Significado de los campos con mensajes CEF

Integración a recursos de terceros > Configurar la integración a sistemas SIEM > Significado de los campos con mensajes CEF

Significado de los campos con mensajes CEF

Los mensajes CEF enviados están en idioma inglés.

En la tabla siguiente, verá los principales componentes del encabezado y el cuerpo de los mensajes CEF que envía Kaspersky Container Security.

Componentes y valores de los componentes de los mensajes CEF

Componente	Valor	Ejemplo
Encabezado estándar del mensaje CEF (encabezado syslog)	El encabezado se envía en el siguiente formato: `<fecha>` `<hora>` <`nombre del host del servidor`>.	`Feb 18 10:07:28 host`
Prefijo y versión del formato CEF	`<CEF>:<versión>`	`CEF:0`
ID del evento	Proveedor del dispositivo Producto en el dispositivo Versión en el dispositivo	`Kaspersky` `Kaspersky Container Security` `2.0`
ID único del tipo de evento (ID de firma)	Kaspersky Container Security envía estos ID para los siguientes tipos de eventos: `ADM-ХХХ`: evento de administración `CVE-XXX`: aceptación del riesgo acerca de una vulnerabilidad y caducidad de la aceptación de dicho riesgo `MLW-XXX`: aceptación del riesgo acerca de un malware o la caducidad de la aceptación de dicho riesgo `NCMP-001`: incumplimiento de los requisitos de la imagen `CMP-001`: cumplimiento de los requisitos de la imagen `SD-XXX`: aceptación del riesgo acerca de datos confidenciales y caducidad de la aceptación de dicho riesgo `MS-XXX`: aceptación del riesgo acerca de una configuración incorrecta y caducidad de la aceptación de dicho riesgo `CI-ХХХ`: evento en el proceso de CI/CD `PLC-ХХХ`: evento al aplicar una directiva de seguridad `BNCH-ХХХ`: evento al analizar el clúster y los nodos `AG-ХХХ`: evento relacionado con un agente `SJ-ХХХ`: evento de análisis `RT-ХХХ`: evento de la comprobación de una práctica recomendada `API-ХХХ`: solicitud al servidor de una API `PM-ХХХ`: evento al implementar procesos `FM-ХХХ`: evento que implica el acceso al sistema de archivos del contenedor `NT-ХХХ`: conexión de red `FPM-XXX`: evento de infracción de una directiva referente a la ejecución durante un proceso `FNT-XXX`: evento de infracción de una directiva referente a la ejecución relacionada con una conexión de red `FFM-XXX`: evento de infracción de una directiva referente a la ejecución relacionada con el acceso a objetos en el sistema de archivos de un contenedor `FFTP-XXX`: evento de infracción de una directiva referente a la ejecución relacionada con Protección frente a amenazas en archivos	Algunos de los ID de tipos de eventos que envía la solución: `ADM-001: User 1 added user 2` `CVE-001: User 1 accepted risk for image XXX` `AG-002: Agent XXX is disconnected` `BNCH-003: YYY was passed while scanning XXX` `PLC-001: YYY was applied to image XXX` `NCMP-001: Image XXX was marked as non-compliant` `SD-008: XXX risk acceptance expires`
Descripción del evento (nombre)	La descripción debe poder ser leída por un usuario y relevante según el ID del tipo de evento. Por ejemplo, "Administration" (administración) para ADM o "Process management" (gestión de procesos) para PM.	Algunos de los nombres de los eventos que envía la solución: `Process management` `File management` `Networking`
Importancia del evento (gravedad)	La gravedad de un evento se representa mediante una escala de 0-10 de la siguiente manera: 0-3: baja 4-6: media 7-8: alta 9-10: muy alta La puntuación de gravedad de un evento depende del tipo y el estado del evento (Success o Failure).	Por ejemplo, la puntuación de gravedad puede determinarse de la siguiente manera: Para los eventos PM (`Process management` [gestión de procesos]) y NT (`Networking` [redes]): Si el estado del evento es `Audited` o `Blocked`, la gravedad será de 7. Para cualquier otro estado, la gravedad será de 3. Para los eventos AG (`Agents` [agentes]): Si el evento ocurre de forma correcta, la gravedad será de 5. Si se produce un error, la gravedad será de 10. Para los eventos de API: Si el evento ocurre de forma correcta, la gravedad será de 3. Si se produce un error, la gravedad será de 8.
Información adicional del evento (extensión)	La información adicional podría incluir uno o más conjuntos de pares clave-valor.	A continuación, se detalla la información sobre los pares clave-valor que Kaspersky Container Security envía.

