В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).
Системные типы событий по технологии Контроль активов (AM)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
---|---|---|---|
4000005003 |
Обнаружено новое устройство с адресом $owner_ip_or_mac |
Критические |
В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. В заголовке и в описании типа события используются следующие переменные:
|
4000005004 |
Получена новая информация об устройстве с адресом $owner_ip_or_mac |
Информационные |
В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные:
|
4000005005 |
Обнаружен конфликт IP-адреса $owner_ip |
Критические |
В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные:
|
4000005006 |
Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое |
Критические |
В режиме наблюдения контроля активов или по полученным данным от EPP-программы обнаружена активность устройства, которому был присвоен статус Неиспользуемое. В заголовке и в описании типа события используются следующие переменные:
|
4000005007 |
Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac |
Критические |
В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные:
|
4000005008 |
Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip |
Информационные |
В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные:
|
4000005009 |
Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac |
Информационные |
В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные:
|
4000005010 |
Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip |
Критические |
В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные:
|
4000005011 |
Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-программы |
Критические |
По полученным данным от EPP-программы обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные:
|
4000005012 |
Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-программы |
Критические |
В полученных данных от EPP-программы обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано программой как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные:
|
4000005013 |
Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-программы |
Критические |
По полученным данным от EPP-программы обнаружен конфликт с адресами нескольких устройств в Kaspersky Industrial CyberSecurity for Networks. По данным от EPP-программы, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные:
|
4000005014 |
Добавлена подсеть $subnet_mask по данным от EPP-программы |
Критические |
После получения данных от EPP-программы в список известных подсетей автоматически добавлена новая подсеть. В заголовке и в описании типа события используются следующие переменные:
|
4000005200 |
Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005201 |
Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005202 |
Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005203 |
Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005204 |
Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005205 |
Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005206 |
Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005207 |
Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005300 |
Обнаружена уязвимость $cve_id |
Критические |
Обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором). В заголовке и в описании типа события используются следующие переменные:
|
4000005303 |
Изменены сведения об уязвимости $cve_id |
Критические |
Обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы). В заголовке и в описании типа события используются следующие переменные:
|
4000000004 |
Тестовое событие (AM) |
Информационные |
Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств). |