Описание структуры событий macos

Profiles, типы и примеры событий

Описание	Profile	Event Type	JSON файл с примером
Инвентаризация общего состояния системы	hostinfo	HostInfo	EndpointState.json
Инвентаризация процессов	processes	ProcessInfo	ProcessFound.json
Инвентаризация автозагрузки	autoruns	AsepInfo	AutorunLaunchAgentFound.json AutorunLaunchDaemonFound.json AutorunBashEntryFound.json
Инвентаризация сетевых подключений	netconn	NetworkPortOpenInfo	NetworkOpenPortFound.json
		NetworkConnectionInfo	NetworkConnectionFound.json
Инвентаризация пользовательских сессий	sessions	LogonInfo	UserLogonFound.json
Инвентаризация сетевой конфигурации системы	networks	NetworkInterfaceInfo	NetworkInterfaceFound.json
		NetworkRouteInfo	CommandOutput.json
		NetworkARPInfo	-
		NetworkHostsFileInfo	LineInFileFound.json
		LineInFileFound - /etc/resolv.conf	-
		NetworkInterfaceInfo
		NetworkInterfaceInfo
Инвентаризация домашней директории	homedirinfo	FileInfo	FileFound.json
Инвентаризация пользователей и групп	users	UserInfo	UserFound.json
		LogonOutgoingHistory	LineInFileFound.json
		GroupInfo	CommandOutput.json
		SudoersInfo	SudoersEntryFound.json
Инвентаризация контейнеров	containers	ContainerRuntimeInfo	CommandOutput.json
		ContainerInfo
		CommandOutput - Kube Pod
		CommandOutput - Docker Runtime
		CommandOutput - Docker Image
Инвентаризация истории входов	logonhist	LogonHistorySuccess	CommandOutput.json
		LogonHistoryFailure	-
Инвентаризация истории команд	cmdhist	ConsoleCommandInfo	CommandHistoryFound.json
Инвентаризация программного обеспечения	packages	AppInfo	CommandOutput.json
		FileInfo	FileFound.json
Инвентаризация каталогов файловой системы	keydirsinfo	FileInfo	FileFound.json
Инвентаризация общих каталогов (SMB, NFS)	shares	ShareInfo	CommandOutput.json
Инвентаризация открытых файлов	openfiles	FileOpenInfo	CommandOutput.json
Инвентаризация статуса встроенных механизмов безопасности macOS	security	HostSecurityInfo	-
Инвентаризация подключенных устройств	devices	CommandOutputInfo	CommandOutput.json
Инвентаризация профилей VPN	vpn	FileInfo	FileFound.json
Инвентаризация источника загрузок файлов	downloads	FileInfo	CommandOutput.json
Инвентаризация настроек	settings	CommandOutputInfo	CommandOutput.json
Инвентаризация файловой системы и опасных прав	fileperm	FileInfo	FileFound.json CommandOutput.json
Инвентаризация карантина macOS	quarantine	FileInfo	CommandOutput.json
Инвентаризация расширений браузера	browsers	AppInfo	CommandOutput.json

При сохранении результатов работы BI.ZONE Triage выводится ряд служебных полей, не описанных в модели данных: Action, EventGUID, EventID, EventRuleName, EventRulesVersion, EventTime, ServiceVersion, SystemAgentID, SystemHostname, SystemOSName, SystemOSType.

Общие наборы полей

В данном разделе содержится описание общих наборов полей, переиспользуемых в различных событиях.

EventFields

Набор полей, описывающих служебные атрибуты события: тип, ID, время и т. п.

Поле	Тип	Описание	Пример значения
rule_name	string	Агент генерирует события на базе правил, зафиксированных в используемом конфигурационном файле. В данном поле содержится наименование конкретного правила, на базе которого было сформировано итоговое событие	ProcessCreate - Process Create Info
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	40
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileDelete
event_type	string	Тип события	ProcessCreate
event_log_source	string	Имя провайдера события. Возможные значения: ShellExec, InventoryNG, Versions, EndpointSecurityMonitor, BSMMonitor.	EndpointSecurityMonitor
event_utc_time	string	Время генерации события на хосте в UTC	2024-05-31T14:14:48.032
event_uuid	string	Уникальный GUID-события	7a3df0ca-5586-4b03-8752-922f300acc62
event_part	number	Номер порядковой части многосоставного события, не уместившегося в один JSON	2
event_parts	number	Для многосоставных событий, не уместившихся в один JSON, — количество составных частей, на которое было поделено исходно событие	10
event_throttled	string	Служебное поле, указывающее на то, что в отношении потока однотипных событий был применен троттлинг	8fc74bd946792226_600_0/1
event_shrink_fields	string	Служебное поле, указывающее на то, что в отношении значения опредленного поля выполнено урезание его по длине (В значении поля указывается имя поля/максимальная длина значения поля/исходная длина поля)	cmdline_4000/5441
event_description	string	Описание сгенерированного события	The provider checks running processes for static compilation

DeviceFields

Набор полей, описывающих хост, с которого было получено событие.

Поле	Тип	Описание	Пример значения
dev_fqdn	string	Имя хоста	NB1234
dev_ipv4	string	IP-адрес хоста, с которым агент пришел на сервер управления. Заполняется только для хостов, на которых используется агент с централизованным управлением. В случае standalone-версии не заполняется	10.3.132.113
dev_id	string	Уникальный идентификатор хоста, генерируемый агентом. Заполняется только для хостов, на которых используется агент с централизованным управлением. В случае standalone-версии не заполняется	0ba5a3f2-db9f-4f99-ae8e-a23c75b0cd4c
dev_domain	string	Имя присоединенного Active Directory домена хоста. Заполняется только для хостов, присоединенных к домену	thdomain.loc
dev_os	string	Операционная система узла в формате <os> <version> <architecture> <build number> Примеры значений: Ubuntu 18.04 x86_32 #2.6.32-41-generic Ubuntu 19.04 arm_64 #2.4.12 macOS 10.15.7 x86_64 #16.7.0 Windows 10 Professional x86_64 #10.0.19042 Windows Server 2016 Enterprise x86_64 #10.0.18071 (Domain Controller)	macOS 12.7 arm64 #21.6.0
dev_os_arch	string	Архитектура операционной системы устройства	arm64
dev_os_codename	string	Кодовое название версии операционной системы устройства	Monterey
dev_os_kernel_build	string	Версия сборки ядра	macOS 12.7 arm64 #21.6.0
dev_os_kernel_version	string	Версия ядра	21.6.0
dev_os_type	string	Тип операционной системы узла. Возможные значения: Windows Linux Darwin	darwin
dev_uptime	number	Время непрерывной работы хоста — количество секунд с момента старта операционной системы до момента формирования события	8408251
dev_boot_time	string	Время загрузки хоста в формате ISO 8601	2024-02-27T12:23:56.738
dev_install_time	string	Время установки операционной системы в формате ISO 8601	2023-09-16T02:47:56.000
dev_install_age	number	Количество секунд с момента установки операционной системы до момента формирования события	25786175
dev_serial	string	Серийный номер устройства	RKVW6W7W40

SensorFields

Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию.

Поле	Тип	Описание	Пример значения
customer_id	string	Уникальный идентификатор лицензии. Единый для всех агентов, подключенных к одному серверу управления и использующих одну лицензию	00000001
sensor_groups	string	Список групп, в которые входит агент на сервере управления (и для которых включено отображение в событиях), разделенных символом «|». Заполняется только для агентов, управляемых сервером. Не заполняется для standalone-версии	AgentGroup1|AgentGroup2|AgentGroup3
sensor_version	string	Версия модуля EDR	1.2.0
sensor_install_time	string	Время установки текущей версии агента в формате ISO 8601	2024-02-19T06:18:11.346
sensor_install_age	number	Количество секунд с момента установки текущей версии агента до момента формирования события	619590
sensor_cfg_version	string	Версия конфигурационного файла агента, использованного для сбора событий	202212271539
sensor_cfg_profile	string	Наименования профиля сбора событий, использованного агентом	default
sensor_cfg_profile_id	string	Идентификатор профиля сбора событий, использованного агентом	1

InventoryFields

Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных.

Поле	Тип	Описание	Пример значения
inventory_task_name	string	Имя группы сбора данных инвентаризация, указанное в конфигурации агента (provider: inventoryNG: eventGroups)	UserLogonFound - User Logon Inventory
inventory_session_id	number	Поле, однозначно идентифицирующее сессию сбора данных инвентаризации, в рамках которой было получено данное событие. Все события, полученные в рамках одной сессии сбора, будут иметь одинаковое значение inventory_session_id	17174448880000005
inventory_op_type	string	Состояние записи inventory (причина формирования события инвентаризации). Возможные значения: Snapshot — первичное обнаружение объекта. Added — обнаружен новый элемент в процессе повторной инвентаризации, отсутствовавший в предыдущем снапшоте (например, обнаружена новая учетная запись пользователя). Deleted — обнаружен удаленный элемент в процессе повторной инвентаризации, присутствовавший в предыдущем снапшоте, но отсутствующий в текущем (например, удалена учетная запись пользователя). Modified — обнаружен измененный элемент в процессе повторной инвентаризации (например, изменена домашняя директория учетной записи пользователя)	Snapshot
inventory_task_age	number	Потенциальный возраст группы инвентаризации, полученный путем вычисления количества секунд с начала времени сбора данной группы инвентаризации	120

ProcessFields

Базовый набор атрибутов процесса, выполнившего действие, для которого было сформировано событие, либо ассоциированного с объектом, для которого сформировано событие инвентаризации. Набор присутствует во всех событиях, описывающих объект или действие, которые привязаны к какому-либо процессу в системе.

