有关警报的 syslog 邮件的内容和属性
有关每个警报的信息在单独的 syslog 类别(syslog 工具)中传输,系统未使用该类别来传递来自其他来源的消息。有关每个警报的信息以 CEF 格式作为单独的 syslog 邮件传输。如果警报是由针对性攻击分析器模块生成的,则有关该警报的信息将以 CEF 格式作为多个单独的系统日志消息传输。
有关警报的 syslog 邮件的默认最大大小为 32 KB。超过最大大小的邮件最后会被截断。
有关警报的每个系统日志消息的标头包含以下信息:
- 格式化版本。
当前版本号:
0
。当前字段值:CEF:0
。 - 供应商。
当前字段值:
AO Kaspersky Lab
。 - 应用程序名称。
当前字段值:
Kaspersky Anti Targeted Attack Platform
。 - 应用程序版本
当前字段值:6.0.0-200。
- 警报类型。
见下表。
- 活动名称。
见下表。
- 警报重要性。
允许的字段值:
低
、中
、高
或0
(对于心跳
消息)。 - 其他信息。
示例:
CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |6.0.0-200|url_web| 来自检测的 web 的 URL |Low|
有关警报的系统日志消息正文与有关该警报的信息匹配,该警报显示在应用程序 Web 界面中。所有字段均以 "<key>=<value>"
格式显示。根据网络流量或邮件流量中是否发生警报,以及根据生成警报的技术,可以在系统日志消息的正文中传输各种密钥。如果该值为空,则不传输密钥。
密钥以及消息中包含的值显示在下表中。
有关 syslog 消息中的警报的信息
警报类型 | 提醒名称和说明 | 关键及其价值描述 |
---|---|---|
|
在网络流量中检测到文件。 |
|
|
在邮件流量中检测到文件。 |
|
|
入侵检测系统模块生成了一条警报。 |
|
|
网络流量中的 URL 信誉技术或 Sandbox 生成了一条警报。 |
|
|
邮件流量中的 URL 信誉技术或 Sandbox 生成了一条警报。 |
|
|
DNS 流量中的 URL 信誉技术生成了一条警报。 |
|
|
用户计算机上的 Endpoint Agent 组件生成了一条警报,并且该警报包含文件。 |
|
|
该警报是在使用 Windows Endpoint Agent 组件对主机执行 IOC 扫描时生成的。 如果您使用 KEDR 功能,则可以使用此类警报。 |
|
|
IOA 事件分析产生的警报。 如果您使用 KEDR 功能,则可以使用此类警报。 |
|
|
该警报是在使用 Windows Endpoint Agent 组件对主机执行 YARA 扫描时生成的。 如果您使用 KEDR 功能,则可以使用此类警报。 |
|
| 包含组件状态的定期消息。 |
|