Описание полей событий

События Сервера управления содержат поля eventid и event_type_vendor, которые позволяют события уникально идентифицировать:

eventid

event_type_vendor

501

ServerAgentOffline

502

ServerAgentDeleted

520

ServerTaskError

500

ServerAgentRegistered

510

ServerInfo

Поля событий

ServerAgentOffline

Сообщение об уходе агента в офлайн-режим.

Описание полей сообщения:

  • event_uuid — уникальный GUID события.

    Пример значения: ad4f016f-2c11-4efb-bb08-127112dd0533.

  • event_utc_time — дата и время формирования события в формате UTC.

    Пример значения: 2005-08-09T18:31:42.

  • event_id — идентификатор события.

    Значение фиксировано: 501.

  • event_type_vendor — название события.

    Значение фиксировано: ServerAgentOffline.

  • event_type — название события для SOC. Значение равно event_type_vendor.

    Значение фиксировано: ServerAgentOffline.

В сообщении также используются:

  • Общие поля данных об агенте.

  • Общие поля данных о Сервере управления.

ServerAgentDeleted

Cообщение об удалении агента.

Описание полей сообщения:

  • event_uuid — уникальный GUID события.

    Пример значения: ad4f016f-2c11-4efb-bb08-127112dd0533.

  • event_utc_time — дата и время формирования события в формате UTC.

    Пример значения: 2005-08-09T18:31:42.

  • event_id — идентификатор события.

    Значение фиксировано: 502.

  • event_type_vendor — название события.

    Значение фиксировано: ServerAgentDeleted.

  • event_type — название события для SOC. Значение равно event_type_vendor.

    Значение фиксировано: ServerAgentDeleted.

  • op_type — тип удаления.

    Значения фиксированы:

    • logical — агент помечен удаленным (логическое удаление);

    • from_server — агент удален физически с Сервера управления;

    • from_server_and_endpoint — агент удален физически с Сервера управления и конечной точки.

В сообщении также используются:

  • Общие поля данных об агенте.

  • Общие поля данных о Сервере управления.

ServerTaskError

Cообщение о возникновении ошибки в результате выполнения задачи.

Описание полей сообщения:

  • event_uuid — уникальный GUID события.

    Пример значения: ad4f016f-2c11-4efb-bb08-127112dd0533.

  • event_utc_time — дата и время формирования события в формате UTC.

    Пример значения: 2005-08-09T18:31:42.

  • event_id — идентификатор события.

    Значение фиксировано: 520.

  • event_type_vendor — название события.

    Значение фиксировано: ServerTaskError.

  • event_type — название события для SOC. Значение равно event_type_vendor.

    Значение фиксировано: ServerTaskError.

В сообщении также используются:

  • Общие поля данных о запуске задачи.

  • Общие поля данных о задаче.

  • Общие поля данных об агенте.

  • Общие поля данных о Сервере управления.

ServerAgentRegistered

Сообщение о регистрации агента.

Описание полей сообщения:

  • event_uuid — уникальный GUID события.

    Пример значения: ad4f016f-2c11-4efb-bb08-127112dd0533.

  • event_utc_time — дата и время формирования события в формате UTC.

    Пример значения: 2005-08-09T18:31:42.

  • event_id — идентификатор события.

    Значение фиксировано: 500.

  • event_type_vendor — название события.

    Значение фиксировано: ServerAgentRegistered.

  • event_type — название события для SOC. Значение равно event_type_vendor.

    Значение фиксировано: ServerAgentRegistered.

В сообщении также используются:

  • Общие поля данных об агенте — для этого типа события следующие параметры всегда будут принимать указанные значения:

    • sensor_agent_isauthorized = false;

    • sensor_agent_sp_status = unavailable;

    • dev_isolation_status = unavailable.

  • Общие поля данных о Сервере управления.

ServerInfo

Сообщение c информацией о Сервере управления.

Описание полей сообщения:

  • event_uuid — уникальный GUID события.

    Пример значения: ad4f016f-2c11-4efb-bb08-127112dd0533.

  • event_utc_time — дата и время формирования события в формате UTC.

    Пример значения: 2005-08-09T18:31:42.

  • event_id — идентификатор события.

    Значение фиксировано: 510.

  • event_type_vendor — название события.

    Значение фиксировано: ServerInfo.

  • event_type — название события для SOC. Значение равно event_type_vendor.

    Значение фиксировано: ServerInfo.

В сообщении также используются:

  • Общие поля данных о Сервере управления.

Общие поля событий

Ниже описаны общие поля, используемые в сообщениях о событиях выше.

Поля данных об агенте

  • dev_fqdn — FQDN агента.

    Пример значения: DESKTOP-9FFOCJE.WORKGROUP.

  • dev_domain — имя домена агента.

    Пример значения: WORKGROUP.

  • dev_os — полное название операционной системы.

    Пример значения: Windows 10 Professional x86_32 #10.0.19044.

  • dev_os_type — тип операционной системы.

    Значения фиксированы: windows, linux, darwin.

  • sensor_groups — список групп, в которые входит агент.

