基于资产管理技术的系统事件类型

本文提供与资产管理技术相关的系统事件类型的描述(请参见下表)。

基于资产管理技术 (AM) 的系统事件类型

代码

事件类型的标题

报名条件

4000005003

检测到地址为 ' + $owner_ip_or_mac + ' 的新设备'

资产管理监控模式会根据检测到的 IP 地址或 MAC 地址自动添加新设备,而该地址尚未为表中的其他设备指定。

应用程序在注册该事件的时候,可能会同时为该设备注册名为未授权的设备的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备的指定名称
  • $assigned_mac – 分配的 MAC 地址(如果已定义)
  • $owner_ip – 分配的 IP 地址(如果已定义)
  • $asset_id – 设备的 ID

4000005004

收到关于地址为 ' + $owner_ip_or_mac + ' 的设备的新信息'

资产管理监控模式根据从流量获得的数据自动更新设备信息。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $updated_pa​​rams – 更新信息列表
  • $asset_id – 设备的 ID

4000005005

检测到 IP 地址 ' + $owner_ip + ' 的冲突

资产管理监控模式下,应用程序检测到另一个设备正在使用与指定该 IP 地址的设备不同的 IP 地址。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip – IP 地址
  • $challenger_asset_name – 使用该 IP 地址的设备名称
  • $challenger_mac – 使用该 IP 地址的设备的 MAC 地址
  • $asset_name – 在其设置中指定了该 IP 地址的设备的名称
  • $owner_mac – 在其设置中指定了该 IP 地址的设备的 MAC 地址
  • $challenger_ips_list – 使用该 IP 地址的设备的其他 IP 地址列表
  • $asset_id – 在其设置中指定了该 IP 地址的设备的 ID
  • $challenger_id – 使用该 IP 地址的设备的 ID

4000005006

检测到来自地址 ' + $owner_ip_or_mac + ' 的流量,该地址被分配给具有“已存档”状态的设备

资产管理监控模式下或根据从 EPP 应用程序收到的数据,检测到分配了已存档状态的设备的活动。

应用程序在注册该事件的时候,可能会同时为该设备注册名为未授权的设备的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name – 设备名称
  • $last_seen_timestamp – 设备最后一次出现在网络中的日期和时间
  • $asset_id – 设备的 ID

4000005007

检测到 MAC 地址为 $owner_mac 的设备的新 IP 地址 $new_ip_addr

资产管理监控模式下,检测到设备使用的新 IP 地址。

事件类型的标题和描述中使用了以下变量:

  • $new_ip_addr – 检测到的 IP 地址
  • $owner_mac – 设备的 MAC 地址
  • $asset_name – 设备名称
  • $owner_ips_list – 设备的其他 IP 地址列表
  • $asset_id – 设备的 ID

4000005008

MAC 地址 $owner_mac 已被添加到 IP 地址为 $owner_ip 的设备

资产管理监控模式导致为仅指定了 IP 地址的网络接口自动添加 MAC 地址(设备状态为未授权已存档)。

事件类型的标题和描述中使用了以下变量:

  • $owner_mac – 检测到的设备的 MAC 地址
  • $owner_ip – 设备的 IP 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005009

IP 地址 $owner_ip 已被添加到 MAC 地址为 $owner_mac 的设备

资产管理监控模式导致为仅指定了 MAC 地址的网络接口自动添加 IP 地址(设备状态为未授权已存档)。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip – 检测到的设备的 IP 地址
  • $owner_mac – 设备的 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005010

检测到 IP 地址为 $owner_ip 的设备的新 MAC 地址 $new_mac_addr

资产管理监控模式导致检测到设备使用的新 MAC 地址(设备的地址信息自动更新功能已禁用)。

事件类型的标题和描述中使用了以下变量:

  • $new_mac_addr – 检测到的 MAC 地址
  • $owner_ip – 设备的 IP 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005011

在从 EPP 应用程序接收到的设备数据中检测到 MAC 地址 $owner_mac 更改为 $challenger_mac

已根据从 EPP 应用程序接收的数据更新了设备的 MAC 地址。

事件类型的标题和描述中使用了以下变量:

  • $owner_mac – 设备的旧 MAC 地址
  • $challenger_mac – 设备的新 MAC 地址
  • $asset_name – 设备名称
  • $asset_id – 设备的 ID

4000005012

在从 EPP 应用程序接收的数据中发现设备 $asset_name 的新地址信息

在从 EPP 应用程序接收的数据中检测到设备的新地址信息。如果设备地址信息的更改未被应用程序处理为代码为 4000005009 或 4000005010 的事件,则会注册此类事件。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $detected_epp_addresses – 地址信息
  • $asset_id – 设备的 ID

4000005013

从 EPP 应用程序接收数据后,在设备地址 $conflicted_epp_assets 中检测到冲突

根据从 EPP 应用程序接收的数据,检测到 Kaspersky Industrial CyberSecurity for Networks 中多个设备的地址存在冲突。根据来自 EPP 应用程序的数据,这些地址属于同一设备。

事件类型的标题和描述中使用了以下变量:

  • $conflicted_epp_assets – 检测到具有冲突地址的设备
  • $unaccepted_epp_addresses – 属于同一设备的地址

4000005014

根据来自 EPP 应用程序的数据添加了子网 $subnet_mask

EPP 应用程序接收到数据后,新子网会自动添加到已知子网列表中。该子网被添加到一个地址空间,其中数据源可能是从 EPP 应用程序接收了数据的集成服务器。如果有多个可用的地址空间,应用程序将选择包含最合适子网的地址空间来自动添加新的嵌套子网。

事件类型的标题和描述中使用了以下变量:

  • $subnet_mask – 子网地址
  • $subnet_type – 子网类型

4000005015

检测到具有以下地址的设备发生部件变化:$owner_ip_or_mac

根据从 EPP 应用程序接收的数据,使用部件监控功能更新了设备部件信息。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name:设备名称
  • $asset_id – 设备的 ID
  • $added_asset_hardware – 添加的部件列表
  • $ modified_asset_hardware – 修改的部件列表
  • $ removed_asset_hardware – 删除的部件列表

4000005200

PLC 项目控制: 检测到从 PLC $asset_name 读取未知块

PLC 项目控制读/写监控导致检测到从 PLC 读取了项目的未知块(如果没有保存有关此块的信息)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“从 PLC 读取未知项目块的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $block_name – 块的名称
  • $saved_date_time – 检测到操作的日期和时间

4000005201

PLC 项目控制: 检测到从 PLC $asset_name 读取已知块

PLC 项目控制读/写监控导致检测到从 PLC 读取了项目的已知块(如果保存了有关此块的信息,但收到的信息与有关此块的最新保存的信息不匹配)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“从 PLC 读取已知项目块”的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $block_name – 块的名称
  • $saved_date_time – 在应用程序中保存块的日期和时间

4000005202

PLC 项目控制:检测到向 PLC $asset_name 写入新块

PLC 项目控制读/写监控导致检测到从 PLC 写入了项目的未知块(如果没有保存有关此块的信息)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“将新项目块写入PLC的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $block_name – 块的名称
  • $saved_date_time – 检测到操作的日期和时间

4000005203

PLC 项目控制: 检测到向 PLC $asset_name 写入已知块

PLC 项目控制读/写监控导致检测到从 PLC 写入了项目的已知块(如果保存了有关此块的信息,但收到的信息与有关此块的最新保存的信息不匹配)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“将已知项目块写入PLC的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $block_name – 块的名称
  • $saved_date_time – 在应用程序中保存块的日期和时间

4000005204

PLC 项目控制:检测到从 PLC $asset_name 读取未知项目

PLC 项目控制读/写监控导致检测到从 PLC 读取了未知项目(如果没有保存有关此项目的信息)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“从 PLC 读取未知项目的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $saved_date_time – 检测到操作的日期和时间

4000005205

PLC 项目控制:检测到从 PLC $asset_name 读取已知项目

PLC 项目控制读/写监控导致检测到从 PLC 读取已知项目(如果已保存有关该项目的信息,但收到的信息与有关该项目的最新保存的信息不匹配)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“从 PLC 读取已知项目”的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $saved_date_time – 项目在应用程序中保存的日期和时间

