Переменные Kaspersky Industrial CyberSecurity for Networks для настройки событий

Вы можете использовать переменные Kaspersky Industrial CyberSecurity for Networks в следующих случаях:

• при создании и изменении пользовательских типов событий;
• при настройке параметров передачи событий по электронной почте.

Вместо указанных переменных при регистрации или передаче события Сервер автоматически подставляет текущие значения параметров.

В параметрах пользовательских типов событий для полей ввода Заголовок и Описание вы можете использовать следующие переменные:

• $communications – строки описания сетевых взаимодействий (по одной строке на каждое сетевое взаимодействие) с указанием протокола и адресов отправителя и получателя сетевого пакета;
• $dst_address – адрес получателя сетевого пакета (в зависимости от доступных в протоколе данных это могут быть IP-адрес, номер порта, MAC-адрес и / или другие адресные данные);
• $event_type_id – код типа события;
• $monitoring_point – имя точки мониторинга, трафик с которой вызвал регистрацию события;
• $occurred – дата и время регистрации события;
• $protocol – название протокола прикладного уровня, при отслеживании которого зарегистрировано событие;
• $src_address – адрес отправителя сетевого пакета (в зависимости от доступных в протоколе данных это могут быть IP-адрес, номер порта, MAC-адрес и / или другие адресные данные);
• $tags – список всех имен и значений тегов, участвующих в правиле контроля процесса;
• $technology_rule – имя правила контроля процесса, по которому регистрируется событие;
• $top_level_protocol – название протокола верхнего уровня;
• $extra.<paramName> – дополнительная переменная, добавленная с помощью функции AddEventParam для внешней системы или Lua-скрипта.

В параметрах адресата Электронная почта для поля ввода Шаблон события вы можете использовать следующие переменные:

• $closed – дата и время присвоения статуса Обработано или дата и время разрешения повтора события (для событий, не являющихся инцидентами), либо дата и время регистрации последнего события, включенного в инцидент (для инцидентов);
• $communications – строки описания сетевых взаимодействий (по одной строке на каждое сетевое взаимодействие) с указанием протокола и адресов отправителя и получателя сетевого пакета;
• $count – количество срабатываний события или инцидента;
• $description – описание события;
• $event_id – уникальный идентификатор зарегистрированного события;
• $event_type_id – код типа события;
• $monitoring_point – имя точки мониторинга, трафик с которой вызвал регистрацию события;
• $occurred – дата и время регистрации события;
• $severity – уровень важности события;
• $technology – технология, к которой относится событие;
• $technology_rule – имя правила, по которому регистрируется событие;
• $title – заголовок события.

В параметрах адресата Электронная почта для поля ввода Текст уведомления вы можете использовать только переменную $events. Переменная заменяется списком строк с информацией о событиях. Каждая строка будет соответствовать событию с текущими значениями переменных из поля Шаблон события.

Чтобы вставить переменную в поле ввода, выполните следующие действия:

1. Установите курсор в нужное место поля ввода, в котором вы хотите использовать переменную.
2. Нажмите на кнопку Добавить переменную или введите символ $ (от предыдущего слова символ $ нужно отделить пробелом).

   В поле ввода рядом с курсором отобразится раскрывающийся список с доступными переменными.

3. Выберите нужную переменную из раскрывающегося списка.

Переменная будет добавлена в поле ввода и выделена специальным шрифтом.

В начало