有关 Web 界面中用户活动的 CEF 消息的内容和属性

sensors

管理传感器组件

将传感器组件连接到中央节点服务器，修改组件设置。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

sb

配置与沙箱组件的集成

将沙箱组件连接到中央节点服务器。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

ex_integration

配置与外部系统的集成

配置与外部系统的集成。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

ksn_kpsn_mdr

参与 KSN、KPSN 和 MDR

配置参与卡巴斯基安全网络、启用或禁用卡巴斯基私人安全网络的使用以及配置与 Kaspersky Managed Detection and Response 的集成。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

yara

管理 YARA 规则

YARA 规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。
• 设备外部 ID = <分布式方案模式下的主机 ID>。
• cs1label = <被上传文件的名称>。

ioc

管理入侵指标

IOC 规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。
• deviceExternalID = <分布式方案模式下主机的标识符>。

ids

管理 IDS 规则

IDS 规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。
• deviceExternalID = <分布式方案模式下主机的标识符>。

taa

管理 TAA 规则

TAA (IOA) 规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

sb rules

管理沙箱规则

沙箱规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

prevention

管理防御规则

防御规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

exclusions

管理扫描排除项

扫描排除规则操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

endpoint_agents

管理端点代理主机

对安装了端点代理组件的主机进行的操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

tasks

管理任务

任务操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

network_isolation

Endpoint Agent 主机的网络隔离

端点代理主机的网络隔离。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

settings

设置

修改中央节点服务器设置。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

settings

设置

虚拟机操作系统集被更改为<操作系统集的版本>。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。
• cs1label = <设置得到更新的服务器的名称>。

mt

管理 CN、PCN 和 SCN 服务器

修改分布式解决方案和多租户模式下主中央节点和辅助中央节点服务器的设置。

Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

安装有中央节点组件的服务器的两层架构。此架构分配主控制服务器 （主中央节点 (PCN)）和从属服务器（辅助中央节点 (SCN)）。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

user_account

管理用户账户

对户账户的操作。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

notifications

发送通知

配置电子邮件通知。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。

license

授权许可

管理授权许可密钥。

• dvs = <服务器的 IP 地址>。
• eventId = <事件 ID>。
• rt = <事件日期和时间>。
• src = <用户的 IP 地址>。
• 用户= <用户名>。
• cs1 = <事件类型>。