cs4

cs4Label

Приоритет события (соответствует уровню важности сработавшего правила IDPS).

Возможные значения в сигнатурах:

• Low.
• Medium.
• High.

Значение отображается по умолчанию.

devicePayloadId

Идентификатор сессии.

Для событий правил Защиты от сетевого сканирование значение будет пустым.

deviceDirection

Направление соединения из сырого события. Возможные значения:

• 0 – request (запрос);
• 1 – response (ответ).

cs3

cs3Label

Источник обнаружения.

Всегда указывается значение Local.

rt

Дата и время формирования события на устройстве Kaspersky NGFW (сессия удалилась и попала в Менеджер сессий Kaspersky NGFW).

Формат: 2023-12-26T12:31:54Z.

dtz

Часовой пояс на устройстве.

dvchost

Имя хоста устройства Kaspersky NGFW.

Значение отображается по умолчанию.

src

IP-адрес источника.

Значение отображается по умолчанию.

dst

IP-адрес назначения.

Значение отображается по умолчанию.

proto

Протокол уровней L3–L4 из алерта IDPS, из поля Transport Layer.

Значение отображается по умолчанию.

spt

Порт источника.

dpt

Порт назначения.

app

Протокол уровня L7 из алерта IDPS, из поля Application Layer.

Значение отображается по умолчанию.

cn1

ID правила.

Значение отображается по умолчанию.

cat

Тип уязвимости правила.

Примеры:

HackTool.BindTaskSchedulerService.ATSVC.C&C

Exploit.CVE-2018-1111.DHCP.C&C

Значение отображается по умолчанию.

cs2

cs2Label

MITRE-пары тактик и техник правила

Может быть массив значений.

Значение отображается по умолчанию.

act

Действие, примененное для обнаруженного объекта.

Значение отображается по умолчанию.

KasperskyNGFWIDPSProfile

Сработавший профиль безопасности IDPS.

Для правил Защиты от сетевого сканирования отображается пустое значения.

Значение отображается по умолчанию.