Información adicional sobre un evento que envía Kaspersky Container Security

Clave	Valor	Uso
`source`	Dominio (nombre del pod) del origen de eventos (nombre del origen)	En todos los eventos
`src`	Una de las siguientes direcciones IP en una red IPv4 (IP de origen): para el tráfico de red: la dirección IP del origen de la conexión para los eventos de administración: la dirección IP del iniciador de la acción	En todos los eventos
`reason`	Descripción del motivo del estado Error (motivo)	En todos los eventos que tengan el estado Error, salvo `PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`fname`	Imagen (artefacto) y nombre (nombre del artefacto)	`CI-ХХХ`, `SJ-ХХХ`, `ADM-ХХХ`, `CVE-ХХХ`, `MLW-ХХХ`, `SD-ХХХ`, `MS-ХХХ`, `CMP-001`, `PLC-ХХХ`, `NCMP-001`
`suser`	El nombre del usuario que inició la acción (nombre de usuario)	En todos los eventos, salvo `PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dpid`	ID del proceso (PID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`spid`	ID del proceso principal (PPID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`flexString1`	ID del grupo vigente (EGID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`flexString2`	ID del contenedor	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`outcome`	Modo o estado de la ejecución (estado). El valor se define de la siguiente manera: Para los eventos en el tiempo de ejecución (`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`), se especifica el modo de ejecución Audit, Enforce o Other. Para los demás eventos, se especifica el estado de ejecución Success o Error. Si el estado es Error, la solución también envía el código o texto de error (`reason`).	En todos los eventos
`request`	Nombre de la imagen (nombre de imagen)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`fileHash`	Hash de la imagen (código hash de la imagen)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`act`	Uno de los siguientes tipos de operaciones (operación): para operaciones en archivos: tipo de operación (`open`, `close`, `read`, `write`, `create`, `delete`, `chmod`, `chown`, `rename`) para el tráfico de red: dirección y tipo de tráfico (`egress`, `ingress`, `egress_response`, `ingress_response`) para procesos: valor `exec` para operaciones de Protección frente a amenazas en archivos: valor `ftp`	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`spt`	Puerto del origen de la conexión (puerto de origen)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dst`	Dirección IP del destinatario en la red IPv4 (IP del destino)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dpt`	Puerto del destino (puerto de destino)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`dproc`	Nombre del proceso (comando) (nombre de proceso)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`duid`	ID del usuario vigente (EUID)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`filePermission`	Permisos de acceso al archivo (`mode_t mode`).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`oldFilePath`	Ruta al archivo usada anteriormente (ruta anterior al archivo)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`filePath`	Ruta al archivo (ruta) En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa `filePath` para pasar información sobre la nueva ruta al archivo (nueva ruta al archivo).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`deviceDirection`	Tipo de dirección de la conexión (tipo de tráfico): 0 para conexiones de entrada y 1 para conexiones de salida	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cn1`	Nuevo identificador de proceso (PID nuevo)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs1`	Nombre de un clúster (nombre de clúster)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs2`	Nombre de un nodo (nombre de nodo)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs3`	Nombre de un espacio de nombres (nombre de espacio de nombres)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs4`	Comando ejecutado (comando) En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa `cs4` para pasar información sobre el nuevo propietario del archivo (NewOwner).	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs5`	Nombre del pod (nombre de pod)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs6`	Nombre del contenedor (nombre de contenedor)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`
`cs7`	Dirección IP del nodo (IP de nodo)	`PM-ХХХ`, `FM-ХХХ`, `NT-ХХХ`, `FPM-XXX`, `FNT-XXX`, `FFM-XXX`, `FFTP-XXX`

ID de artículo: 293652, Última revisión: 20 may 2025

Inicio de página