Поле	Тип	Описание	Пример значения
proc_cmdline	string	Командная строка, использовавшаяся для запуска процесса	/usr/bin/fdesetup status
proc_guid	string	Уникальный идентификатор процесса, сгенерированный агентом и полученный из его PID, времени старта и идентификатора хоста	0c1335d8-683f-5b7c-a41b-265ec1fab5bc
proc_id	number	Идентификатор процесса (PID)	48335
proc_start_time	string	Время старта процесса в формате ISO 8601	2024-05-31T14:14:48.036
proc_uptime	number	Число секунд, прошедших с момента старта процесса	1760778
proc_cwd	string	Текущая директория на момент запуска процесса	/
proc_env	string	Список известных на момент старта процесса переменных среды в формате k=v, разделенных символом «|». Поле должно содержать значения только тех переменных, которые указаны во внутреннем конфигурационном файле EDR	SHELL=/bin/zsh
proc_file_name	string	Имя исполняемого файла процесса	logger
proc_file_path	string	Путь к исполняемому файлу процесса	/usr/bin/logger
proc_file_exists	bool	Признак наличия файла процесса на файловой системе — true/false	true
proc_file_size	number	Размер исполняемого файла процесса в байтах	167488
proc_file_md5	string	MD5-хеш от содержимого	560805BF433D19B26DF1DAC613F91FB0
proc_file_sha1	string	SHA1-хеш от содержимого	3E592FDE7C42570703B6EA7131A5C53FC9914EBB
proc_file_sha256	string	SHA256-хеш от содержимого	FBB697B0937A11AD6B44771D63B8DB9ABC1BEC8DEF213587B1DB70FF233E3E2D
proc_file_type	string	Тип объекта файловой системы, расположенного по пути исполняемого файла процесса. Возможные значения: File, Directory, Link, Socket, Pipe, Block Device, Character Device	File
proc_file_tgt_name	string	Имя файла, на который указывает символическая ссылка из proc_file_path.	bash
proc_file_tgt_path	string	Путь, на который указывает символическая ссылка из proc_file_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (proc_file_type = Link)	/usr/bin/vim
proc_file_tgt_exists	bool	Признак наличия файла процесса в файловой системе — true/false	true
proc_file_tgt_ace_mask	string	Маска атрибутов файлового объекта, на который указывает символическая ссылка из proc_file_path, в формате unix extended file mode. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (proc_file_type = Link)	0100755
proc_file_tgt_size	number	Размер файлового объекта, на который указывает символическая ссылка из proc_file_path в байтах. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (proc_file_type = Link)	167216
proc_file_ace_mask	string	Маска атрибутов исполняемого файла процесса в формате unix extended file mode (например, 0100664)	0100755
proc_file_owner_id	number	Идентификатор пользователя — владельца исполняемого файла процесса	0
proc_file_owner_name	string	Имя пользователя — владельца исполняемого файла процесса	root
proc_file_group_id	number	Идентификатор группы — владельца исполняемого файла процесса	0
proc_file_group_name	string	Имя группы — владельца исполняемого файла процесса	wheel
proc_file_inode	number	Inode исполняемого файла процесса, однозначно идентифицирующий объект файловой системы	1152921500312782116
proc_file_nlink	number	Количество жестких ссылок (hard links) на исполняемый файл процесса (количество других объектов в системе с тем же значением inode)	1
proc_file_atime	string	Время последнего доступа к исполняемому файлу процесса в формате ISO 8601	2023-09-16T02:47:56.000
proc_file_crtime	string	Время создания исполняемого файла процесса в формате ISO 8601	2023-09-16T02:47:56.000
proc_file_mtime	string	Время последнего изменения исполняемого файла процесса в формате ISO 8601	2023-09-16T02:47:56.000
proc_file_mage	number	Число секунд, прошедших с момента последнего изменения исполняемого файла процесса	22332415
proc_file_age	number	Число секунд, прошедших с момента последнего создания исполняемого файла процесса	22332415
proc_file_signed	bool	Признак того что у исполняемого файла процесса существует подпись — true/false	true
proc_file_sig	string	Common name первого сертификата в цепочке	Software Signing
proc_file_sig_ca	string	Имя удостоверяющего корневой сертификат центра. Возможные значения: None, Trusted CA, Developer ID, Notarized Developer ID, Mac AppStore, Apple Generic, Apple System.	Apple System
proc_file_sig_ident	string	Идентификатор подписи	com.apple.ls
proc_file_sig_teamid	string	Идентификатор компании-разработчика ПО	EQHXZ8M8AV
proc_file_sig_cdhash	string	Cdhash — хэш бинарного кода приложения, однозначно идентифицирующий подписываемый код	C283D6621C4D23A07AD0FE294AEA917EBB2A70BB
proc_file_sig_status	string	Результат проверки подписи. Возможные значения: Unsigned, Good, Bad, Expired, Untrusted, Error	Good
proc_file_sig_result	bool	Признак успешной валидации подписи у исполняемого файла процесса. Устанавливается значение true только в случае, когда у бинарного файла существует цифровая подпись (proc_file_signed == true) и когда подпись актуальна и успешна провалидирована (proc_file_sig_status == "Good") — true/false	true
proc_file_builtin	bool	Флаг принадлежности файла образа процесса к набору стандартных утилит ОС. В событиях ProcessFound значение поля присваивается в случаях, если файл образа процесса подписан валидной подписью компании Apple (в случае, если проверка подписей отключена в конфигурационном файле, поле в событиях ProcessFound будет отсутствовать). Значение поля в остальных событиях получается из первичных событий ОС вне зависимости от состояния опции проверки подписей процессов	true
proc_usr_e_id	number	Идентификатор эффективного пользователя процесса — пользователь, под правами которого процесс работает в данный момент	0
proc_usr_e_name	string	Имя эффективного пользователя процесса — пользователь, под правами которого процесс работает в данный момент	root
proc_usr_r_id	number	Идентификатор реального пользователя процесса — пользователь, из-под которого был выполнен запуск процесса	0
proc_usr_r_name	string	Имя реального пользователя процесса — пользователь, из-под которого был выполнен запуск процесса	root
proc_group_e_id	number	Идентификатор эффективной группы процесса — группа, с правами которой процесс работает в данный момент	0
proc_group_e_name	string	Имя эффективной группы процесса — группа, с правами которой процесс работает в данный момент	wheel
proc_group_r_id	number	Идентификатор реальной группы процесса — группа, из-под которой был выполнен запуск процесса	0
proc_group_r_name	string	Имя реальной группы процесса — группа, из-под которой был выполнен запуск процесса	wheel
proc_usr_audit_id	number	Идентификатор пользователя, создавшего пользовательскую сессию, в рамках которой был запущен процесс. Данный пользователь наследуется всеми процессами, запущенными в сессии, включая имперсонированные, и не меняется на всем протяжении существования пользовательской сессии	0
proc_usr_audit_name	string	Имя пользователя, создавшего пользовательскую сессию, в рамках которой был запущен процесс. Данный пользователь наследуется всеми процессами, запущенными в сессии, включая имперсонированные, и не меняется на всем протяжении существования пользовательской сессии	root
proc_term_name	string	Имя TTY-устройства, к которому привязан запущенный процесс	ttys001
proc_term_src_ipv4	string	IPv4-адрес клиента в случае, если TTY привязан к удаленному подключению	172.21.194.248
proc_term_src_ipv6	string	IPv6-адрес клиента в случае, если TTY привязан к удаленному подключению	fe80::6860:da10:6db5:c80a
proc_term_session_id	number	Идентификатор логон-сессии (не путать с сессией процесса)	100014
proc_issnapshot	bool	Признак, указывающий на то, что запуск процесса произошел до старта агента	true/false
proc_chroot_status	string	Признак запуска процесса в chroot jail. Возможные значения: Yes, No, Unknown	No

ParentProcessFields

Базовый набор атрибутов родительского процесса. Набор присутствует во всех событиях, описывающих объект или действие, привязанные к какому-либо процессу в системе.

Поле	Тип	Описание	Пример значения
proc_p_cmdline	string	Командная строка, использовавшаяся для запуска процесса	/sbin/launchd
proc_p_guid	string	Уникальный идентификатор процесса, сгенерированный агентом и полученный из его PID, времени старта и идентификатора хоста	bf6a3cbc-1608-537d-8a43-9d7fd6c28c1a
proc_p_id	number	Идентификатор процесса (PID)	1
proc_p_start_time	string	Время старта процесса в формате ISO 8601	2023-07-10T06:14:18.230
proc_p_uptime	number	Число секунд, прошедших с момента старта процесса	8408258
proc_p_chroot_status	string	Признак запуска процесса в chroot jail. Возможные значения: Yes, No, Unknown	No
proc_p_cwd	string	Текущая директория на момент запуска процесса	/
proc_p_file_path	string	Путь к исполняемому файлу процесса	/sbin/launchd
proc_p_file_name	string	Имя родительского процесса	launchd
proc_p_file_exists	bool	Признак наличия файла процесса в файловой системе — true/false	true
proc_p_file_crtime	string	Время создания исполняемого файла родительского процесса в формате ISO 8601	2023-10-02T12:39:50.500
proc_p_file_atime	string	Время последнего доступа к исполняемому файлу родительского процесса в формате ISO 8601	2023-10-02T22:03:39.987
proc_p_file_mtime	string	Время последнего изменения исполняемого файла родительского процесса в формате ISO 8601	2023-10-02T12:39:50.500
proc_p_file_age	number	Число секунд, прошедших с момента последнего создания исполняемого файла родительского процесса	9100
proc_p_file_mage	number	Число секунд, прошедших с момента последнего изменения исполняемого файла родительского процесса	1200
proc_p_file_size	number	Размер исполняемого файла процесса в байтах	28216
proc_p_file_md5	string	MD5-хеш от содержимого	3F48A33CC1FCE59FF2DF86429151C0E0
proc_p_file_sha1	string	SHA1-хеш от содержимого	3E592FDE7C42570703B6EA7131A5C53FC9914EBB
proc_p_file_sha256	string	SHA256-хеш от содержимого	45B6CCF8EB99B880DE0B6143C1865A903A4659CFB96CA9D66CAEB7D6E9CCFC2D
proc_p_file_ace_mask	string	Маска атрибутов исполняемого файла процесса в формате unix extended file mode (например, 0100664)	100755
proc_p_file_owner_id	number	Идентификатор пользователя — владельца файла процесса	1009
proc_p_file_owner_name	string	Имя пользователя — владельца файла процесса	root
proc_p_file_group_id	number	Идентификатор группы — владельца исполняемого файла процесса	0
proc_p_file_group_name	string	Имя группы — владельца исполняемого файла процесса	admin
proc_p_file_inode	number	Inode исполняемого файла процесса, однозначно идентифицирующий объект файловой системы	664993
proc_p_file_nlink	number	Количество жестких ссылок (hard links) на данный файл (количество других объектов в системе с тем же значением inode)	1
proc_p_file_tgt_path	string	Путь, на который указывает символическая ссылка из proc_p_file_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (proc_p_file_type = Link)	/etc/some/file
proc_p_file_tgt_name	string	Имя файла на который указывает символическая ссылка из proc_p_file_path.	file
proc_p_file_tgt_exists	bool	Признак наличия в системе файла, на который указывает символическая ссылка из proc_p_file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_p_type = Link)	true
proc_p_file_tgt_ace_mask	string	Маска атрибутов файлового объекта, на который указывает символическая ссылка из proc_p_file_path, в формате unix extended file mode. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (proc_p_file_type = Link)	0100755
proc_p_file_tgt_size	string	Размер исполняемого файла процесса в байтах	28216
proc_p_usr_e_id	number	Идентификатор эффективного пользователя процесса — пользователь, под правами которого процесс работает в данный момент	0
proc_p_usr_e_name	string	Имя эффективного пользователя процесса — пользователь, под правами которого процесс работает в данный момент	root
proc_p_usr_r_id	number	Идентификатор реального пользователя процесса — пользователь, из-под которого был выполнен запуск процесса	0
proc_p_usr_r_name	string	Имя реального пользователя процесса — пользователь, из-под которого был выполнен запуск процесса	root
proc_p_group_e_id	number	Идентификатор эффективной группы процесса — группа, с правами которой процесс работает в данный момент	0
proc_p_group_e_name	string	Имя эффективной группы процесса — группа, с правами которой процесс работает в данный момент	wheel
proc_p_group_r_id	number	Идентификатор реальной группы процесса — группа, из-под которой был выполнен запуск процесса	0
proc_p_group_r_name	string	Имя реальной группы процесса — группа, из-под которой был выполнен запуск процесса	wheel
proc_p_usr_audit_id	number	Идентификатор пользователя, создавшего пользовательскую сессию, в рамках которой был запущен процесс. Данный пользователь наследуется всеми процессами, запущенными в сессии, включая имперсонированные, и не меняется на всем протяжении существования пользовательской сессии	0
proc_p_usr_audit_name	string	Имя пользователя, создавшего пользовательскую сессию, в рамках которой был запущен процесс. Данный пользователь наследуется всеми процессами, запущенными в сессии, включая имперсонированные, и не меняется на всем протяжении существования пользовательской сессии	root
proc_p_term_name	string	Имя TTY-устройства, к которому привязан запущенный процесс	/dev/ttys001
proc_p_term_src_ipv4	string	IPv4-адрес клиента в случае, если TTY привязан к удаленному подключению	172.21.194.248
proc_p_term_src_ipv6	string	IPv6-адрес клиента в случае, если TTY привязан к удаленному подключению	fe80::6860:da10:6db5:c80a
proc_p_term_session_id	number	Идентификатор логон-сессии (не путать с сессией процесса)	130404
proc_p_file_builtin	bool	Флаг принадлежности файла образа процесса к набору стандартных утилит ОС.	true
proc_p_file_signed	bool	Признак того что у исполняемого файла родительского процесса существует подпись — true/false	true
proc_p_file_sig	string	Common name первого сертификата в цепочке	Software Signing
proc_p_file_sig_ca	string	Имя удостоверяющего корневой сертификат центра. Возможные значения: None, Trusted CA, Developer ID, Notarized Developer ID, Mac AppStore, Apple Generic, Apple System.	Apple System
proc_p_file_sig_ident	string	Идентификатор подписи	com.apple.xpc.launchd
proc_p_file_sig_teamid	string	Идентификатор компании-разработчика ПО	EQHXZ8M8AV
proc_p_file_sig_cdhash	string	Cdhash — хэш бинарного кода приложения, однозначно идентифицирующий подписываемый код	8E299DE5EC92BE28CAB4EF37BF2CC5AF53BB8B9C
proc_p_file_sig_status		Результат проверки подписи. Возможные значения: Unsigned, Good, Bad, Expired, Untrusted, Error	Good
proc_p_file_sig_result	bool	Признак успешной валидации подписи у исполняемого файла родительского процесса. Устанавливается значение true только в случае, когда у бинарного файла существует цифровая подпись (proc_p_file_signed == true) и когда подпись актуальна и успешна провалидирована (proc_p_file_sig_status == "Good") — true/false	true

ContainerFields

Базовый набор атрибутов контейнера, внутри которого произошло событие или с которым ассоциирован процесс — инициатор действия. В настоящий момент данный набор полей заполняется только для Docker-контейнеров, другие системы контейнеризации пока не поддерживаются для обогащения.

Базовый набор добавляется в каждое событие, для которого удалось идентифицировать контейнер.

