Название поля

Тип данных

Размер поля

Описание

Назначение данных полей определено в названии поля. Поля доступны для изменения.

ApplicationProtocol

Строка

31 символ

Название протокола прикладного уровня. Например, HTTPS, SSH, Telnet.

BytesIn

Число

От -9223372036854775808 до 9223372036854775807

Количество полученных байт.

BytesOut

Число

От -9223372036854775808 до 9223372036854775807

Количество отправленных байт.

DestinationAddress

Строка

45 символов

IPv4 или IPv6-адрес актива, с которым будет выполнено действие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

DestinationCity

Строка

1023 символа

Город, соответствующий IP-адресу из поля DestinationAddress.

DestinationCountry

Строка

1023 символа

Страна, соответствующая IP-адресу из поля DestinationAddress.

DestinationDnsDomain

Строка

255 символов

DNS-часть полного доменного имени точки назначения.

DestinationHostName

Строка

1023 символа

Название хоста точки назначения. FQDN точки назначения, если доступно.

DestinationLatitude

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Долгота, соответствующая IP-адресу из поля DestinationAddress.

DestinationLongitude

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Широта, соответствующая IP-адресу из поля DestinationAddress.

DestinationMacAddress

Строка

17 символов

MAC-адрес точки назначения. Например, aa:bb:cc:dd:ee:00

DestinationNtDomain

Строка

255 символов

Windows Domain Name точки назначения.

DestinationPort

Число

От -9223372036854775808 до 9223372036854775807

Номер порта точки назначения.

DestinationProcessID

Число

От -9223372036854775808 до 9223372036854775807

Идентификатор системного процесса, зарегистрированный на точке назначения.

DestinationProcessName

Строка

1023 символа

Название системного процесса, зарегистрированного на точке назначения. Например, sshd, telnet.

DestinationRegion

Строка

1023 символа

Регион, соответствующий IP-адресу из поля DestinationAddress.

DestinationServiceName

Строка

1023 символа

Название сервиса или службы на стороне точки назначения. Например, sshd.

DestinationTranslatedAddress

Строка

45 символов

IPv4 или IPv6-адрес точки назначения после трансляции. Например. 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

DestinationTranslatedPort

Число

От -9223372036854775808 до 9223372036854775807

Номер порта на точке назначения после трансляции.

DestinationUserID

Строка

1023 символа

Идентификатор пользователя точки назначения.

DestinationUserName

Строка

1023 символа

Имя пользователя точки назначения.

DestinationUserPrivileges

Строка

1023 символа

Названия ролей, которые идентифицируют пользовательские привилегии точки назначения. Например, User, Guest, Administrator.

DeviceAction

Строка

63 символа

Действие, которое было предпринято источником события. Например, blocked, detected.

DeviceAddress

Строка

45 символов

IPv4 или IPv6-адрес устройства, с которого было получено событие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

DeviceCity

Строка

1023 символа

Город, соответствующий IP-адресу из поля DeviceAddress.

DeviceCountry

Строка

1023 символа

Страна, соответствующая IP-адресу из поля DeviceAddress.

DeviceDnsDomain

Строка

255 символов

DNS-часть полного доменного имени устройства, с которого было получено событие.

DeviceEventClassID

Строка

1023 символа

Идентификатор типа события, присвоенный источником события.

DeviceExternalID

Строка

255 символов

Идентификатор устройства или приложения, присвоенный источником события. Чтобы поле DeviceExternalID отображалось в виде ссылки в свойствах события, нужно настроить шаблон в правиле обогащения или в правиле корреляции.

DeviceFacility

Строка

1023 символа

Значение параметра facility, установленное источником события.

DeviceHostName

Строка

100 символов

Имя устройства, с которого было получено событие. FQDN устройства, если доступно.

DeviceInboundinterface

Строка

128 символов

Название интерфейса входящего соединения.

DeviceLatitude

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Долгота, соответствующая IP-адресу из поля DeviceAddress.

DeviceLongitude

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Широта, соответствующая IP-адресу из поля DeviceAddress

DeviceMacAddress

Строка

17 символов

MAC-адрес устройства, с которого было получено событие. Например, aa:bb:cc:dd:ee:00

DeviceNtDomain

Строка

255 символов

Windows Domain Name устройства.

DeviceOutboundinterface

Строка

128 символов

Название интерфейса исходящего соединения.

DevicePayloadID

Строка

128 символов

Уникальный идентификатор полезной нагрузки (Payload), который ассоциирован с raw-событием.