    Пример значений: Группа 1|Группа 2 (задаются через разделитель).

  • dev_id — идентификатор агента.

    Пример значения: 0ba5a3f2-db9f-4f99-ae8e-a23c75b0cd4c.

  • dev_ipv4 — IP-адрес агента.

    Пример значения: 192.168.35.128 (не может быть пустым).

  • dev_ipv6 — IP-адрес агента.

    Пример значения: 2001:0db8:85a3:0000:0000:8a2e:0370:7334 (не может быть пустым).

  • sensor_agent_version — версия агента.

    Пример значения: 2.14.1.

  • sensor_modules — установленные на агент модули.

    Пример значения: EDR (Windows):1.2.0|FileGrabber:1.1.0 (с разделителями).

  • dev_last_seen — дата и время последнего подключения к Серверу управления в формате ISO 8061.

    Пример значения: 2005-08-09T18:31:42 (не заполняется для события ServerAgentRegistred).

  • dev_last_seen_elapsed — как давно подключался агент (Now - dev_last_seen) в секундах.

    Пример значения: 5555555 (не заполняется для события ServerAgentRegistred).

  • sensor_agent_isauthorized — статус авторизации.

    Значения фиксированы: true, false.

  • sensor_agent_sp_status — статус самозащиты.

    Значения фиксированы: active, inactivating, inactive, activating, unavailable.

  • dev_isolation_status — статус сетевой изоляции.

    Значения фиксированы: active, inactivating, inactive, activating, unavailable (до реализации управления сетевой изоляцией хоста, всегда будет в состоянии unavailable).

Поля данных о Сервере управления

  • sensor_server_id — уникальный идентификатор Сервера управления.

    Пример значения: a0eebc99-9c0b-4ef8-bb6d-6bb9bd380a11, ключ в формате uuid4. При старте Сервера управления проводится проверка на наличие ключа в базе, при отсутствии ключ генерируется. При многонодовой конфигурации используется первый сгенерированный ключ.

  • sensor_server_fqdn — имя машины, на которой развернут Сервер управления.

    Пример значения: mow01-sensors01.

  • sensor_server_license_id — номер привязанной к Серверу управления лицензии.

    Пример значения: 1121717661711195259 или unlimited (строка).

  • sensor_server_version — версия Сервера управления.

    Пример значения: v1.29.0-internal.

  • customer_id — идентификатор клиента.

    Пример значения: 90000040 (строка).

  • sensor_server_uptime — uptime Сервера управления в секундах.

    Пример значения: 123775.

Поля данных о запуске задачи

  • dev_task_start_id — идентификатор запуска.

    Пример значения: 23f18740-ac4c-4a1b-9a0a-5c0310d20d60.

  • dev_task_start_start_time — время запуска (в формате UTC).

    Пример значения: 2005-08-09T18:31:42.

  • dev_task_start_finish_time — время остановки (в формате UTC).

    Пример значения: 2005-08-09T18:35:12.

  • dev_task_start_state — состояние запуска.

    Пример значения: failed.

  • dev_task_start_error — текст ошибки.

    Пример значения: executable run failed: signal: killed (заполняется только при статусе с ошибкой).

Поля данных о задаче

  • dev_task_id — идентификатор задачи.

    Пример значения: 83877d14-404a-4b30-95d9-80125c1f8cc5.

  • dev_task_name — название задачи.

    Пример значения: Monitoring Task.

  • dev_task_executor — название модуля и инструмента (executor).

    Значения фиксированы:

    • deception.Decoys → Deception - Decoys;

    • edrcore.EdrMonitor → EDR Windows - Monitoring;

    • edrcore-macos.Diagnostics → EDR macOS -Diagnostics;

    • edrcore-macos.Monitoring → EDR macOS - Monitoring;

    • edrcore-macos.One-shot → EDR macOS - One-shot;

    • edrcore-linux.Diagnostics → EDR Linux -Diagnostics;

    • edrcore-linux.Monitoring → EDR Linux - Monitoring;

    • edrcore-linux.One-shot → EDR Linux - One-shot;

    • fg.DirTree → File Grabber - Get tree;

    • fg.DownloadFiles → File Grabber - File upload;

    • fg.FileStat → File Grabber - Get properties;

    • fg.RemoveObjects → File Grabber - Delete files/folder;

    • fg.SearchFiles → File Grabber - Files Search;

    • fg.UploadFile → File Grabber - File Upload;

    • fg.UploadFiles → File Grabber - Multiple file/folder download;

    • internal.ManageAgentAuth → Внутренние задачи -Управление авторизацией;

    • internal.ManageAgentModules → Внутренние задачи - Установка/обновление версии модуля;

    • internal.ManageAgentSP → Внутренние задачи - Управление самозащитой;

    • internal.UpdateAgent → Внутренние задачи - Обновление агента;

    • sa.ExecCommand → Command line - Command line;

    • siem-collector.Monitoring → Siem Collector - Monitoring.

  • dev_task_multijob — признак мультишаговой задачи.

    Значения фиксированы: true, false.