Поле	Тип	Описание	Пример значения
container_id	string	ID контейнера, в котором произошло событие	ce3a77ebb7b427bc4b060d647dcfb171e8704d0b4eab000c1698a6ea204ca5b6
container_runtime	string	Название системы контейнеризации. Возможные значения: docker	docker
container_name	string	Имя контейнера	my_test_service_v1
container_img_name	string	Имя образа, использованного для создания контейнера	myservice:latest
container_img_id	string	Уникальный идентификатор образа, использованного для создания контейнера	sha256:4491a8c107be1fe432201ec82d43a02f9732777e8f64cf712c45f1b08319dcf6
container_start_time	string	Время старта контейнера в формате ISO 8601 UTC	Jun 25, 2024 @ 09:46:39.530
container_attrib	string	Список атрибутов контейнера, разделенных символом «|». Возможные значения атрибутов: Privileged — признак запуска контейнера в привилегированном режиме. OOMKillDisable — признак отключения OOM Killer (контейнер не будет убит при недостатке памяти в основной ОС). ReadonlyRootFS — признак того, что корневая система контейнера смонтирована в режиме read-only. PublishAllPorts — признак того, что при запуске были опубликованы (published) все объявленные (exposed) контейнером порты (https://docs.docker.com/engine/reference/builder/#expose). TTYConnected — признак того, что контейнер запущен с подключением к TTY	Privileged|ReadonlyRootFS
container_labels	string	Список пар key=value, разделенных символом «|», содержащий метки, присвоенные контейнеру системой контейнеризации	com.docker.compose.container-number=1|com.docker.compose.version=1.28.5

ContainerExtendedFields

Расширенный набор атрибутов контейнера, внутри которого произошло событие или с которым ассоциирован процесс — инициатор действия, расширяющий базовый набор атрибутов (ContainerFields). В настоящий момент данный набор полей заполняется только для Docker-контейнеров, другие системы контейнеризации пока не поддерживаются для обогащения.

Поле	Тип	Описание	Пример значения
container_crtime	string	Время создания контейнера в формате ISO 8601. Может отличаться от container_start_time	2024-04-14T09:34:56.939
container_cmdline	string	Полная командная строка, использованная для старта контейнера. Ref: https://docs.docker.com/engine/reference/builder/#understand-how-cmd-and-entrypoint-interact	tail -f /dev/null
container_env	string	Список переменных среды, заданных на старте контейнера, в формате key=value, разделенных символом «|»	DEMO_ENV=\"some value\"|HTTP_PROXY=\"http://10.3.105.7:3128\"|HTTPS_PROXY=\"http://10.3.105.7:3128\"|NO_PROXY\"localhost,127.0.0.1,::1\"|PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
container_user	string	Имя пользователя, из-под которого производится запуск процессов в контейнере. Ref: https://docs.docker.com/engine/reference/builder/#user	root
container_domain	string	Домен ОС внутри контейнера	mydomain.local
container_hostname	string	Имя хоста внутри контейнера	myhost
container_cap	string	Список kernel capabilities, присваиваемых контейнеру при старте, разделенных символом «|».	NET_ADMIN|NET_RAW
container_secopts	string	Список меток для MLS-систем, присваиваемых запускаемому контейнеру, разделенных символом «|»	label:admin:USER|label:domainadmin:ADMIN|label=disable
container_ipaddr	string	Список IP-адресов контейнера, разделенных символом «|». Не заполняется для остановленных контейнеров, которым был присвоен динамический IP	192.168.42.37|192.168.13.37
container_ports	string	Список публикуемых контейнером портов в формате docker ps (hostIP:hostPort->containerPort/Protocol), разделенных символом «|»	0.0.0.0:2222->3333/tcp|0.0.0.0:5555->6666/udp
container_mounts	string	Список внешних директорий, доступных контейнеру в формате source:destination:mode, разделенных символом «|»	/Users/test_user/Downloads/edr-demo/docker:/host:ro|/var/lib/docker/volumes/docker_named_volume/_data:/volume:rw|/tmp/tst:/tmp/tst:rw

FileBasicFields

Базовый набор атрибутов файлового объекта. Описывает объект файловой системы, ассоциированный с событием.

Поле	Тип	Описание	Пример значения
file_path	string	Абсолютный путь к файловому объекту	/Library/LaunchDaemons/us.zoom.ZoomDaemon.plist
file_owner_id	number	Идентификатор пользователя —владельца файлового объекта	0
file_owner_name	string	Имя пользователя — владельца файлового объекта	root
file_group_id	number	Идентификатор группы файлового объекта	0
file_group_name	string	Имя группы файлового объекта	wheel
file_ace_mask	string	Маска атрибутов файлового объекта в формате unix extended file mode	0100440
file_tgt_path	string	Путь, на который указывает символическая ссылка. Заполняется только в случае, если файловый объект является символической ссылкой	/usr/sbin/sendmail
file_tgt_ace_mask	string	Маска атрибутов файлового объекта, на который указывает символическая ссылка, в формате unix extended file mode. Заполняется только в случае, если файловый объект является символической ссылкой	0100755
file_tgt_size	number	Размер файлового объекта, на который указывает символическая ссылка в байтах	584896

FileFields

Набор атрибутов файлового объекта. Описывает объект файловой системы, ассоциированный с событием.

Поле	Тип	Описание	Пример значения
file_path	string	Абсолютный путь к файловому объекту	/usr/bin/mdfind
file_name	string	Имя файлового объекта	mdfind
file_md5	string	MD5-хеш от содержимого файлового объекта	073B5BCEF94ABF718574A8EDC30C137B
file_sha1	string	SHA1-хеш от содержимого файлового объекта	3E592FDE7C42570703B6EA7131A5C53FC9914EBB
file_sha256	string	SHA256-хеш от содержимого файлового объекта	FBB697B0937A11AD6B44771D63B8DB9ABC1BEC8DEF213587B1DB70FF233E3E2D
file_magic	string	Часть содержимого файлового объекта в формате hex string. Размер вычитываемого содержимого конфигурируется параметром magicSize в конфигурационном файле EDR. Заполняется только в случае, если это применимо к данному типу объекта	CAFEBABE000000020100
file_content	string	Часть содержимого файлового объекта в формате ASCII-escaped string. Размер вычитываемого содержимого конфигурируется параметром contentSize в конфигурационном файле EDR. Заполняется только в случае, если это применимо к данному типу объекта	\xca\xfe\xba\xbe\x00\x00\x00\x02\x01\x00\x00\a\x00\x00\x00\x03\x00\x00@\x00
file_size	number	Размер файла	187152
file_type	string	Тип файлового объекта. Возможные значения: File, Directory, Link, Socket, Pipe, Block Device, Character Device	Link
file_owner_id	number	Идентификатор пользователя —владельца файлового объекта	0
file_owner_name	string	Имя пользователя —владельца файлового объекта	root
file_group_id	number	Идентификатор группы файлового объекта	0
file_group_name	string	Имя группы файлового объекта	wheel
file_ace_mask	string	Маска атрибутов файлового объекта в формате unix extended file mode (например, 0100664)	0100755
file_atime	string	Время последнего доступа к файловому объекту в формате ISO 8601	2023-09-16T02:47:56.000
file_mtime	string	Время последнего изменения файлового объекта в формате ISO 8601	2023-09-16T02:47:56.000
file_crtime	string	Время создания файлового объекта в формате ISO 8601	2023-09-16T02:47:56.000
file_age	number	Возраст файлового объекта — количество секунд с момента создания файлового объекта до формирования события	22943994
file_mage	number	Количество секунд с момента последнего изменения файлового объекта до формирования события	22943994
file_inode	number	Номер inode, однозначно идентифицирующий данный объект файловой системы	1152921500312782281
file_nlink	number	Количество жестких ссылок (hard links) на данный файл (количество других объектов в системе с тем же значением inode)	1
file_tgt_name	string	Имя файла на который указывает символическая ссылка	sendmail
file_tgt_path	string	Путь, на который указывает символическая ссылка. Заполняется только в случае, если файловый объект является символической ссылкой	/usr/sbin/sendmail
file_tgt_ace_mask	string	Маска атрибутов файлового объекта, на который указывает символическая ссылка, в формате unix extended file mode. Заполняется только в случае, если файловый объект является символической ссылкой	0100755
file_tgt_exists	bool	Признак наличия в системе файла, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	true
file_tgt_crtime	string	Время создания файлового объекта в формате ISO 8601, на который указывает символическая ссылка из file_tgt_path Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	2023-09-16T02:47:56.000
file_tgt_atime	string	Время последнего доступа к файловому объекту в формате ISO 8601, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	2023-09-16T02:47:56.000
file_tgt_mtime	string	Время последнего изменения файлового объекта в формате ISO 8601, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	2023-09-16T02:47:56.000
file_tgt_age	number	Возраст файлового объекта, на который указывает символическая ссылка из file_tgt_path — количество секунд с момента создания файлового объекта до формирования события. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	22943994
file_tgt_mage	number	Количество секунд с момента последнего изменения файлового объекта, на который указывает символическая ссылка из file_tgt_path, до формирования события. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	22943994
file_tgt_nlink	number	Количество жестких ссылок (hard links) на данный файл, на который указывает символическая ссылка из file_tgt_path (количество других объектов в системе с тем же значением inode). Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой символической ссылкой (file_type = Link)	1
file_tgt_inode	number	Номер inode, однозначно идентифицирующий данный объект файловой системы, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	1152921500312790066
file_tgt_type	string	Тип файлового объекта. Возможные значения: File, Directory, Link, Socket, Pipe, Block Device, Character Device. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	File
file_tgt_owner_id	number	Идентификатор пользователя — владельца файлового объекта, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	0
file_tgt_owner_name	string	Имя пользователя —владельца файлового объекта, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	root
file_tgt_group_id	number	Идентификатор группы файлового объекта, на который указывает ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	0
file_tgt_group_name	string	Имя группы файлового объекта, на который указывает символическая ссылка из file_tgt_path. Заполняется только в случае, если путь к исполняемому файлу процесса является символической ссылкой (file_type = Link)	wheel
file_tgt_size	number	Размер файлового объекта, на который указывает символическая ссылка в байтах	584896
file_app_md5	string	MD5-хеш файла, хранящийся в БД менеджера пакетов, если доступен	560805BF433D19B26DF1DAC613F91FB0
file_app_sha1	string	SHA1-хеш файла, хранящийся в БД менеджера пакетов, если доступен	3E592FDE7C42570703B6EA7131A5C53FC9914EBB
file_app_sha256	string	SHA256-хеш файла, хранящийся в БД менеджера пакетов, если доступен	FBB697B0937A11AD6B44771D63B8DB9ABC1BEC8DEF213587B1DB70FF233E3E2D
file_signed	bool	Признак наличия подписи у инвентаризируемого файла — true/false	true
file_sig	string	Наименование производителя\поставщика, указанного в подписи инвентаризируемого файла	Developer ID Application: Wandering WiFi LLC (S2ZMFGQM93)
file_sig_ca	string	Имя удостоверяющего корневой сертификат центра. Возможные значения: None, Trusted CA, Developer ID, Notarized Developer ID, Mac AppStore, Apple Generic, Apple System.	Apple System
file_sig_ident	string	Идентификатор подписи	com.apple.sendmail
file_sig_teamid	string	Идентификатор компании-разработчика ПО	EQHXZ8M8AV
file_sig_cdhash	string	Cdhash — хэш бинарного кода приложения, однозначно идентифицирующий подписываемый код	C283D6621C4D23A07AD0FE294AEA917EBB2A70BB
file_sig_status	string	Результат проверки подписи. Возможные значения: Unsigned, Good, Bad, Expired, Untrusted, Error	Good
file_sig_result	bool	Признак успешной валидации подписи у файлового объекта. Устанавливается значение true только в случае, когда у файлового объекта существует цифровая подпись (file_signed == true) и когда подпись актуальна и успешна провалидирована (file_sig_status == "Good") — true/false	true

DirectoryFields

Данный набор полей описывает директорию, в которой располагается файловый объект, ассоциированный с событием. Набор добавляется в некоторые события в случае, если файловый объект, ассоциированный с событием, отсутствует в системе. В этом случае наличие в событии атрибутов директории позволяет выявлять потенциальные векторы повышения привилегий. Например, в cron пользователя root прописан запуск некоторого файла, который уже отсутствует в системе, однако каталог, в котором он должен был располагаться, присутствует и при этом доступен на запись непривилегированным пользователям. В этом случае непривилегированный пользователь может создать в каталоге исполняемый файл под именем, которое прописано в cron пользователя root, что дает возможность непривилегированному пользователю выполнять произвольный код с правами root.

Поле	Тип	Описание	Пример значения
file_dir	string	Абсолютный путь к директории	/etc/folder
file_dir_owner_id	number	Идентификатор пользователя — владельца директории	1009
file_dir_owner_name	string	Имя пользователя — владельца директории	testuser
file_dir_group_id	number	Идентификатор группы директории	1010
file_dir_group_name	string	Имя группы директории	testuser
file_dir_ace_mask	string	Маска атрибутов директории в формате unix extended file mode	0100600

NetworkConnectionFields

Набор полей, описывающих сетевое подключение, ассоциированное с событием.