DeviceProcessID

Число

От -9223372036854775808 до 9223372036854775807

Идентификатор системного процесса на устройстве, которое сгенерировало событие.

DeviceProcessName

Строка

1023 символа

Название процесса.

DeviceProduct

Строка

63 символа

Название приложения, сформировавшего событие. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.

DeviceReceiptTime

Число

От -9223372036854775808 до 9223372036854775807

Время получения события устройством.

DeviceRegion

Строка

1023 символа

Регион, соответствующий IP-адресу из поля DeviceAddress.

DeviceTimeZone

Строка

255 символов

Временная зона устройства, на котором было создано событие.

DeviceTranslatedAddress

Строка

45 символов

Ретранслированный IPv4 или IPv6-адрес устройства, с которого поступило событие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

DeviceVendor

Строка

63 символа

Название производителя источника события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.

DeviceVersion

Строка

31 символ

Версия приложения источника события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.

EndTime

Число

От -9223372036854775808 до 9223372036854775807

Дата и время (timestamp) завершения события.

EventOutcome

Строка

63 символа

Результат выполнения операции. Например, success, failure.

ExternalID

Строка

40 символов

Поле в которое может быть сохранен идентификатор.

FileCreateTime

Число

От -9223372036854775808 до 9223372036854775807

Время создания файла.

FileHash

Строка

255 символов

Хеш-сумма файла.

FileID

Строка

1023 символа

Значение идентификатора файла.

FileModificationTime

Число

От -9223372036854775808 до 9223372036854775807

Время последнего изменения файла.

FileName

Строка

1023 символа

Имя файла, без указания пути к файлу.

FilePath

Строка

1023 символа

Путь к файлу, включая имя файла.

FilePermission

Строка

1023 символа

Список разрешений файла.

FileSize

Число

От -9223372036854775808 до 9223372036854775807

Размер файла.

FileType

Строка

1023 символа

Тип файла.

Message

Строка

1023 символа

Краткое описание события.

Name

Строка

512 символов

Название события.

OldFileCreateTime

Число

От -9223372036854775808 до 9223372036854775807

Время создания OLD-файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.

OldFileHash

Строка

255 символов

Хеш-сумма OLD-файла.

OldFileID

Строка

1023 символа

Идентификатор OLD-файла.

OldFileModificationTime

Число

От -9223372036854775808 до 9223372036854775807

Время последнего изменения OLD-файла.

OldFileName

Строка

1023 символа

Имя OLD-файла (без пути).

OldFilePath

Строка

1023 символа

Путь к OLD-файлу, включая имя файла.

OldFilePermission

Строка

1023 символа

Список разрешений OLD-файла.

OldFileSize

Число

От -9223372036854775808 до 9223372036854775807

Размер OLD-файла.

OldFileType

Строка

1023 символа

Тип OLD-файла.

Reason

Строка

1023 символа

Информация о причине возникновения события.

RequestClientApplication

Строка

1023 символа

Значение параметра "user-agent" http-запроса.

RequestContext

Строка

2048 символа

Описание контекста http-запроса.

RequestCookies

Строка

1023 символа

Cookies, связанные с http-запросом.

RequestMethod

Строка

1023 символа

Метод, который использовался при выполнении http-запроса.

RequestUrl

Строка

1023 символа

Запрошенный URL.

Severity

Строка

1023 символа

Приоритет. Это может быть поле Severity или поле Level исходного события.

SourceAddress

Строка

45 символов

IPv4 или IPv6-адрес источника. Пример формата: 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

SourceCity

Строка

1023 символа

Город, соответствующий IP-адресу из поля SourceAddress.

SourceCountry

Строка

1023 символа

Страна, соответствующая IP-адресу из поля SourceAddress.

SourceDnsDomain

Строка

255 символов

DNS-часть полного доменного имени источника.

SourceHostName

Строка

1023 символа

Доменное имя Windows-устройства источника события.

SourceLatitude

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Долгота, соответствующая IP-адресу из поля SourceAddress.

SourceLongitude

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Широта, соответствующая IP-адресу из поля SourceAddress.

SourceMacAddress

Строка

17 символов

MAC-адрес источника. Пример формата: aa:bb:cc:dd:ee:00

SourceNtDomain

Строка

255 символов

Windows Domain Name источника.

SourcePort

Число

От -9223372036854775808 до 9223372036854775807

Номер порта источника.

SourceProcessID

Число

От -9223372036854775808 до 9223372036854775807

Идентификатор системного процесса.

SourceProcessName

Строка

1023 символа

Название системного процесса на источнике. Например, sshd, telnet.

