了 MAC 位址的網路介面(裝置處於“未授權”或“已存檔”狀態),會自動新增 IP 位址。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip – 偵測到的裝置的 IP 位址
  • $owner_mac – 裝置的 MAC 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID

4000005010

偵測到 IP 位址為$owner_ip 的裝置的新 MAC 位址 $new_mac_addr

當資產監控處於監控模式時,偵測到裝置使用的新MAC 位址(此裝置已停用位址資訊的自動更新)。

事件類型的標題和描述中使用了以下變數:

  • $new_mac_addr – 偵測到的 MAC 位址
  • $owner_ip – 裝置的 IP 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID

4000005011

在從 EPP 應用程式接收到的裝置資料中偵測到MAC 位址 $owner_mac 變更為 $challenger_mac

根據從 EPP 應用程式收到的資訊,裝置的 MAC 位址已更新。

事件類型的標題和描述中使用了以下變數:

  • $owner_mac – 裝置的舊 MAC 位址
  • $challenger_mac – 裝置的新MAC 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID

4000005012

在從 EPP 應用程式接收的資料中發現裝置$asset_name 的新位址資訊

從 EPP 應用程式接收的資料中發現裝置的新位址資訊。如果裝置位址資訊的變更尚未被應用程式處理,則會註冊此類事件,如事件 4000005009 或4000005010。

事件類型的標題和描述中使用了以下變數:

  • $asset_name – 裝置名稱
  • $detected_epp_addresses – 位址資訊
  • $asset_id – 裝置的 ID

4000005013

從 EPP 應用程式接收資料後,在裝置位址 $conflicted_epp_assets 中偵測到衝突

根據從 EPP 應用程式收到的資訊,偵測到 Kaspersky Anti Targeted Attack Platform 中多個裝置的位址存在衝突。根據來自 EPP 應用程式的資訊,這些位址屬於同一裝置。

事件類型的標題和描述中使用了以下變數:

  • $conflicted_epp_assets – 偵測到具有衝突位址的裝置
  • $unaccepted_epp_addresses – 屬於同一裝置的位址

4000005014

從 EPP 應用程式資料新增了子網路$subnet_mask

從 EPP 應用程式取得資訊後,新子網路會自動新增至已知子網路清單。該子網路被新增到一個位址空間,其中資料來源可以是從 EPP 應用程式獲取資訊的 Integration Server。如果存在多個這樣的位址空間,則選擇包含最適合子網路的位址空間來自動新增新的巢狀子網路。

事件類型的標題和描述中使用了以下變數:

  • $subnet_mask – 子網路位址
  • $subnet_type – 子網路類型

4000005016

偵測到 IP 位址為 $owner_ip 的未授權的 DHCP 伺服器

位址為 $owner_ip_or_mac 的 $asset_name 裝置(ID:$asset_id)被辨識為未經授權的 DHCP 伺服器。

事件類型的標題和描述中使用了以下變數:

  • $asset_id – 裝置的 ID
  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址

4000005017

偵測到 IP 位址為 $owner_ip 的未授權的 DHCP 中繼

位址為 $owner_ip_or_mac 的 $asset_name 裝置(ID:$asset_id)被辨識為未經授權的 DHCP 中繼。

事件類型的標題和描述中使用了以下變數:

  • $asset_name – 裝置名稱
  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址

4000005600

偵測到位址為 $owner_ip_or_mac 的裝置上的使用者清單發生變化

在裝置上控制使用者時偵測到使用者資訊發生變化。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID
  • $added_asset_users – 已新增的使用者清單
  • $modified_asset_users – 修改後的使用者清單
  • $removed_asset_users – 已刪除的使用者清單

4000005601

在位址為 $owner_ip_or_mac 的裝置上的應用程式清單中偵測到變更

在監控裝置上的應用程式和修補程式時偵測到有關裝置上應用程式的資訊已被修改。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID
  • $added_asset_apps – 已新增的應用程式清單
  • $removed_asset_apps – 已刪除的應用程式清單

4000005602

在位址為 $owner_ip_or_mac 的裝置上偵測到修補程式清單中的變更

在監控裝置上的應用程式和修補程式時偵測到裝置修補程式資訊已修改。

事件類型的標題和描述中使用了以下變數:

  • $owner_ip_or_mac – 裝置的 IP 或 mAC 位址
  • $asset_name – 裝置名稱
  • $asset_id – 裝置的 ID
  • $added_asset_patches – 已新增修補程式的清單
  • $removed_asset_patches – 已刪除修補程式的清單

4000005603

在裝置上的組態元件 $inventory_loc_key 中偵測到變更

在監控裝置配置時,根據裝置掃描結果與先前的配置進行比較時偵測到配置元件中的變更(對於在“僅更新”和/或“壓縮檔案版本”配置處理模式下執行的作業)。

事件類型的標題和描述中使用了以下變數:

  • $inventory_loc_key – 設定元件的名稱
  • $device_config_inventory_changed_format – 在配置元件中偵測到的變更

4000005604

與裝置上的參考配置元件 $inventory_loc_key 相比偵測到差異

監控裝置配置時,根據裝置掃描結果發現與參考配置元件相比存在差異(對於在“與基準比較”配置處理模式下執行的作業)。

事件類型的標題和描述中使用了以下變數:

  • $inventory_loc_key – 設定元件的名稱
  • $device_config_diverged_format – 與參考配置元件相比偵測到差異

4000005700

遠端連線裝置時偵測到公鑰不匹配

遠端連線到裝置時,偵測到收到的裝置公鑰與應用程式中儲存的值不符。裝置掃描已取消。

事件類型的描述中使用了以下變數:

  • $asset_name – 裝置名稱
  • $new_asset_sshpublickey – 收到的公鑰
  • $old_asset_sshpublickey – 儲存的公鑰

4000005701

裝置主動輪詢期間偵測到公鑰不匹配

在主動輪詢裝置時,偵測到接收到的裝置公鑰與應用程式中儲存的值不符。已取消該裝置的主動輪詢。

事件類型的描述中使用了以下變數:

  • $asset_name – 裝置名稱
  • $new_asset_sshpublickey – 收到的公鑰
  • $old_asset_sshpublickey – 儲存的公鑰

4000000004

測試事件 (AM)

偵測到測試網路封包(啟用了裝置活動偵測方法)。

頁面頂部