Поле	Тип	Описание	Пример значения
net_is_ipv6	bool	Признак того, что подключение производится с использованием IPv6	false
net_proto	string	Сетевой протокол, соответствующий сетевому подключению. Возможные значения: TCP, UDP, ICMP, ICMPv6.	TCP
net_conn_direction	string	Направление сетевого подключения. Возможные значения: Inbound, Outbound. В событии NetworkConnectionInfo принимает значение Inbound, если и только если в системе присутствует открытый порт (в терминах, аналогичных событию NetworkPortOpenInfo), с которым совпадает одна из сторон подключения (данная сторона будет считаться destination-адресом). Во всех остальных случаях в событии NetworkConnectionInfo поле принимает значение Outbound	Outbound
net_src_ipv4	string	IPv4 источника сетевого подключения	10.3.132.73
net_src_ipv6	string	IPv6 источника сетевого подключения	fe80::ecee:eeff:feee:eeee
net_src_hostname	string	Hostname источника сетевого подключения. Получается при помощи обратного разрешения net_src_ipv4 или net_src_ipv6	localhost
net_src_port	number	Порт источника сетевого подключения. В событиях мониторинга заполняется только для TCP- и UDP-подключений в случае, если агрегация соединений отключена	22
net_dst_ipv4	string	IPv4 назначения сетевого подключения	10.3.132.73
net_dst_ipv6	string	IPv6 назначения сетевого подключения	fe80::ecee:eeff:feee:eeee
net_dst_hostname	string	Hostname назначения сетевого подключения. Получается при помощи обратного разрешения net_dst_ipv4 или net_dst_ipv6	cdn-185-199-108-154.github.com
net_dst_port	number	Порт назначения сетевого подключения. Заполняется только для TCP- и UDP-подключений	443
net_icmp_type	number	Тип первого пакета в ICMP-подключении (ICMP.Type << 8 | ICMP.Code). Заполняется только для ICMP подключений	2048
net_conn_community_id	string	Значение Community ID для описываемого подключения в виде hex-строки в верхнем регистре	FD7420C4B01A5C395584455B7C78B6C7669F809C

UserFields

Набор полей, описывающих учетную запись пользователя. Не все атрибуты пользователя могут быть доступны на момент формирования события. В таком случае соответствующие поля могут быть не заполнены.

Поле	Тип	Описание	Пример значения
usr_tgt_name	string	Имя пользователя	testuser
usr_tgt_id	number	Идентификатор пользователя	501
usr_tgt_group_id	number	Идентификатор основной группы пользователя	20
usr_tgt_group_name	string	Имя основной группы пользователя	staff
usr_tgt_groups	string	Список всех групп, в которых состоит пользователь в формате id(name)(,id2(name2))*.	501(testuser),1004(admin),20(staff)
usr_tgt_description	string	Дополнительная информация о пользователе (GECOS)	Apple Events User
usr_tgt_shell	string	Командная оболочка по умолчанию для данного пользователя	/bin/zsh
usr_tgt_home_dir	string	Домашняя директория пользователя	/var/db/timed
usr_tgt_home_dir_exists	bool	Существует ли в файловой системе домашняя директория пользователя, указанная в usr_tgt_home_dir (true/false)	true
usr_tgt_crtime	string	Время создания пользователя (время создание домашней директории) в формате ISO 8601
usr_tgt_mtime	string	Время изменения пользователя (время изменения домашней директории) в формате ISO 8601
usr_tgt_age	number	Число секунд, прошедших с момента потенциального создания учетной записи (определяется по наиболее старому значению usr_tgt_crtime или usr_tgt_pwd_age)	23433316
usr_tgt_mage	number	Число секунд, прошедших с момента потенциального изменения учетной записи (определяется по наиболее старому значению usr_tgt_mage или usr_tgt_pwd_age)	23433317
usr_tgt_exists	bool	Признак наличия в системе пользователя	true
usr_tgt_pwd_last_set_elapsed	number	Число секунд, прошедших с момента последнего изменения пароля целевой учетной записи	8640000
file_*	FileFields	Набор полей, описывающих параметры бинарного файла usr_tgt_shell пользователя по умолчанию

LaunchFields

Поле	Тип	Описание	Пример значения
task_cmdline	string	Командная строка, содержащаяся в источнике автозапуска. Один источник автозапуска может содержать несколько командных строк, одна командная строка может приводить к формированию нескольких записей автозапуска.	/Users/adm/test.sh
task_cmdline_fingerprint	string	Хэш AutorunEntryCommandLine, вычисляемый следующим образом: все разделители токенов заменяются на ординарный пробел; правила экранирования токенов командной строки приводятся к единому виду; строка приводится к верхнему регистру; от строки вычисляется MD5 хэш	F0BAA53D45CBFFA972E5E173C7E75627
task_schedule	string	Расписание запуска объекта в формате cron schedule	1/* * * * *
asep_isactive	bool	Запущен ли описываемый сервис в момент инвентаризации	true
asep_file_path	string	Путь до объекта автозапуска, обнаруженном в процессе сбора данных	/Library/LaunchDaemons/com.vmware.hublogd.plist
asep_file_name	string	Информация об имени объекта автозапуска, обнаруженном в процессе сбора данных	com.vmware.mac.workflowd.plist
file_*	FileFields	Набор полей, описывающих файл образа процесса

YaraFileFields

Набор полей, содержащих результаты yara-проверки файла.

Поле	Тип	Описание	Пример значения
file_yara_scope	string	Тип проверенного yara объекта. При проверке файла заполняется значением "File"	File
file_yara_rule_set	string	Применяемый набор yara-правил	../yara/upx.yara
file_yara_rule_set_id	string	Хеш набора применяемого набора правил	7DAC2CCAAD6C5F60120083B70BAB2F332AB4DA0126F0DDD0E0F4D47A22A73470
file_yara_status	number	Интегрированный результат сканирования: 0 — проверка не выполнялась (нет правил, произошла ошибка или объект превышает лимиты вычисления); 1 — проверка выполнена, ничего не обнаружено; 2 — сработало как минимум одно yara-правило	2
file_yara_matches	number	Количество сработавших правил	4
file_yara_rule_name	string	имена сработавших yara-правил и имена переменных из правил, значения которых были обнаружены в файле, в формате: yara_rule_name_1-$var1|yara_rule_name_2-$var2|yara_rule_name_3-$var3	fs_mwr_webshell__2_520_job_ma1_ma4_2-$x_php |fs_mwr_webshell__2_520_icesword_job_ma1_ma4_2-$fp
file_yara_rule_tag	string	Объединение тегов всех сработавших yara-правил, разделенных символом «|»	malicious|apt|hunting|

AlertFields

События генерируются в случае, если сработало правило на основе событий от агента EDR.

Поле	Тип	Описание	Пример значения
alert_confidence	string	Точность сработавшего правила	High
alert_id	number	ID правила	0184800
alert_name	string	Название сработавшего правила	nix_edr_mitm_tools_usage
alert_severity	string	Критичность сработавшего правила	Medium
alert_source	string	Источник правила	Agent
alert_suppress	bool	Признак, указывающий необходимо ли скрывать событие обнаружения в интерфейсе BI.ZONE EDR в случае срабатывания соответствующего правила	false
alert_title	string	Заголовок события обнаружения угроз	NB0940.local (10.0.2.15) - Use of MITM tools
alert_version	number	Версия правила	0000001
cmdline	string	Командная строка, использовавшаяся для запуска процесса.	/Library/Frameworks/Python.framework/Versions/3.12/Resources/Python.app/Contents/MacOS/Python mitm6.py -i ens192 -d sbdv.local
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
proc_*	ProcessFields	Набор полей, описывающих процесс, инициировавший загрузку модуля ядра
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, инициировавшего загрузку модуля ядра

Мониторинг и инвентаризация процессов

ProcessCreate

Данное событие генерируется при старте процесса.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	40
event_type	string	Тип события	ProcessCreate
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ProcessCreate
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих созданный процесс
proc_p_*	ParentProcessFields	Набор полей, описывающих процесс родителя
cmdline	string	Командная строка, использовавшаяся для запуска процесса. В событии ProcessCreate вместо поля proc_cmdline для командной строки используется поле cmdline	/bin/launchctl list

ProcessInfo

Данное событие генерируется при инвентаризации запущенных процессов.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	47
event_type	string	Тип события	ProcessInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ProcessFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
proc_*	ProcessFields	Набор полей, описывающих процесс
proc_p_*	ParentProcessFields	Набор полей, описывающих процесс родителя
cmdline	string	Командная строка, использовавшаяся для запуска процесса. В событии ProcessInfo вместо поля proc_cmdline для командной строки используется поле cmdline	/usr/libexec/trustd --agent

ProcessTerminate

Событие генерируется при завершении процесса

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	43
event_type	string	Тип события	ProcessTerminate
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ProcessTerminate
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих завершенный процесс
proc_p_*	ParentProcessFields	Набор полей, описывающих процесс родителя завершенного процесса

Мониторинг и инвентаризация команд

ConsoleCommand

Событие генерируется при выполнении нетривиальной (приводящей к запуску более чем одного процесса) команды и части встроенных команд в командной оболочке bash или zsh.

Событие не будет генерироваться на простые команды, приводящие к запуску одного процесса - например, ping 127.0.0.1, только лишь на составные (например, "echo 123 | bash"), а также некоторые встроенные команды оболочек bash и zsh, приведенные ниже.

bash:

• set
• typeset
• declare
• unalias
• unset
• trap
• readonly
• source (и .)
• export
• shopt
• bind
• alias
• echo
• printf
• history
• fc
• exec
• eval
• coproc
• ulimit

zsh (все, что в bash + следующие):

• autoload
• bindkey
• cap, setcap
• limit, unlimit
• sched
• zmodload
• zpty
• zsocket, ztcp

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	160
event_type	string	Тип события	ConsoleCommand
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ConsoleCommandExecution
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс командной оболочки, в которой была выполнена команда
proc_p_*	ParentProcessFields	Набор полей, описывающих процесс родителя командной оболочки, в которой была выполнена команда
op_type	string	Режим получения событий ConsoleCommandExecution. Поле принимает одно из трёх значений, определяемых параметром конфигурации sendTrivialCommands: trivial - событие сформировано в режиме true (модуль отправляет все полученные команды оболочки); complex - событие сформировано в режиме false (модуль отправляет сложные команды и некоторые встроенные в оболочку команды из жестко заданного в коде списка); specified - событие сформировано в режиме []string (модуль отправляет все сложные команды и тривиальные команды из определенного в конфигурации списка).	complex
cmdline	string	Выполняемая команда	echo ZWNobyBIYWNrZWQh | base64 -d | bash

ConsoleCommandInfo

Данное событие содержит информацию о команде, обнаруженной в файле с историей вводимых команд. Событие генерируется на каждую команду, обнаруженную в следующих файлах (состав контролируемых файлов задается конфигурационным файлом EDR):

• ~/.zsh_history
• ~/.zhistory
• ~/.tcsh_history
• ~/.sqlite_history
• ~/.sh_history
• ~/.rediscli_history
• ~/.python_history
• ~/.psql_history
• ~/.php_history
• ~/.mysql_history
• ~/.msf4/history
• ~/.mongodb/mongosh/.mongosh_repl_history
• ~/.local/share/ion/history
• ~/.local/share/fish/fish_history
• ~/.lesshst
• ~/.ksh_history
• ~/.history
• ~/.es_history
• ~/.dbshell
• ~/.csh_history
• ~/.bash_history
• ~/.atftp_history
• ~/.ash_history
• /var/lib/postgresql/.psql_history
• /var/lib/mysql/.mysql_history
• /lib/pgsql/.psql_history
• /lib/mysql/.mysql_history

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	161
event_type	string	Тип события	ConsoleCommandInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	CommandHistoryFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных. Поле inventory_op_type принимает значение Added в случае обнаружения новой команды в истории. Поле inventory_op_type принимает значение Deleted в случае удаления команды из истории. События со значением inventory_op_type == Modified не генерируются. Ротация истории команд (удалили N сначала, дописали M с конца) не приводит к появлению Added/Deleted событий для всех оставшихся в файле команд
cmdline	string	Команда, сохраненная в истории	use auxiliary/scanner/smb/smb_login
cmdline_time	string	Время выполнения команды в формате ISO 8601, если оно доступно	2021-07-28T03:05:59.478
cmdline_age	number	Количество секунд с момента времени ввода команды из истории (cmdline_time) до момента формирования события	333445
file_path	string	Путь к файлу с историей команд	/home/testuser/.bash_history
file_*	FileFields	Набор полей, описывающих параметры файла с историей команд, из которого была получена текущая запись истории
file_line	number	Номер строки, содержащей команду, в файле с историей команд	65
file_lines	number	Общее число командных строк в файле с историей команд	202

CommandOutput

Событие генерируется периодически при выполнении заданной в файле конфигурации EDR команды, содержит либо полный вывод команды, либо часть вывода в зависимости от заданных настроек в конфигурации агента.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	162
event_type	string	Тип события	CommandOutput
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	CommandOutput
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
script_output	string	Очередная часть стандартного потока вывода (stdout) команды. Способ дробления вывода на части определяется параметром outputMode конфигурации EDR. Если при выполнении команды возникла ошибка (op_status != 0), модулем будет сгенерировано единственное событие, в котором данное поле содержит первую часть стандартного потока ошибок (stderr)	[ 0.000000] NX (Execute Disable) protection: active
op_status	number	Код выхода командной строки. Предупреждение. В случае если выполнение команды было завершено по тайм-ауту (параметр конфигурации timeout), поле принимает значение -1, а к набору событий будет добавлено еще одно событие, содержащее сообщение о принудительном завершении команды	0
event_part	number	Номер очередной части вывода команды. Нумерация начинается с 1 и заканчивается event_parts	1
event_parts	number	Общее число частей в выводе команды	1