SourceRegion

Строка

1023 символа

Регион, соответствующий IP-адресу из поля SourceAddress.

SourceServiceName

Строка

1023 символа

Название сервиса или службы на стороне источника. Например, sshd.

SourceTranslatedAddress

Строка

45 символов

IPv4 или IPv6-адрес источника после трансляции. Пример формата: 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

SourceTranslatedPort

Число

От -9223372036854775808 до 9223372036854775807

Номер порта на источнике после трансляции.

SourceUserID

Строка

1023 символа

Идентификатор пользователя источника.

SourceUserName

Строка

1023 символа

Имя пользователя источника.

SourceUserPrivileges

Строка

1023 символа

Названия ролей, которые идентифицируют пользовательские привилегии источника. Например, User, Guest, Administrator.

StartTime

Число

От -9223372036854775808 до 9223372036854775807

Дата и время (timestamp) в которые, началась активность, связанная с событием.

Tactic

Строка

128 символов

Название тактики из матрицы MITRE ATT&CK.

Technique

Строка

128 символов

Название техники из матрицы MITRE ATT&CK.

TransportProtocol

Строка

31 символ

Название протокола Транспортного уровня сетевой модели OSI (например TCP, UDP).

Type

Число

От -9223372036854775808 до 9223372036854775807

Тип события: 1 – базовое, 2 - агрегированное, 3 - корреляционное, 4 - аудит, 5 - мониторинг.

Поля, назначение которых может быть определено пользователем. Поля доступны для изменения.

DeviceCustomDate1

Число, timestamp

От -9223372036854775808 до 9223372036854775807

Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.

DeviceCustomDate1Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomDate1.

DeviceCustomDate2

Число, timestamp

От -9223372036854775808 до 9223372036854775807

Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.

DeviceCustomDate2Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomDate2.

DeviceCustomFloatingPoint1

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Поле для маппинга чисел с плавающей точкой.

DeviceCustomFloatingPoint1Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomFloatingPoint1.

DeviceCustomFloatingPoint2

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Поле для маппинга чисел с плавающей точкой.

DeviceCustomFloatingPoint2Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomFloatingPoint2.

DeviceCustomFloatingPoint3

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Поле для маппинга чисел с плавающей точкой.

DeviceCustomFloatingPoint3Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomFloatingPoint3.

DeviceCustomFloatingPoint4

Число с плавающей точкой

От +/- 1.7E-308 до 1.7E+308

Поле для маппинга чисел с плавающей точкой.

DeviceCustomFloatingPoint4Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomFloatingPoint4.

DeviceCustomIPv6Address1

Строка

45 символов

Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y

DeviceCustomIPv6Address1Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomIPv6Address1.

DeviceCustomIPv6Address2

Строка

45 символов

Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y

DeviceCustomIPv6Address2Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomIPv6Address2.

DeviceCustomIPv6Address3

Строка

45 символов

Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y

DeviceCustomIPv6Address3Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomIPv6Address3.

DeviceCustomIPv6Address4

Строка

45 символов

Поле для маппинга значения IPv6 address. Например, y:y:y:y:y:y:y:y

DeviceCustomIPv6Address4Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomIPv6Address4.

DeviceCustomNumber1

Число

От -9223372036854775808 до 9223372036854775807

Поле для маппинга целочисленного значения.

DeviceCustomNumber1Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomNumber1.

DeviceCustomNumber2

Число

От -9223372036854775808 до 9223372036854775807

Поле для маппинга целочисленного значения.

DeviceCustomNumber2Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomNumber2.

DeviceCustomNumber3

Число

От -9223372036854775808 до 9223372036854775807

Поле для маппинга целочисленного значения.

DeviceCustomNumber3Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomNumber3.

DeviceCustomString1

Строка

4000 символов

Поле для маппинга строкового значения.

DeviceCustomString1Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomString1.

DeviceCustomString2

Строка

4000 символов

Поле для маппинга строкового значения.

DeviceCustomString2Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomString2.

DeviceCustomString3

Строка

4000 символов

Поле для маппинга строкового значения.

DeviceCustomString3Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomString3.

DeviceCustomString4

Строка

4000 символов

Поле для маппинга строкового значения.

DeviceCustomString4Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomString4.

DeviceCustomString5

Строка

4000 символов

Поле для маппинга строкового значения.

DeviceCustomString5Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomString5.

DeviceCustomString6

Строка

4000 символов

Поле для маппинга строкового значения.

DeviceCustomString6Label

Строка

1023 символа

Поле для описания назначения поля DeviceCustomString6.

DeviceDirection

Число

От -9223372036854775808 до 9223372036854775807

Поле для описания направления соединения события. "0" - входящее соединение, "1" - исходящее соединение.

