События аудита KUMA

События аудита KUMA

События аудита создаются при выполнении в KUMA определенных действий, связанных с безопасностью, и используются для обеспечения целостности системы.

Чтобы просмотреть события аудита, перейдите в раздел KUMA События и добавьте в запрос SELECT * FROM 'events' WHERE Type=4.

В результате выполнения запроса в разделе События отобразятся события аудита, если роль пользователя предусматривает права для просмотра событий аудита.

Поля событий с общей информацией

Каждое событие аудита имеет поля событий, описанные ниже.

Название поля события	Значение поля
`Timestamp`	Время события.
`DeviceHostName`	Хост источника события. Для событий аудита это имя хоста, на котором установлена служба kuma-core, потому что она является источником событий.
`DeviceTimeZone`	Часовой пояс системного времени сервера, на котором установлено Ядро KUMA в формате +-`чч:мм`.
`Type`	Тип события аудита. `Audit` или `Base`.
`TenantID`	Идентификатор главного тенанта.
`DeviceVendor`	`Kaspersky`
`DeviceProduct`	`KUMA`
`EndTime`	Время создания события.
`SpaceID`	`KUMA Audit`

В этом разделе

Поля событий с общей информацией

Пользователь успешно вошел в систему или не смог войти

Логин пользователя изменен

Роль пользователя изменена

Другие данные пользователя изменены

Пользователь вышел из системы

Пароль пользователя изменен

Пользователь создан

Пользователю назначена роль

Роль пользователя отозвана

Пользователь изменил параметры набора полей для определения источников

Токен доступа пользователя изменен

Изменен набор пространств для разграничения доступа к событиям

Сервис создан

Сервис удален

Сервис перезагружен

Сервис перезапущен

Сервис запущен

Сервис сопряжен

Статус сервиса изменен

Индекс партиции удален пользователем

Раздел хранилища автоматически удален в связи с истечением срока действия

Раздел хранилища автоматически удален или перемещен в связи с превышением объема хранилища

Активный лист успешно очищен или операция завершилась с ошибкой

Элемент активного листа успешно изменен или операция завершилась с ошибкой

Элемент активного листа успешно удален или операция завершилась с ошибкой

Активный лист успешно импортирован или операция завершилась с ошибкой

Активный лист экспортирован

Ресурс добавлен

Ресурс удален

Ресурс обновлен

Актив создан

Актив удален

Категория актива добавлена

Категория актива удалена

Параметры обновлены

Тенант создан

Тенант включен

Тенант выключен

Другие данные тенанта изменены

Изменена политика хранения данных после изменения дисков или операция завершилась с ошибкой

Словарь успешно обновлен на сервисе или операция завершилась ошибкой

Реагирование в Active Directory

Отправлен запрос в KIRA

Реагирование через KICS/KATA

Реагирование через Kaspersky Automated Security Awareness Platform

Реагирование через KEDR

Импорт техник и тактик MITRE ATT&CK

В начало