Мониторинг и инвентаризация файловой системы

FileCreate

Событие генерируется при создании файла в наблюдаемой директории (пути к наблюдаемым директориям задаются в конфигурационном файле EDR).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	1
event_type	string	Тип события	FileCreate
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileCreate
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, выполнивший файловую операцию
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, выполнившего файловую операцию
file_path	string	Путь к созданному файловому объекту	/Users/testuser/Downloads/tools/script.sh
file_*	FileBasicFields	Базовый набор атрибутов созданного файла

FileDelete

Событие генерируется при удалении файла в наблюдаемой директории (пути к наблюдаемым директориям задаются в конфигурационном файле EDR).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	2
event_type	string	Тип события	FileDelete
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileDelete
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, выполнивший файловую операцию
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, выполнившего файловую операцию
file_path	string	Путь к удаленному файлу	/Users/testuser/Downloads/tools/script.sh
file_*	FileBasicFields	Базовый набор атрибутов удаленного файла

FileRename

Событие генерируется при переименовании объекта в наблюдаемой директории либо при перемещении (пути к наблюдаемым директориям задаются в конфигурационном файле EDR).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	4
event_type	string	Тип события	FileRename
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileRename
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, выполнивший файловую операцию
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, выполнившего файловую операцию
file_path	string	Полный путь объекта файловой системы после переименования	/private/tmp/test/testfile_new
file_path_old	string	Полный путь объекта файловой системы до переименования	/private/tmp/test/testfile_old
file_*	FileBasicFields	Базовый набор атрибутов переименованного файла

FileChange

Событие генерируется при изменении объекта.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	13
event_type	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileChange
event_type_vendor	string	Тип события	FileChange
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, выполнивший файловую операцию
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, выполнившего файловую операцию
file_path	string	Полный путь объекта файловой системы, который был изменен	/home/admin/file.sh
file_*	FileBasicFields	Базовый набор атрибутов переименованного файла

FileACEChange

Событие генерируется при изменении атрибутов доступа объекта в наблюдаемой директории (пути к наблюдаемым директориям задаются в конфигурационном файле EDR).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	5
event_type	string	Тип события	FileACEChange
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileAttrChange
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, выполнивший файловую операцию
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, выполнившего файловую операцию
file_path	string	Полный путь объекта файловой системы, атрибуты доступа которого были изменены	/home/admin/file.sh
file_ace_mask	string	Атрибуты объекта после изменения в восьмеричном представлении. Значение поля состоит из 7 символов, где: первый символ — octal base system; со второго по четвертый — расширенные атрибуты; с пятого по седьмой — атрибуты прав доступа к файлам и каталогам	0100644
file_ace_mask_old	string	Атрибуты объекта до изменения в восьмеричном представлении. Значение поля состоит из 7 символов, где: первый символ — octal base system; со второго по четвертый — расширенные атрибуты; с пятого по седьмой — атрибуты прав доступа к файлам и каталогам	0100777
file_*	FileBasicFields	Базовый набор атрибутов объекта файловой системы, атрибуты доступа которого были изменены

FileOwnerChange

Событие генерируется при изменении владельца или группы объекта в наблюдаемой директории (пути к наблюдаемым директориям задаются в конфигурационном файле EDR).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	9
event_type	string	Тип события	FileOwnerChange
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileOwnerGroupChange
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие.
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию.
proc_*	ProcessFields	Набор полей, описывающих процесс, выполнивший файловую операцию
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, выполнившего файловую операцию
file_path	string	Полный путь объекта файловой системы, владелец или группа которого были изменены	/home/admin/file.sh
file_group_id	number	Уникальный идентификатор группы владельца объекта файловой системы после смены владельца	45
file_group_name	string	Имя группы владельца объекта файловой системы после смены владельца	group_new
file_group_id_old	number	Уникальный идентификатор группы владельца объекта файловой системы до смены владельца	0
file_group_name_old	string	Имя группы владельца объекта файловой системы до смены владельца	group_old
file_owner_id	number	Уникальный идентификатор владельца объекта файловой системы после смены владельца	603800513
file_owner_name	string	Имя владельца объекта файловой системы после смены владельца	[email protected]
file_owner_id_old	number	Уникальный идентификатор владельца объекта файловой системы до смены владельца	603800515
file_owner_name_old	string	Имя владельца объекта файловой системы до смены владельца.	[email protected]
file_*	FileBasicFields	Базовый набор атрибутов объекта файловой системы, владелец или группа которого были изменены

FileInfo

Информация о файловом объекте, обнаруженном в процессе файловой инвентаризации (набор наблюдаемых файлов задаётся в конфигурационном файле EDR агента).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	11
event_type	string	Тип события	FileInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	FileFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
file_path	string	Путь к файловому объекту	/Library/LaunchDaemons/com.microsoft.OneDriveStandaloneUpdaterDaemon.plist
file_*	FileFields	Набор атрибутов файлового объекта, обнаруженного в процессе сбора данных

Мониторинг загрузки/выгрузки модулей ядра

DriverLoad

Событие генерируется при успешной загрузке расширения ядра (kernel extension).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	64
event_type	string	Тип события	DriverLoad
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	KernelModuleLoaded
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, инициировавший загрузку модуля ядра
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, инициировавшего загрузку модуля ядра
service_name	string	Идентификатор расширения ядра (kext)	com.apple.filesystems.ntfs

DriverUnload

Событие генерируется при успешной выгрузке расширения ядра (kernel extension).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	65
event_type	string	Тип события	DriverUnload
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	KernelModuleUnloaded
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор полей, описывающих процесс, инициировавший выгрузку модуля ядра
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса, инициировавшего выгрузку модуля ядра
service_name	string	Идентификатор расширения ядра	com.apple.filesystems.ntfs

ConfigParamInfo

EDR-агент позволяет выполнять инвентаризацию параметров заданных конфигурационных файлов в форматах KV (key-value), JSON и YAML. Список контролируемых конфигурационных файлов и их параметров задается в конфигурационном файле EDR.

Событие ConfigurationParameterFound генерируется на каждый контролируемый параметр из контролируемых конфигурационных файлов.

Мониторинг конфигурационных файлов KV:

• Результирующее событие содержит контекст конфигурационного файла, где был найден параметр.
• Формат запроса: имя интересующего параметра, символ разделитель;
• Обработка запроса: разбор строки файла по разделителю (если символ разделитель является space символом, то при разборе строки должен учитываться случай повторяющихся space символов);
• События с значением inventory_op_type == Modified генерируются, когда изменены значение параметра ИЛИ контекст конфигурационного файла.

Мониторинг конфигурационных файлов YAML:

• Формат запроса с поддержкой вложенности: имя ключа или маска имени ключа;

• Обработка запроса: результат запроса должен содержать раскрытые алиасы объявленных структур yaml;
• События с значением inventory_op_type == Modified генерируются, когда изменено значение параметра.

Мониторинг конфигурационных файлов JSON:

• Формат запроса с поддержкой вложенности: имя ключа или маска имени ключа;
• События с значением inventory_op_type == Modified генерируются, когда изменено значение параметра.

Событие ConfigurationParameterFound генерируется для каждого указанного параметра конфигурационного файла.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	405
event_type	string	Тип события	ConfigParamInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ConfigurationParameterFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных. Поле inventory_op_type принимает значение Added в случае обнаружения новой команды в истории. Поле inventory_op_type принимает значение Deleted в случае удаления команды из истории. События со значением inventory_op_type == Modified не генерируются. Ротация истории команд (удалили N сначала, дописали M с конца) не приводит к появлению событий Added/Deleted для всех оставшихся в файле команд	Snapshot
cfg_param	string	Имя найденного параметра	LogLevel
cfg_param_value	string	Значение найденного параметра. Принимает значение UNDEFINED в случае, если данный параметр не задан в инвентаризуемом конфигурационном файле	INFO
file_line	number	Номер строки, в которой был найден параметр. Не поддерживается для конфигурационных файлов в формате YAML/JSON	26
file_path	string	Абсолютный путь к конфигурационному файлу, в котором ищется параметр	/private/etc/ssh/sshd_config
file_content	string	Контекст конфигурационного файла, в котором был найден искомый параметр. Необходимость получения контекста и его размер должны быть явно заданы в конфигурационном файле	LogLevel INFO

FileLineInfo

Агент позволяет выполнять поиск в произвольных текстовых файлах по заданным регулярным выражениям (аналогично утилите grep). В конфигурации агента определяют файлы, в которых необходимо осуществлять поиск, набор регулярных выражений, а также периодичность запуска данного поиска. На каждую обнаруженную строку агент генерирует событие FileLineInfo.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	404
event_type	string	Тип события	FileLineInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	LineInFileFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
file_path	string	Абсолютный путь к файлу, в котором ищется строка	/etc/sysconfig/network-scripts/ifcfg-ens192
file_line	number	Номер строки в файле. Если в конфигурации применяется параметр last, то строки нумеруются с конца, начиная с -1, далее в порядке убывания арифметической прогрессии (пример: -1, -2, -3, -4, -5, ...)	5
file_lines	number	Общее количество строк в файле. Если в конфигурации применяется параметр last, то file_lines не заполняется	8
file_match_pattern	string	Паттерн, используемый для поиска строк в файле	^[A-Z]*=[0-9]{1,3}\\.[0-9]{1,3}
file_match	string	Содержимое строки, соответствующее одному из указанных регулярных выражений	GATEWAY=10.3.130.1
file_content	string	Часть файла — отрезок текста от строки file_line-before до строки file_line+after. Значения before и after задаются в конфигурации агента	# Generated by VMWare customization engine. \nHWADDR=00:50:56:bd:b4:47\nNAME=ens192 \nGATEWAY=10.3.130.1 \nDEVICE=ens192\nONBOOT=yes\nUSERCTL=no \nBOOTPROTO=none\nNETMASK=255.255.255.0

Мониторинг и инвентаризация контейнеров

ContainerStart

DockerContainerStarted

Событие генерируется при запуске нового контейнера и runtime-обновлении конфигурации запущенного контейнера. Поддерживается мониторинг следующих систем контейнеризации.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	300
event_type	string	Тип события	ContainerStart
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	DockerContainerStarted
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
container_*	ContainerFields	Базовый набор атрибутов контейнера
container_*	ContainerExtendedFields	Расширенный набор атрибутов контейнера
container_state_pid	number	PID родительского процесса контейнера. Поле заполняется только для работающих контейнеров	99949

ContainerStop

DockerContainerStopped

Событие генерируется при полной остановке Docker-контейнера (оригинальное событие — die, https://docs.docker.com/engine/api/v1.41/#operation/SystemEvents). Поддерживается мониторинг следующих систем контейнеризации.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	301
event_type	string	Тип события	ContainerStop
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	DockerContainerStopped
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
container_*	ContainerFields	Базовый набор атрибутов контейнера

ContainerInfo

DockerContainerRunningFound

Данное событие содержит информацию о запущенном или остановленном Docker-контейнере, обнаруженном на хосте.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	302
event_type	string	Тип события	ContainerInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	DockerContainerRunningFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
container_*	ContainerFields	Базовый набор атрибутов контейнера
container_*	ContainerExtendedFields	Расширенный набор атрибутов контейнера
container_runtime	string	Используемая система контейнеризации — в данном событии всегда docker	docker
container_state	string	Состояние контейнера. Возможные значения: running, paused, restarting	running
container_state_pid	number	PID родительского процесса контейнера. Поле заполняется только для работающих контейнеров	57935
container_uptime	number	Количество секунд с момента старта контейнера	47

DockerContainerStoppedFound

Данное событие содержит информацию об остановленном Docker-контейнере, обнаруженном на хосте.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	303
event_type	string	Тип события	ContainerInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	DockerContainerStoppedFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
container_*	ContainerFields	Базовый набор атрибутов контейнера
container_runtime	string	Используемая система контейнеризации — в данном событии всегда docker	docker
container_state	string	Состояние контейнера. Возможные значения: created, exited, dead.	exited

Мониторинг и инвентаризация сетевой активности

NetworkPortOpenInfo

Данное событие генерируется на открытый порт, обнаруженный в ходе сбора данных.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	77
event_type	string	Тип события	NetworkPortOpenInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	NetworkOpenPortFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
proc_*	ProcessFields	Набор полей, описывающих процесс-владельца сетевого открытого порта
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса-владельца
net_is_ipv6	bool	Признак того, что порт открыт на IPv6-интерфейсе	false
net_proto	string	Сетевой протокол, соответствующий открытому порту. Возможные значения: TCP, UDP	TCP
net_src_ipv4	string	IPv4-адрес интерфейса, на котором открыт порт из поля (net_src_port)	10.3.132.73
net_src_ipv6	string	IPv6-адрес интерфейса, на котором открыт порт из поля (net_src_port)	fe80::ecee:eeff:feee:eeee
net_src_port	number	Номер открытого порта	22