DeviceEventCategory

Строка

1023 символа

Категория события, присвоенная устройством, направившим событие в SIEM.

FlexDate1

Число, timestamp

От -9223372036854775808 до 9223372036854775807

Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.

FlexDate1Label

Строка

128 символов

Поле для описания назначения поля FlexDate1Label.

FlexNumber1

Число

От -9223372036854775808 до 9223372036854775807

Поле для маппинга целочисленного значения.

FlexNumber1Label

Строка

128 символов

Поле для описания назначения поля FlexNumber1Label.

FlexNumber2

Число

От -9223372036854775808 до 9223372036854775807

Поле для маппинга целочисленного значения.

FlexNumber2Label

Строка

128 символов

Поле для описания назначения поля FlexNumber2Label.

FlexString1

Строка

1023 символа

Поле для маппинга строкового значения.

FlexString1Label

Строка

128 символов

Поле для описания назначения поля FlexString1Label.

FlexString2

Строка

1023 символа

Поле для маппинга строкового значения.

FlexString2Label

Строка

128 символов

Поле для описания назначения поля FlexString2Label.

Служебные поля. Недоступны для редактирования.

AffectedAssets

Вложенная структура [Affected]

-

Вложенная структура, из которой можно обратиться к связанным с алертом активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта.

AggregationRuleID

Строка

-

Идентификатор правила агрегации.

AggregationRuleName

Строка

-

Название правила агрегации, которое обработало событие.

BaseEventCount

Число

-

Для агрегированного базового события – количество базовых событий, которые были обработаны правилом агрегации. Для корреляционного события – это количество базовых событий, которые были обработаны правилом корреляции, которое создало корреляционное событие.

BaseEvents

Вложенный список [Event]

-

Вложенная структура со списком базовых событий. Поле может быть заполнено у корреляционных событий.

Code

Строка

-

В базовом событии это код возврата процесса, функции или операции из источника.

CorrelationRuleID

Строка

-

ID корреляционного правила.

CorrelationRuleName

Строка

-

Название правила корреляции, в результате срабатывания которого было создано корреляционное событие. Заполняется только для корреляционных событий.

DestinationAccountID

Строка

-

Поле хранит идентификатор пользователя.

DestinationAssetID

Строка

-

Поле хранит идентификатор актива точки назначения.

DeviceAssetID

Строка

-

Поле хранит идентификатор актива, направившего событие в SIEM.

Extra

Вложенный словарь [строка:строка]

-

Поле, в которое во время нормализации сырого события можно поместить те его поля, для которых не настроено сопоставление с полями события KUMA. Это поле может быть заполнено только у базовых событий. Максимальный размер поля – 4 МБ.

GroupedBy 

Строка

-

Список названия полей, по которым была группировка в правиле корреляции. Заполняется только для корреляционного события.

ID

Строка

-

Уникальный идентификатор события типа UUID. Для базового события, генерируемого на коллекторе, идентификатор генерирует коллектор. Идентификатор корреляционного события генерирует коррелятор. Идентификатор никогда не меняет своего значения.

Raw

Строка

-

Не нормализованный текст исходного сырого события. Максимальный размер поля – 16 384 байт.

ReplayID

Строка

-

Идентификатор ретроспективного сканирования в процессе которого было создано событие.

ServiceID

Строка

-

Идентификатор экземпляра сервиса: коррелятора, коллектора, хранилища.

ServiceName

Строка

-

Название экземпляра микросервиса, которое присваивает администратор KUMA при создании микросервиса.

SourceAccountID

Строка

-

Поле хранит идентификатор пользователя.

SourceAssetID

Строка

-

Поле хранит идентификатор актива источника событий.

SpaceID

Строка

-

Идентификатор пространства.

TenantID

Строка

-

Поле хранит идентификатор тенанта.

TI

Вложенный словарь [строка:строка]

-

Поле, в котором в формате словаря содержатся категории, полученные от внешнего источника Threat Intelligence по индикаторам из события.

Timestamp 

Число

-

Время создания базового события на коллекторе. Время создания корреляционного события на корреляторе. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.

Поле

Тип данных

Описание

Assets

Вложенный список [AffectedRecord]

Перечень и количество связанных с алертом активов.

Accounts

Вложенный список [AffectedRecord]

Перечень и количество связанных с алертом учетных записей.

Поле

Тип данных

Описание

Value

Строка

Идентификатор актива или учетной записи.

Count

Число

Сколько раз актив или учетная запись фигурирует в связанных с алертом событиях.