Системные типы событий по технологии Контроль активов

В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).

Системные типы событий по технологии Контроль активов (AM)

Код

Заголовок типа события

Важность

Условия для регистрации

4000005003

Обнаружено новое устройство с адресом $owner_ip_or_mac

Критические

В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице.

В заголовке и в описании типа события используются следующие переменные:

  • $owner_ip_or_mac – IP- или MAC-адрес устройства;
  • $asset_name – присвоенное имя устройства;
  • $assigned_mac – присвоенный MAC-адрес (если определен);
  • $owner_ip – присвоенный IP-адрес (если определен);
  • $asset_id – идентификатор устройства.

4000005004

Получена новая информация об устройстве с адресом $owner_ip_or_mac

Информационные

В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика.

В заголовке и в описании типа события используются следующие переменные:

  • $owner_ip_or_mac – IP- или MAC-адрес устройства;
  • $asset_name – имя устройства;
  • $updated_params – список обновленных сведений;
  • $asset_id – идентификатор устройства.

4000005005

Обнаружен конфликт IP-адреса $owner_ip

Критические

В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес.

В заголовке и в описании типа события используются следующие переменные:

  • $owner_ip – IP-адрес;
  • $challenger_asset_name – имя устройства, которое использовало IP-адрес;
  • $challenger_mac – MAC-адрес устройства, которое использовало IP-адрес;
  • $asset_name – имя устройства, в параметрах которого был указан IP-адрес;
  • $owner_mac – MAC-адрес устройства, в параметрах которого был указан IP-адрес;
  • $challenger_ips_list – список других IP-адресов устройства, которое использовало IP-адрес;
  • $asset_id – идентификатор устройства, в параметрах которого был указан IP-адрес;
  • $challenger_id. – идентификатор устройства, которое использовало IP-адрес.

4000005006

Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое

Критические

В режиме наблюдения контроля активов или по полученным данным от EPP-программы обнаружена активность устройства, которому был присвоен статус Неиспользуемое.

В заголовке и в описании типа события используются следующие переменные:

  • $owner_ip_or_mac – IP- или MAC-адрес устройства;
  • $asset_name – имя устройства;
  • $last_seen_timestamp – дата и время последнего появления устройства в сети;
  • $asset_id – идентификатор устройства.

4000005007

Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac

Критические

В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством.

В заголовке и в описании типа события используются следующие переменные:

  • $new_ip_addr – обнаруженный IP-адрес;
  • $owner_mac – MAC-адрес устройства;
  • $asset_name – имя устройства;
  • $owner_ips_list – список других IP-адресов устройства;
  • $asset_id – идентификатор устройства.

4000005008

Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip

Информационные

В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое).

В заголовке и в описании типа события используются следующие переменные:

  • $owner_mac – обнаруженный MAC-адрес устройства;
  • $owner_ip – IP-адрес устройства;
  • $asset_name – имя устройства;
  • $asset_id – идентификатор устройства.

4000005009

Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac

Информационные

В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое).

В заголовке и в описании типа события используются следующие переменные:

  • $owner_ip – обнаруженный IP-адрес устройства;
  • $owner_mac – MAC-адрес устройства;
  • $asset_name – имя устройства;
  • $asset_id – идентификатор устройства.

4000005010

Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip

Критические

В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации).

В заголовке и в описании типа события используются следующие переменные:

  • $new_mac_addr – обнаруженный MAC-адрес;
  • $owner_ip – IP-адрес устройства;
  • $asset_name – имя устройства;
  • $asset_id – идентификатор устройства.

4000005011

Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-программы

Критические

По полученным данным от EPP-программы обновлен MAC-адрес устройства.

В заголовке и в описании типа события используются следующие переменные:

  • $owner_mac – старый MAC-адрес устройства;
  • $challenger_mac – новый MAC-адрес устройства;
  • $asset_name – имя устройства;
  • $asset_id – идентификатор устройства.

4000005012

Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-программы

Критические

В полученных данных от EPP-программы обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано программой как событие с кодом 4000005009 или 4000005010.

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $unaccepted_epp_addresses – адресная информация;
  • $asset_id – идентификатор устройства.

4000005013

Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-программы

Критические

По полученным данным от EPP-программы обнаружен конфликт с адресами нескольких устройств в Kaspersky Industrial CyberSecurity for Networks. По данным от EPP-программы, адреса принадлежат одному устройству.

В заголовке и в описании типа события используются следующие переменные:

  • $conflicted_epp_assets – устройства, у которых обнаружен конфликт адресов;
  • $unaccepted_epp_addresses – адреса, для которых установлена принадлежность одному устройству.

4000005014

Добавлена подсеть $subnet_mask по данным от EPP-программы

Критические

После получения данных от EPP-программы в список известных подсетей автоматически добавлена новая подсеть.

В заголовке и в описании типа события используются следующие переменные:

  • $subnet_mask – адрес подсети;
  • $subnet_type – тип подсети.

4000005200

Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $block_name – имя блока;
  • $saved_date_time – дата и время обнаружения операции.

4000005201

Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $block_name – имя блока;
  • $saved_date_time – дата и время сохранения блока в программе.

4000005202

Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция записи неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $block_name – имя блока;
  • $saved_date_time – дата и время обнаружения операции.

4000005203

Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция записи известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $block_name – имя блока;
  • $saved_date_time – дата и время сохранения блока в программе.

4000005204

Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $saved_date_time – дата и время обнаружения операции.

4000005205

Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $saved_date_time – дата и время сохранения проекта в программе.

4000005206

Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $saved_date_time – дата и время обнаружения операции.

4000005207

Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК $asset_name

Критические

При контроле чтения и записи проектов ПЛК обнаружена операция записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте).

В заголовке и в описании типа события используются следующие переменные:

  • $asset_name – имя устройства;
  • $saved_date_time – дата и время сохранения проекта в программе.

4000005300

Обнаружена уязвимость $cve_id

Критические

Обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором).

В заголовке и в описании типа события используются следующие переменные:

  • $cve_id – идентификационный номер уязвимости;
  • $cve_desc – описание уязвимости;
  • $cve_mitigation – рекомендации из базы данных уязвимостей.

4000005303

Изменены сведения об уязвимости $cve_id

Критические

Обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы).

В заголовке и в описании типа события используются следующие переменные:

  • $cve_id – идентификационный номер уязвимости;
  • $cve_desc – описание уязвимости;
  • $cve_updated_params – измененные сведения.

4000000004

Тестовое событие (AM)

Информационные

Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств).

В начало