NetworkConnectionInfo

Данное событие генерируется на открытое сетевое соединение, обнаруженное в ходе сбора данных.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	76
event_type	string	Тип события	NetworkConnectionInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	NetworkConnectionFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
proc_*	ProcessFields	Набор полей, описывающих процесс-владельца сетевого подключения
proc_p_*	ParentProcessFields	Набор полей, описывающих родителя процесса-владельца сетевого подключения
net_*	NetworkConnectionFields	Набор полей, описывающих сетевое подключение

Инвентаризация сетевой конфигурации системы

NetworkInterfaceInfo

Данное событие генерируется при инвентаризации сетевых интерфейсов хоста.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	84
event_type	string	Тип события	NetworkInterfaceInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	NetworkInterfaceFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
dev_iface	string	Имя сетевого интерфейса	en0
dev_iface_mac	string	MAC-адрес сетевого интерфейса	08:00:27:47:d2:4e
dev_iface_mtu	number	Максимальный размер пакета в байтах	1500
dev_iface_ipv4_mask	string	Маска подсети (IPv4)	255.255.255.0
dev_iface_ipv4	string	IPv4-адрес сетевого интерфейса	127.0.0.1
dev_iface_ipv6_mask	string	Маска подсети (IPv6)	ffff:ffff:ffff:ffff:0000:0000:0000:0000
dev_iface_ipv6	string	IPv6-адрес сетевого интерфейса	fe80::1
dev_iface_isup	bool	Признак указывающий на то, активен ли сетевой интерфейс — true/false	true
dev_iface_type	string	Тип интерфейса: 0 — Unknown — неизвестный сетевой интерфейс; 1 — Loopback — локальный сетевой интерфейс (интерфейс петли обратной связи lo); 2 — Wired — физически (проводом) подключенный сетевой интерфейс, например ETH; 3 — Wireless — беспроводной сетевой интерфейс, например WLAN	wired

Мониторинг и инвентаризация пользователей и групп

UserInfo

Данное событие содержит информацию об учетной записи пользователя, обнаруженной в ходе сбора данных.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	184
event_type	string	Тип события	UserInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	UserFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных. Поле inventory_op_type должно принимать значение Added в следующих случаях: Создание нового пользователя в ОС (с учетом комбинации usr_tgt_id + usr_tgt_name); Поле inventory_op_type должно принимать значение Deleted в следующих случаях: Удаление пользователя; Поле inventory_op_type принимает значение Modified в следующих случаях: Изменение значения одного из основных атрибутов пользователя: Домашний каталог, Комментарий к учётной записи (GECOS); Изменение атрибутов, указывающих на членство в группах: Имя основной группы, ID основной группы, Набор групп, участником которых является данный пользователь.
usr_tgt_name	string	Имя пользователя	testuser
usr_tgt_id	number	Идентификатор пользователя	89
usr_tgt_group_id	number	Идентификатор основной группы пользователя	20
usr_tgt_group_name	string	Имя основной группы пользователя	staff
usr_tgt_*	UserFields	Набор полей, описывающих атрибуты пользователя
usr_tgt_description	string	Дополнительная информация о пользователе (GECOS)	Spotlight
usr_tgt_groups	string	Список всех групп, в которых состоит пользователь в формате id(name)(,id2(name2))*	4294967294(nobody),12(everyone),61(localaccounts),100(_lpoperator),701(com.apple.sharepoint.group.1),702(com.apple.sharepoint.group.2)
usr_tgt_home_dir	string	Домашняя директория пользователя	/var/empty
usr_tgt_home_dir_exists	bool	Существует ли в файловой системе домашняя директория пользователя, указанная в usr_tgt_home_dir (true/false)	false
usr_tgt_last_logon_elapsed	number	Количество секунд, прошедших со времени последнего успешного входа пользователя в систему до момента формирования события	81122456
usr_tgt_last_logon_time	string	Время последнего успешного входа пользователя в систему	2024-04-11T12:20:40.151
usr_tgt_pwd_isweak	bool	Признак, указывающий используется для целевой учетной записи пароль из списка "слабых" паролей, заданном в конфигурационном файле модуля EDR. Данное поле заполняется и принимает значение "true" только в случае, если пароль является "слабым".	true

GroupInfo

Данное событие генерируется на каждую группу, обнаруженную в файле /etc/group, формируется на базе события FileLineInfo.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	197
event_type	string	Тип события	GroupInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	LineInFileFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
group_name	string	Имя группы	www
group_id	number	Идентификатор группы	33
group_members	string	Список пользователей, входящих в данную группу и разделенных символом «|»	user_ask_sudo|user|test1234

SSHKeyInfo

Данное событие содержит информацию о публичном SSH-ключе, обнаруженном в ходе сбора данных. Информация о SSH-ключах извлекается из файлов authorized_keys в профилях пользователей, а также по иным путям, сконфигурированным в настройках сервиса SSHD.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	185
event_type	string	Тип события	SSHKeyInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	SSHAuthorizedKeyFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных. Поле inventory_op_type должно принимать значение Added в следующих случаях: Обнаружение нового авторизованного SSH ключа (как уже в известном, так и в новом обнаруженном файле). Поле inventory_op_type должно принимать значение Deleted в следующих случаях: Удаление авторизованного SSH ключа из файла. Поле inventory_op_type должно принимать значение Modified в следующих случаях: Изменение опций ключа; Включение/исключение ключа из конфигурации; Изменение владельца или прав доступа к файлу, содержащему данный ключ. Все возможные пути к файлам с авторизованными ключами должны быть получены следующим образом: $HOME/.ssh/authorized_keys и $HOME/.ssh/authorized_keys2 для каждого пользователя в системе вне зависимости от конфигурации SSH сервера. Все другие пути взятые из опции AuthorizedKeysFile конфигурационного файла sshd.
usr_tgt_name	string	Имя пользователя, к которому относится данный SSH-ключ	ansible
usr_tgt_id	number	Идентификатор пользователя, к которому относится данный SSH-ключ. Чтобы определить наличие реальной возможности использования данного ключа для аутентификации пользователя, необходимо учитывать значения полей UserSSHAuthKeysFileIsConfigured, UserSSHAuthKeysFileUserID, UserSSHAuthKeysFileMode	505
auth_key_algo	string	Алгоритм (тип) SSH-ключа	ssh-rsa
auth_key_description	string	Комментарий, заданный для ключа в данном файле authorized_keys	ansible<domain.com>
auth_key_fingerprint	string	Отпечаток (ID) ключа в формате аналогичном auth.log : "SHA256:"base64(sha256(key.pub)). Ref: ssh-keygen -lf /path/to/key.pub, https://superuser.com/questions/421997/what-is-a-ssh-key-fingerprint-and-how-is-it-generated, https://www.openssh.com/txt/release-6.8, https://tools.ietf.org/html/rfc4648#section-3.2 (unpadded base64 encoding).	SHA256:jM7/lx3eNaX6ktCCbnZWvkcnrhW6zqK3gCGnFGAOb7M
auth_key_length	number	Длина криптографического ключа в битах	2048
auth_key_options	string	Набор опций, определенных для ключа в данном файле authorized_keys, перечисленных через символ «|»	no-port-forwarding|no-X11-forwarding
auth_key_pub	string	Значение публичного ключа в формате Base64	c3NoLXJzYSBBQUFBQjNO...
file_path	string	Путь к файлу, в котором обнаружен SSH-ключ	/Users/ansible/.ssh/authorized_keys
file_path_isconf	bool	Признак того, что файл file_path сконфигурирован как файл authorized_keys для пользователя Username. Это не является достаточным условием того, что ключ может быть использован для авторизации. Помимо этого, файл authorized_keys должен принадлежать пользователю Username и иметь права доступа 0400	true
file_line	number	Порядковый номер текущего ключа в файле file_path	1
file_lines	number	Количество записей с авторизованными ключами в файле file_path	2
file_*	FileFields	Набор полей, описывающих параметры файла, в котором обнаружен SSH-ключ

SudoersInfo

Данное событие содержит информацию об отдельной записи из файла /etc/sudoers. Для каждой строки с правилом в файле /etc/sudoers генерируется отдельное событие. Если правило содержит определенный явным образом список исполняемых файлов, вместо одного события на правило целиком генерируется по событию на каждый извлеченный из правила исполняемый файл.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	401
event_type	string	Тип события	SudoersInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	SudoersEntryFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных. Поле inventory_state_op принимает значение Added в следующих случаях: при добавлении новой строки с правилом в файл sudoers; изменении существующей строки с правилом, в том числе в результате изменения алиаса, входящего в правило. Поле inventory_state_op принимает значение Deleted в случае удаления строки с правилом из файла sudoers
sudoers_file_name	string	Имя файла /etc/sudoers	sudoers
sudoers_file_path	string	Путь к файлу /etc/sudoers, из которого извлечено правило	/etc/sudoers
sudoers_file_size	number	Размер файла /etc/sudoers, из которого извлечено правило	571
sudoers_file_type	string	Тип файлового объекта, путь к которому указан в sudoers_file_path. Возможные значения: File, Directory, Link, Socket, Pipe, Block Device, Character Device	File
sudoers_file_owner_id	number	Идентификатор пользователя — владельца файла sudoers	1009
sudoers_file_owner_name	string	Имя пользователя — владельца файла sudoers	testuser
sudoers_file_group_id	number	Идентификатор группы файла sudoers	1010
sudoers_file_group_name	string	Имя группы файла sudoers	testuser
sudoers_file_ace_mask	string	Маска атрибутов файла sudoers, в формате unix extended file mode (например, 0100664)	0100600
sudoers_file_atime	string	Время последнего доступа к файлу sudoers в формате ISO 8601	2023-10-02T22:03:39.987
sudoers_file_mtime	string	Время последнего изменения файла sudoers в формате ISO 8601	2023-10-02T12:39:50.500
sudoers_file_crtime	string	Время создания файла sudoers в формате ISO 8601	2023-10-02T12:39:50.500
sudoers_file_age	number	Возраст файла sudoers — количество секунд с момента создания файла sudoers до формирования события	9100
sudoers_file_mage	number	Количество секунд с момента последнего изменения файла sudoers до формирования события	1200
sudoers_file_inode	number	Номер inode файла sudoers, однозначно идентифицирующий данный объект файловой системы	2129778
sudoers_file_nlink	number	Количество жестких ссылок (hard links) на файл sudoers (количество других объектов в системе с тем же значением inode)	1
sudoers_file_tgt_path	string	Путь, на который указывает символическая ссылка из sudoers_file_path. Заполняется только в случае, если файловый объект является символической ссылкой	/etc/some/file
sudoers_file_tgt_ace_mask	string	Маска атрибутов файлового объекта, на который указывает символическая ссылка из sudoers_file_path, в формате unix extended file mode. Заполняется только в случае, если файловый объект является символической ссылкой	0100600
sudoers_file_tgt_size	number	Размер файлового объекта в байта, на который указывает символическая ссылка из sudoers_file_path	571
sudoers_def	string	Набор переопределенных в файле sudoers опций по умолчанию (DEFAULTS)	env_reset|env_keep+=BLOCKSIZE|env_keep+=COLORFGBG COLORTERM|env_keep+=__CF_USER_TEXT_ENCODING|env_keep+=CHARSET LANG LANGUAGE LC_ALL LC_COLLATE LC_CTYPE|env_keep+=LC_MESSAGES LC_MONETARY LC_NUMERIC LC_TIME|env_keep+=LINES COLUMNS|env_keep+=LSCOLORS|env_keep+=SSH_AUTH_SOCK|env_keep+=TZ|env_keep+=DISPLAY XAUTHORIZATION XAUTHORITY|env_keep+=EDITOR VISUAL|env_keep+=HOME MAIL|lecture_file=/etc/sudo_lecture
sudoers_rule	string	Исходное sudoers правило (без разрешения псевдонимов).	root ALL = (ALL) ALL
sudoers_users	string	Список пользователей, для которых определено данное правило	root
sudoers_hosts	string	Список хостов, для которых определено данное правило	ALL
sudoers_runas	string	Список пользователей в формате user(,user)*:group(,group)*, от лица которых разрешена имперсонация при выполнении правила	ALL:
cmdline	string	Команда, для которой определено данное правило	ALL
file_path	string	Извлеченный из SudoersCommand путь к исполняемому файлу. Присутствует в событии только в случае, если в составе cmdline указан абсолютный путь к файлу regular	/usr/bin/vi
file_exists	bool	Признак того, что file_path существует. Присутствует в событии только в случае, если file_path != ""	true
file_*	FileFields	Набор полей, описывающих файл file_path. Присутствует в событии только в случае, если file_path != ""

Мониторинг и инвентаризация пользовательских сессий

LogonSuccess

Событие генерируется при успешном входе пользователя в систему (как локально, так и по SSH).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	181
event_type	string	Тип события	LogonSuccess
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	UserLogonAttemptSuccess
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор атрибутов процесса, выполнившего обработку запроса на вход в систему (например, sshd)
proc_p_*	ParentProcessFields	Набор атрибутов родителя процесса, выполнившего обработку запроса на вход в систему
usr_tgt_name	string	Имя пользователя	testuser
usr_tgt_id	number	Идентификатор пользователя	502
usr_tgt_group_id	number	Идентификатор основной группы пользователя	20
usr_tgt_group_name	string	Имя основной группы пользователя	staff
usr_tgt_groups	string	Список всех групп, в которых состоит пользователь в формате id(name)(,id2(name2))*	20(staff),12(everyone), 61(localaccounts),701(com.apple.sharepoint.group.1), 702(com.apple.sharepoint.group.2),100(_lpoperator)
usr_tgt_*	UserFields	Набор полей, описывающих атрибуты пользователя
proc_term_name	string	Имя TTY-устройства, присвоенного пользовательской сессии	/dev/ttys001
op_isremote	bool	Признак входа с использованием SSH	true
net_src_ipv4	string	IPv4-адрес источника подключения в случае, если вход выполнялся по SSH	10.10.10.137
net_src_ipv6	string	IPv6-адрес источника подключения в случае, если вход выполнялся по SSH	fe80::6860:da10:6db5:c80a
net_src_hostname	string	Имя хоста-источника подключения в случае, если вход выполнялся по SSH, полученное путем обратного DNS-резолва IP-адреса источника подключения	server.domain.com

LogonFailure

Событие генерируется при неуспешной попытке входа пользователя в систему (как локально, так и по SSH).

