Системные типы событий по технологии Контроль активов

В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).

Системные типы событий по технологии Контроль активов (AM)

Код	Заголовок типа события	Важность	Условия для регистрации
4000005003	Обнаружено новое устройство с адресом $owner_ip_or_mac	Критические	В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – присвоенное имя устройства; $assigned_mac – присвоенный MAC-адрес (если определен); $owner_ip – присвоенный IP-адрес (если определен); $asset_id – идентификатор устройства.
4000005004	Получена новая информация об устройстве с адресом $owner_ip_or_mac	Информационные	В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $updated_params – список обновленных сведений; $asset_id – идентификатор устройства.
4000005005	Обнаружен конфликт IP-адреса $owner_ip	Критические	В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные: $owner_ip – IP-адрес; $challenger_asset_name – имя устройства, которое использовало IP-адрес; $challenger_mac – MAC-адрес устройства, которое использовало IP-адрес; $asset_name – имя устройства, в параметрах которого был указан IP-адрес; $owner_mac – MAC-адрес устройства, в параметрах которого был указан IP-адрес; $challenger_ips_list – список других IP-адресов устройства, которое использовало IP-адрес; $asset_id – идентификатор устройства, в параметрах которого был указан IP-адрес; $challenger_id. – идентификатор устройства, которое использовало IP-адрес.
4000005006	Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое	Критические	В режиме наблюдения контроля активов или по полученным данным от EPP-программы обнаружена активность устройства, которому был присвоен статус Неиспользуемое. В заголовке и в описании типа события используются следующие переменные: $owner_ip_or_mac – IP- или MAC-адрес устройства; $asset_name – имя устройства; $last_seen_timestamp – дата и время последнего появления устройства в сети; $asset_id – идентификатор устройства.
4000005007	Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac	Критические	В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные: $new_ip_addr – обнаруженный IP-адрес; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $owner_ips_list – список других IP-адресов устройства; $asset_id – идентификатор устройства.
4000005008	Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip	Информационные	В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_mac – обнаруженный MAC-адрес устройства; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005009	Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac	Информационные	В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные: $owner_ip – обнаруженный IP-адрес устройства; $owner_mac – MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005010	Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip	Критические	В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные: $new_mac_addr – обнаруженный MAC-адрес; $owner_ip – IP-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005011	Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-программы	Критические	По полученным данным от EPP-программы обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные: $owner_mac – старый MAC-адрес устройства; $challenger_mac – новый MAC-адрес устройства; $asset_name – имя устройства; $asset_id – идентификатор устройства.
4000005012	Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-программы	Критические	В полученных данных от EPP-программы обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано программой как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $unaccepted_epp_addresses – адресная информация; $asset_id – идентификатор устройства.
4000005013	Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-программы	Критические	По полученным данным от EPP-программы обнаружен конфликт с адресами нескольких устройств в Kaspersky Industrial CyberSecurity for Networks. По данным от EPP-программы, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные: $conflicted_epp_assets – устройства, у которых обнаружен конфликт адресов; $unaccepted_epp_addresses – адреса, для которых установлена принадлежность одному устройству.
4000005014	Добавлена подсеть $subnet_mask по данным от EPP-программы	Критические	После получения данных от EPP-программы в список известных подсетей автоматически добавлена новая подсеть. В заголовке и в описании типа события используются следующие переменные: $subnet_mask – адрес подсети; $subnet_type – тип подсети.
4000005200	Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время обнаружения операции.
4000005201	Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время сохранения блока в программе.
4000005202	Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время обнаружения операции.
4000005203	Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $block_name – имя блока; $saved_date_time – дата и время сохранения блока в программе.
4000005204	Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время обнаружения операции.
4000005205	Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время сохранения проекта в программе.
4000005206	Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время обнаружения операции.
4000005207	Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК $asset_name	Критические	При контроле чтения и записи проектов ПЛК обнаружена операция записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные: $asset_name – имя устройства; $saved_date_time – дата и время сохранения проекта в программе.
4000005300	Обнаружена уязвимость $cve_id	Критические	Обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором). В заголовке и в описании типа события используются следующие переменные: $cve_id – идентификационный номер уязвимости; $cve_desc – описание уязвимости; $cve_mitigation – рекомендации из базы данных уязвимостей.
4000005303	Изменены сведения об уязвимости $cve_id	Критические	Обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы). В заголовке и в описании типа события используются следующие переменные: $cve_id – идентификационный номер уязвимости; $cve_desc – описание уязвимости; $cve_updated_params – измененные сведения.
4000000004	Тестовое событие (AM)	Информационные	Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств).

В начало