4000005206

PLC 项目控制:检测到向 PLC $asset_name 写入新项目

PLC 项目控制读/写监控导致检测到将新项目写入 PLC(如果没有保存有关此项目的信息)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“将新项目写入PLC的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $saved_date_time – 检测到操作的日期和时间

4000005207

PLC 项目控制: 检测到向 PLC $asset_name 写入已知项目

PLC 项目控制读/写监控导致检测到将已知项目写入 PLC(如果已保存有关该项目的信息,但收到的信息与有关该项目的最新保存的信息不匹配)。

在注册该事件的时候,应用程序可能会同时为该设备注册名为“将已知项目写入PLC的风险。在这种情况下,风险与事件相关。

事件类型的标题和描述中使用了以下变量:

  • $asset_name – 设备名称
  • $saved_date_time – 项目在应用程序中保存的日期和时间

4000005600

检测到地址为 $owner_ip_or_mac 的设备上的用户列表发生变化

在设备上控制用户时检测到用户信息发生变化。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name:设备名称
  • $asset_id – 设备的 ID
  • $added_asset_users – 已添加的用户列表
  • $modified_asset_users – 修改的用户列表
  • $removed_asset_users – 已删除的用户列表

4000005601

在地址为 $owner_ip_or_mac 的设备上的应用程序列表中检测到更改

监控设备上的应用程序和补丁时检测到有关设备上应用程序的信息发生了变化。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name:设备名称
  • $asset_id – 设备的 ID
  • $added_asset_apps – 已添加的应用程序列表
  • $removed_asset_apps – 已删除的应用程序列表

4000005602

在地址为 $owner_ip_or_mac 的设备上检测到补丁列表中的更改

监控设备上的应用程序和补丁时检测到设备补丁信息发生变化。

事件类型的标题和描述中使用了以下变量:

  • $owner_ip_or_mac – 设备的 IP 或 MAC 地址
  • $asset_name:设备名称
  • $asset_id – 设备的 ID
  • $added_asset_patches – 已添加补丁的列表
  • $removed_asset_patches – 已删除补丁的列表

4000005603

在设备上的配置组件 $inventory_loc_key 中检测到更改

监控设备配置时,根据设备扫描结果与以前的配置进行比较时检测到配置组件中的更改(对于在“仅更新”和/或“存档版本”配置处理模式下运行的作业)。

事件类型的标题和描述中使用了以下变量:

  • $inventory_loc_key – 配置组件的名称
  • $device_config_inventory_changed_format – 在配置组件中检测到的更改

4000005604

与设备上的参考配置组件 $inventory_loc_key 相比检测到差异

监视设备配置时,根据设备扫描结果(对于在“与基准比较”配置处理模式下运行的作业)发现与参考配置组件相比存在差异。

事件类型的标题和描述中使用了以下变量:

  • $inventory_loc_key – 配置组件的名称
  • $device_config_diverged_format – 与参考配置组件相比检测到差异

4000005700

远程连接设备时检测到公钥不匹配

远程连接到设备时,检测到收到的设备公钥与应用程序中存储的值不匹配。设备扫描已取消。

事件类型描述中使用以下变量:

  • $asset_name – 设备名称
  • $new_asset_sshpublickey – 收到的公钥
  • $old_asset_sshpublickey – 存储的公钥

4000005701

设备主动轮询期间检测到公钥不匹配

在主动轮询设备时,检测到接收到的设备公钥与应用程序中存储的值不匹配。已取消该设备的主动轮询。

事件类型描述中使用以下变量:

  • $asset_name – 设备名称
  • $new_asset_sshpublickey – 收到的公钥
  • $old_asset_sshpublickey – 存储的公钥

此事件类型用于 Kaspersky Industrial CyberSecurity for Networks 4.2。在 Kaspersky Industrial CyberSecurity for Networks 4.2.1 中,改用代码为 4000005700 的事件类型。

4000000004

测试事件 (AM)

检测到测试网络数据包(启用了设备活动检测方法)。

页首