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	182
event_type	string	Тип события	LogonFailure
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	UserLogonAttemptFail
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
proc_*	ProcessFields	Набор атрибутов процесса, выполнившего обработку запроса на вход в систему (например, sshd)
proc_p_*	ParentProcessFields	Набор атрибутов родителя процесса, выполнившего обработку запроса на вход в систему
usr_tgt_name	string	Имя пользователя, от лица которого выполнена попытка входа в систему, либо сообщение о том, что такого пользователя не существует (например, (invalid user)).	testuser
usr_tgt_id	number	Идентификатор пользователя, от лица которого выполнена попытка входа в систему	1016
usr_tgt_group_id	number	Идентификатор основной группы пользователя, от лица которого выполнена попытка входа в систему, если такой пользователь существует	1017
usr_tgt_group_name	string	Имя основной группы пользователя, от лица которого выполнена попытка входа в систему, если такой пользователь существует	testuser
usr_tgt_groups	string	Список всех групп, в которых состоит пользователь в формате id(name)(,id2(name2))*	20(staff),12(everyone), 61(localaccounts),701(com.apple.sharepoint.group.1), 702(com.apple.sharepoint.group.2),100(_lpoperator)
net_src_ipv4	string	IPv4-адрес источника попытки входа, если вход выполнялся по SSH	10.10.10.137
net_src_ipv6	string	IPv6-адрес источника попытки входа, если вход выполнялся по SSH	fe80::6860:da10:6db5:c80a
op_isremote	bool	Признак входа с использованием SSH	true

LogonInfo

Данное событие содержит информацию об активной пользовательской сессии, обнаруженной в ходе сбора данных.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	183
event_type	string	Тип события	LogonInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	UserLogonFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных. inventory_op_type == Added при появлении новой пользовательской сессии. inventory_op_type == Deleted в случае отсутствия сессии данного пользователя (учитывая TTY и IP)
usr_tgt_name	string	Имя пользователя	testuser
usr_tgt_id	number	Идентификатор пользователя	1016
usr_tgt_group_id	number	Идентификатор основной группы пользователя	1017
usr_tgt_group_name	string	Имя основной группы пользователя	testuser
usr_tgt_groups	string	Список всех групп, в которых состоит пользователь в формате id(name)(,id2(name2))*.	1017(testuser),1004(adm)
usr_tgt_*	UserFields	Набор полей, описывающих атрибуты пользователя
usr_tgt_logon_time	string	Время входа пользователя в систему	2023-10-02T22:13:20.017
usr_tgt_logon_uptime	number	Количество секунд, прошедших с момента входа пользователя в систему до момента формирования события	1911444
proc_term_name	string	Имя TTY устройства, присвоенного пользовательской сессии	ttys001
net_src_ipv4	string	IPv4-адрес источника подключения в случае, если вход выполнялся по SSH	10.10.10.137
net_src_ipv6	string	IPv6-адрес источника подключения в случае, если вход выполнялся по SSH	fe80::6860:da10:6db5:c80a
net_src_hostname	string	Имя хоста-источника подключения в случае, если вход выполнялся по SSH, полученное путем обратного DNS-резолва IP-адреса источника подключения	server.domain.com
auth_key_*	SSHKeyFields	Набор полей, описывающих параметры SSH аутентификации. Присутствует только в случае, если пользовательская сессия создана в результате подключения по SSH

Инвентаризация программного обеспечения

AppInfo (Applications)

Информация об установленном программном обеспечении, расположенного в директории /Applications

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	400
event_type	string	Тип события	AppInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	PackageFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
app_productname	string	Имя приложения	Safari
app_version	string	Версия приложения	16.78.3
app_install_time	date	Дата и время когда приложение было установлено на устройство	Jul 9, 2023 @ 07:00:00.000
app_install_age	number	Количество секунд с момента установки приложения до момента формирования события	55952955
app_file_dir	string	Путь по которому установлено приложение	/Applications/Safari.app
app_signed	bool	Признак того что у приложения существует подпись — true/false	true
app_sig	string	Владелец подписи приложения	Developer ID Application: Microsoft Corporation (UBF8T346G9)
app_sig_ca	string	Имя удостоверяющего корневой сертификат центра. Возможные значения: None, Trusted CA, Developer ID, Notarized Developer ID, Mac AppStore, Apple Generic, Apple System.	Developer ID
app_sig_ident	string	Идентификатор подписи приложения	com.microsoft.Excel
app_sig_teamid	string	Идентификатор компании-разработчика ПО	UBF8T346G9
app_sig_cdhash	string	Cdhash (ref) — хэш бинарного кода приложения, однозначно идентифицирующий подписываемый код	B5928C4C253D639F2BFA6620271A24969D9208E8
app_sig_status	string	Проверка подписи приложения Возможные значения: Unsigned, Good, Bad, Expired, Untrusted, Error	Good
app_sig_result	bool	Признак успешной валидации подписи у установленного приложения. Устанавливается значение true только в случае, когда у установленного приложения существует цифровая подпись (app_signed == true) и когда подпись актуальна и успешна провалидирована (app_sig_status == "Good") — true/false	true

Инвентаризация автозагрузки

Информация об объекте автозапуска, обнаруженном в процессе сбора данных.

Агент поддерживает инвентаризацию следующих типов объектов автозапуска (признак типа объекта содержится в поле event_type_vendor):

• event_type_vendor = AutorunAtEntryFound — событие генерируется для каждой запланированной at-задачи.
• event_type_vendor = AutorunBashEntryFound — событие генерируется для каждого блока команд из shell-скриптов .bashrc, .bash_profile и т. д.
• event_type_vendor = AutorunCronEntryFound — событие генерируется для каждой обнаруженной записи в системном или пользовательском crontab.
• event_type_vendor = AutorunEnvironmentVariableFound — событие генерируется для каждого файла, обнаруженного в значении наблюдаемой переменной среды. Событие генерируется для следующих переменных окружения: DYLD_INSERT_LIBRARIES, DYLD_FRAMEWORK_PATH, LC_LOAD_WEAK_DYLIB, LC_LOAD_DYLIB, LC_RPATH. Дополнительные переменные окружения для наблюдения могут быть заданы в конфигурационном файле агента.
• event_type_vendor = AutorunLaunchAgentFound - событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска агента.
• event_type_vendor = AutorunLaunchDaemonFound - Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска демона.

• event_type_vendor = LaunchAgentAdded - Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска агента на хостах с macOS 13 Ventura и выше.

• event_type_vendor = LaunchDaemonAdded - Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска демона на хостах с macOS 13 Ventura и выше.

• event_type_vendor = LoginItemAdded - Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска приложения на хостах с macOS 13 Ventura и выше.

AsepFileFields

Набор атрибутов файлового объекта, описывающего конфигурацию объекта автозапуска. Содержит атрибуты файлового объекта, из которого была получена информация об объекте автозапуска. Набор актуален для всех типов объектов автозапуска, кроме AutorunEnvironmentVariableFound.

Поле	Тип	Описание	Пример значения
asep_type	string	Тип автозапуска. Возможные значения: ATJob, BashScript, Cron, KernelModule, EnvironmentVariable, LaunchAgent, LaunchDaemon, LaunchAgentAdded, LaunchAgentAdded, LoginItemAdded	BashScript
asep_file_path	string	Абсолютный путь к файловому объекту, содержащему конфигурацию объекта автозапуска	/etc/profile
asep_file_size	number	Размер файла	442
asep_file_type	string	Тип файлового объекта. Возможные значения: File, Directory, Link, Socket, Pipe, Block Device, Character Device	File
asep_file_owner_id	number	Идентификатор пользователя-владельца файлового объекта	0
asep_file_owner_name	string	Имя пользователя-владельца файлового объекта	root
asep_file_group_id	number	Идентификатор группы файлового объекта	0
asep_file_group_name	string	Имя группы файлового объекта	wheel
asep_file_ace_mask	string	Маска атрибутов файлового объекта в формате unix extended file mode	0100444
asep_file_atime	string	Время последнего доступа к файловому объекту в формате ISO 8601	2024-06-11T12:40:06.347
asep_file_mtime	string	Время последнего изменения файлового объекта в формате ISO 8601	2024-06-11T12:20:06.212
asep_file_crtime	string	Время создания файлового объекта в формате ISO 8601	2024-06-11T12:20:06.212
asep_file_age	number	Возраст файлового объекта — количество секунд с момента создания файлового объекта до формирования события	1200
asep_file_mage	number	Количество секунд с момента последнего изменения файлового объекта до формирования события	1200
asep_file_inode	number	Номер inode, однозначно идентифицирующий данный объект файловой системы	68476302
asep_file_nlink	number	Количество жестких ссылок (hard links) на данный файл (количество других объектов в системе с тем же значением inode)	1
asep_file_tgt_path	string	Путь, на который указывает символическая ссылка. Заполняется только в случае, если файловый объект является символической ссылкой	/usr/bin/file
asep_file_tgt_name	string	Информация об имени объекта автозапуска, обнаруженном в процессе сбора данных	file
asep_file_tgt_ace_mask	string	Маска атрибутов файлового объекта, на который указывает символическая ссылка, в формате unix extended file mode. Заполняется только в случае, если файловый объект является символической ссылкой	0100600
asep_file_tgt_size	number	Размер файлового объекта, на который указывает символическая ссылка в байтах	571

AutorunCronEntryFound — инвентаризация задач cron

Cобытие генерируется для каждой обнаруженной записи в системном или пользовательском crontab.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	262
event_type	string	Тип события	AsepInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	AutorunCronEntryFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
asep_type	string	Тип автозапуска
asep_file_path	string	Путь к crontab-файлу	/etc/crontab
asep_file_*	AsepFileFields	Набор атрибутов crontab-файла, из которого получена информация о задаче
file_path	string	Путь к файлу, прописанного в автозапуск через задачу	/bin/sh
file_exists	bool	Признак наличия файла, прописанного в автозапуск, в системе — true/false	true
file_*	FileFields	Набор атрибутов файла, прописанного в автозапуск через задачу — файл, путь к которому прописан в командной строке задачи в crontab-файле
file_yara_*	YaraFileFields	Набор полей, содержащих результаты yara-сканирования файла, прописанного в автозапуск. Добавляется только в том случае, если EDR-правило, на базе которого было сформировано соответствующее событие, вызывает yara-сканирование файлового объекта
file_dir_*	DirectoryFields	Набор атрибутов первой существующей директории, содержащей файл, прописанный в автозагрузку (путь к которому указан в file_path). Например, для file_path = /tmp/dir/script.sh при условии, что /tmp/dir/script.sh и /tmp/dir не существуют, file_dir будет содержать путь /tmp. Все дальнейшие параметры file_dir_* будут описывать эту директорию. Заполняется, только если file_exists = false
cmdline	string	Командная строка, прописанная в задачу	sh -c \"curl -sSL https://localhost/3wz6Znd | python\"
cmdline_fingerprint	string	Хеш AutorunEntryCommandLine, вычисляемый следующим образом: все разделители токенов заменяются на одинарный пробел; правила экранирования токенов командной строки приводятся к единому виду; строка приводится к верхнему регистру; от строки вычисляется MD5-хеш	4B5E8480F3B7D28DF551A2FDC88800D4
asep_usr_name	string	Имя пользователя, от лица которого осуществляется запуск объекта	root
task_schedule	string	Расписание запуска объекта в формате cron schedule	1/* * * * *

