有关 Web 界面中用户活动的 CEF 消息的内容和属性
每条消息的标头包含以下信息:
- 格式化版本。
当前版本号:
0
。当前字段值:CEF:0
。 - 供应商。
当前字段值:
AO Kaspersky Lab
。 - 应用程序名称。
当前字段值:
Kaspersky Anti Targeted Attack Platform
。 - 应用程序版本
当前字段值:6.0.0-200。
- 事件类型。
见下表。
- 活动名称。
见下表。
- 事件重要性。
当前字段值:
低
。示例:
CEF:0|AO卡巴斯基实验室|Kaspersky Anti Targeted Attack Platform|6.0.0-200|任务|管理任务|低|
CEF 消息的所有字段都具有“<key>=<value>”
格式。密钥以及消息中包含的值显示在下表中。
CEF 消息中的事件信息
事件类型 | 事件名称和说明 | 关键及其价值描述 |
---|---|---|
|
将传感器组件连接到中央节点服务器,修改组件设置。 |
|
|
将沙箱组件连接到中央节点服务器。 |
|
|
配置与外部系统的集成。 |
|
|
配置参与卡巴斯基安全网络、启用或禁用卡巴斯基私人安全网络的使用以及配置与 Kaspersky Managed Detection and Response 的集成。 |
|
|
YARA 规则操作。 |
|
|
IOC 规则操作。 |
|
|
IDS 规则操作。 |
|
|
TAA (IOA) 规则操作。 |
|
|
沙箱规则操作。 |
|
|
防御规则操作。 |
|
|
扫描排除规则操作。 |
|
endpoint_agents | 管理端点代理主机 对安装了端点代理组件的主机进行的操作。 |
|
|
任务操作。 |
|
|
端点代理主机的网络隔离。 |
|
|
修改中央节点服务器设置。 |
|
|
虚拟机操作系统集被更改为<操作系统集的版本>。 |
|
|
|
|
|
对户账户的操作。 |
|
|
配置电子邮件通知。 |
|
|
管理授权许可密钥。 |
|
如果同时对超过 30 个对象执行某项操作,则仅记录该操作的一项。该条目包括有关操作的信息以及执行该操作的对象的数量。