События модуля

Модуль формирует сообщения для обработки внешними аналитическими системами при нарушении целостности приманок, их изменении и т.д.

События модуля

ModuleStartInfo (EventID 550)

Генерируется при запуске модуля, содержит информацию о версии модуля и его окружении.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • event_description — версия модуля, операционная система, архитектура.

DeceptionConfigInfo (EventID 551)

Генерируется при успешной загрузке конфигурационного файла. Содержит сводку по типам и количеству развернутых приманок.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • sensor_feed_id — идентификатор источника конфигурации;

  • sensor_feed_version — версия источника конфигурации;

  • event_description — список типов приманок с количеством каждого;

  • sensor_cfg_version — версия конфигурационного файла модуля.

ModuleFeedUpdateInfo (EventID 552)

Генерируется при обновлении источника данных конфигурации.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • event_description — информация об обновлении источника данных.

ModuleShutdownInfo (EventID 553)

Генерируется при штатном завершении работы модуля без ошибок.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • event_description — причина завершения работы модуля.

ModuleShutdownWithError (EventID 554)

Генерируется при завершении работы модуля с ошибками.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • event_description — агрегированные сообщения об ошибках работы модуля;

  • event_reason — дублирует event_description для обратной совместимости.

События приманок

DecoyCreated (EventID 560)

Генерируется при успешном создании приманки. Содержит полную конфигурацию приманки в JSON формате с замаскированными паролями.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • obj_name — имя приманки;

  • event_description — конфигурация приманки в формате JSON;

  • usr_tgt_name — имя подложного пользователя (при отсутствии в конфигурации приманки не выводится в событие);

  • sensor_cfg_version — версия конфигурации модуля.

DecoyDeleted (EventID 561)

Генерируется при корректной остановке работы приманки в результате удаления из конфигурации или штатного отключения модуля.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • obj_name — имя приманки;

  • sensor_cfg_version — версия конфигурации модуля.

DecoyDeployFailed (EventID 562)

Генерируется в случае неуспешной попытки установки приманки. Описывает различные типы ошибок работы с приманками.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • obj_name — имя приманки;

  • event_reason — детальное описание ошибки установки приманки;

  • sensor_cfg_version — версия конфигурации модуля.

DecoyDeployInfo (EventID 563)

Событие с информацией об установленной приманке, используется для отладки и детальной трассировки.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • obj_name — имя приманки;

  • event_description — конфигурация приманки в формате JSON.

DecoyCorrupted (EventID 564)

Генерируется при обнаружении повреждения приманки.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • obj_name — имя приманки;

  • event_reason — детальное описание причины повреждения приманки;

  • sensor_cfg_version — версия конфигурации модуля.

DecoyRestored (EventID 565)

Генерируется при успешном восстановлении поврежденной приманки.

Описание полей:

  • time — время наступления события в формате UTC;

  • type — тип события;

  • obj_name — имя приманки;

  • event_description — детали успешного восстановления;

  • usr_tgt_name — имя подложного пользователя (при отсутствии в конфигурации приманки не выводится в событие);

  • sensor_cfg_version — версия конфигурации модуля.

DecoyRemediationFailed (EventID 566)

Генерируется в случае неуспешной попытки восстановления приманки. Описывает различные типы ошибок восстановления приманок.

Описание полей:

  • obj_name - имя приманки.

  • event_reason - детали ошибки восстановления.

  • sensor_cfg_version - версия конфигурации модуля.

Формат данных события

Поле event_description для событий создания и восстановления приманки содержит JSON-структуру с конфигурацией приманки:

{
  "CreatedTimeUTC": "2025-10-27T10:30:15Z",
  "OsType": "windows",
  "DecoyType": "WinCred",
  "Username": "admin",
  "Password": "replaced",
  "CredName": "Domain Admin",
  "CredType": "generic",
  "Domain": "CORP"
}

Все поля содержащие пароли или секреты автоматически маскируются значением "replaced" для безопасности. Остальные поля зависят от конкретного типа приманки.