AutorunAtEntryFound — инвентаризация at-задач

Событие генерируется на каждую команду, прописанную на запуск в at-задачу. Если в одной at-задаче прописано несколько команд, то на каждую команду будет генерироваться отдельное событие.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	260
event_type	string	Тип события	AsepInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	AutorunAtEntryFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
asep_type	string	Тип автозапуска	ATJob
asep_file_path	string	Путь к at-файлу, из которого получена информация о задаче
asep_file_*	AsepFileFields	Набор атрибутов at-файла, из которого получена информация о задаче
file_path	string	Путь к файлу, прописанному в автозапуск	/var/tmp/a
file_exists	bool	Признак наличия файла, прописанного в автозапуск, в системе — true/false	true
file_*	FileFields	Набор атрибутов файла, прописанного в автозапуск через задачу — файл, путь к которому прописан в командной строке at-задачи
file_yara_*	YaraFileFields	Набор полей, содержащих результаты yara-сканирования файла, прописанного в автозапуск. Добавляется только в том случае, если EDR-правило, на базе которого было сформировано соответствующее событие, вызывает yara-сканирование файлового объекта
file_dir_*	DirectoryFields	Набор атрибутов первой существующей директории, содержащей файл, прописанный в автозагрузку (путь к которому указан в file_path). Например, для file_path = /tmp/dir/script.sh при условии, что /tmp/dir/script.sh и /tmp/dir не существуют, file_dir будет содержать путь /tmp. Все дальнейшие параметры file_dir_* будут описывать эту директорию. Заполняется, только если file_exists = false
cmdline	string	Командная строка, прописанная в задачу	/bin/bash <<'_END_OF_AT_JOB'\nping -c 4 ya.ru\n\n_END_OF_AT_JOB
cmdline_fingerprint	string	Хеш AutorunEntryCommandLine, вычисляемый следующим образом: все разделители токенов заменяются на одинарный пробел; правила экранирования токенов командной строки приводятся к единому виду; строка приводится к верхнему регистру; от строки вычисляется MD5-хеш	F80D471EA6FEB972988E504C84A86A68
asep_usr_name	string	Имя пользователя, от лица которого осуществляется запуск объекта	user1
task_schedule	string	Время, на которое запланирован запуск объекта, в формате ISO 8601	2022-11-14T07:05:00.000

AutorunEnvironmentVariableFound — инвентаризация переменных окружения

Событие генерируется для каждого файла, обнаруженного в значении наблюдаемой переменной среды.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	264
event_type	string	Тип события	AsepInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	AutorunEnvironmentVariableFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
asep_type	string	Тип автозапуска	EnvironmentVariable
asep_file_path	string	Имя наблюдаемой переменной окружения. Событие генерируется для следующих переменных окружения: DYLD_INSERT_LIBRARIES DYLD_FRAMEWORK_PATH LC_LOAD_WEAK_DYLIB LC_LOAD_DYLIB LC_RPATH Дополнительные переменные окружения для наблюдения могут быть заданы в конфигурационном файле агента	DYLD_INSERT_LIBRARIES
file_path	string	Путь к файлу, прописанный в переменной окружения	/usr/somefile
file_exists	bool	Признак наличия в системе файла, путь к которому (значение поля file_path) прописан в наблюдаемой переменной окружения	true
file_*	FileFields	Набор атрибутов файла, путь к которому прописан в наблюдаемой переменной окружения
file_yara_*	YaraFileFields	Набор полей, содержащих результаты yara-сканирования файла, прописанного в автозапуск. Добавляется только в том случае, если EDR-правило, на базе которого было сформировано соответствующее событие, вызывает yara-сканирование файлового объекта

AutorunBashEntryFound — инвентаризация команд из shell-скрипотов

Cобытие генерируется для каждого блока команд из shell-скриптов .bashrc, .bash_profile и т. д.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	261
event_type	string	Тип события	AsepInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	AutorunBashEntryFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
asep_type	string	Тип автозапуска	BashScript
asep_file_path	string	Путь к файлу shell-скрипта	/etc/profile
asep_file_*	AsepFileFields	Набор атрибутов файла shell-скрипта
file_path	string	Путь к файлу, запуск которого прописан в shell-скрипте	eval
file_exists	bool	Признак наличия в системе файла по пути file_path	false
file_*	FileFields	Набор атрибутов файла, запуск которого прописан в shell-скрипте
file_yara_*	YaraFileFields	Набор полей, содержащих результаты yara-сканирования файла, прописанного в автозапуск. Добавляется только в том случае, если EDR-правило, на базе которого было сформировано соответствующее событие, вызывает yara-сканирование файлового объекта
file_dir_*	DirectoryFields	Набор атрибутов первой существующей директории, содержащей файл, прописанный в автозагрузку (путь к которому указан в file_path). Например, для file_path = /tmp/dir/script.sh при условии, что /tmp/dir/script.sh и /tmp/dir не существуют, file_dir будет содержать путь /tmp. Все дальнейшие параметры file_dir_* будут описывать эту директорию. Заполняется, только если file_exists = false
asep_usr_name	string	Имя пользователя, от лица которого осуществляется запуск объекта	root
cmdline	string	Командная строка, прописанная в задачу	if [ -x /usr/libexec/path_helper ]; then\n\teval $(/usr/libexec/path_helper -s)\nfi
cmdline_fingerprint	string		5BAB5E6FDE8BB31F8346C046177E6317

AutorunLaunchAgentFound — инвентаризация LaunchAgent

Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска агента

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	268
event_type	string	Тип события	AsepInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	AutorunLaunchAgentFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
asep_type	string	Тип автозапуска	LaunchAgent
asep_file_path	string	Путь к файлу	/etc/profile
asep_file_*	AsepFileFields	Набор атрибутов файла shell-скрипта
file_path	string	Путь к файлу, запуск которого прописан в shell-скрипте	-a
file_exists	bool	Признак наличия в системе файла по пути file_path	false
file_sig_ident	string	Уникальный идентификатор конфигурационного файла .plist	com.apple.routined
file_*	FileFields	Набор атрибутов файла, запуск которого прописан в shell-скрипте
file_yara_*	YaraFileFields	Набор полей, содержащих результаты yara-сканирования файла, прописанного в автозапуск. Добавляется только в том случае, если EDR-правило, на базе которого было сформировано соответствующее событие, вызывает yara-сканирование файлового объекта
cmdline	string	Командная строка, прописанная в задачу	/usr/bin/open
cmdline_fingerprint	string	Хэш AutorunEntryCommandLine, вычисляемый следующим образом: все разделители токенов заменяются на ординарный пробел; правила экранирования токенов командной строки приводятся к единому виду; строка приводится к верхнему регистру; от строки вычисляется MD5 хэш.	F0BAA53D45CBFFA972E5E173C7E75627

AutorunLaunchDaemonFound — инвентаризация LaunchDaemon

Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска демона

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	269
event_type	string	Тип события	AsepInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	AutorunLaunchDaemonFound
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
asep_type	string	Тип автозапуска	LaunchDaemon
asep_file_path	string	Путь к .plist файлу	/Library/LaunchDaemons/com.microsoft.autoupdate.helper.plist
asep_file_*	AsepFileFields	Набор атрибутов файла shell-скрипта
asep_usr_name	string	Имя пользователя, от лица которого осуществляется запуск объекта. Заполняется только если явно задано в соответствующем plist	_timed
asep_group_name	string	Группа пользователя, от лица которого осуществляется запуск объекта. Заполняется только если явно задано в соответствующем plist.	_timed
file_path	string	Путь к файлу, запуск которого прописан в plist	/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper
file_exists	bool	Признак наличия в системе файла по пути file_path	true
file_sig_ident	string	Уникальный идентификатор конфигурационного файла .plist	com.microsoft.autoupdate.helper
file_*	FileFields	Набор атрибутов файла, запуск которого прописан в shell-скрипте
file_yara_*	YaraFileFields	Набор полей, содержащих результаты yara-сканирования файла, прописанного в автозапуск. Добавляется только в том случае, если EDR-правило, на базе которого было сформировано соответствующее событие, вызывает yara-сканирование файлового объекта
cmdline	string	Командная строка, прописанная в задачу	/Library/PrivilegedHelperTools/com.microsoft.autoupdate.helper
cmdline_fingerprint	string	Хэш AutorunEntryCommandLine, вычисляемый следующим образом: все разделители токенов заменяются на ординарный пробел; правила экранирования токенов командной строки приводятся к единому виду; строка приводится к верхнему регистру; от строки вычисляется MD5 хэш.	63727404B276C38F7351316C74C7E7C0

LaunchAgentAdded

Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска агента на хостах с macOS 13 Ventura и выше

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	297
event_type	string	Тип события	LaunchAgentAdded
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	LaunchAgentAdded
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
task_schedule	string	Параметры автозапуска агента в формате json	{\"RunAtLoad\":true}
file_sig_ident	string	Уникальный идентификатор конфигурационного файла .plist.	com.apple.routined

LaunchDaemonAdded

Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска демона на хостах с macOS 13 Ventura и выше

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	298
event_type	string	Тип события	LaunchDaemonAdded
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	LaunchDaemonAdded
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
task_schedule	string	Параметры автозапуска агента в формате json	{\"RunAtLoad\":true}
file_sig_ident	string	Уникальный идентификатор конфигурационного файла .plist.	com.apple.timed

LoginItemAdded

Событие генерируется для каждого обнаруженного .plist конфигурационного файла запуска демона на хостах с macOS 13 Ventura и выше

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	299
event_type	string	Тип события	LoginItemAdded
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	LoginItemAdded
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию

Мониторинг общего состояния системы и агента EDR

HostInfo

Данное событие содержит общую информацию о хосте, с которого выполняется сбор данных.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	420
event_type	string	Тип события	HostInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	EndpointState
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
dev_boot_time	string	Время загрузки хоста в формате ISO 8601	2024-02-27T12:23:57.399
dev_domain	string	Имя присоединенного Active Directory домена хоста	thdomain.loc
dev_os_family	string	Имя дистрибутива ОС	macOS
dev_os_version	string	Версия дистрибутива	12.7
dev_time_zone	string	Часовая зона хоста в формате <sign><hh>:<mm>	+03:00
dev_users	string	Список активных на момент сбора события сессий пользователей в формате uid(name)[,uid(name)...]	1000(admin), 502(user)
sensor_install_time	string	Время установки текущей версии агента EDR в формате ISO 8601	2024-05-31T10:48:55.788
sensor_install_age	number	Количество секунд с момента установки агента EDR до момента формирования события	956770

SensorResourceLimitExceed

Событие содержит информацию о превышении лимита потребления модулем EDR определенного системного ресурса

event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	258
event_type	string	Тип события	SensorResourceLimitExceed
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ResourceLimitExceeded
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
sensor_resource_limit	number	Установленный лимит для определенного типа потребляемого ресурса (CPU, RAM) (Измеряется в процентах и байтах соответственно)	50
sensor_resource_profile_path	string	Путь до сохраняемого диагностического профайла работы EDR при превышении установленных лимитов	/opt/BI.Zone/EDR/dumps/macOS-virtual-machine_2024-03-01-0940_heap
sensor_resource_type	string	Тип потребляемого ресурса	cpu
sensor_resource_usage	number	Текущее значение потребляемого ресурса	49.971386

EDRInfo

Событие генерируется событие содержащее инфомацию о статусе работы провайдеров сбора телеметрии при старте модуля EDR.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	421
event_type	string	Тип события	EDRInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	EDRStatistics
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнивший генерацию события, и использованную конфигурацию
inventory_*	InventoryFields	Набор полей, описывающих параметры группы инвентаризации конфигурационного файла агента, на базе которой был выполнен сбор инвентаризационных данных
sensor_uptime	number	Количество секунд, прошедших с момента старта модуля.	253320
sensor_cfg_last_update	string	Время последнего обновления конфигурации в формате ISO 8601.	2022-03-28T16:43:12.641

Мониторинг состояния троттлинга событий

ThrottlingRollup

Событие генерируется для каждого ключа агрегации и описывает параметры троттлинга, а также количество и состав обработанных событий

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	250
event_type	string	Тип события	EventRollupInfo
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	ThrottlingRollup
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
event_count	number	Количество событий, которые попали под троттлинг	342
*	*	Набор полей, которые пробрасываются из событий определённого правила телеметрии в итоговое событие EventRollupInfo. (Данный набор полей указывается в секции rollupEvent определенного правила телеметрии)

Мониторинг изменения конфигурационного файла и ошибок EDR

SensorConfigChange

Событие генерируется при успешном старте модуля EDR или обновлении конфигурационного файла.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	253
event_type	string	Тип события	SensorConfigChange
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	MessageVersions
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
orig_message	string	Информация о причине отправки события — старт модуля EDR или обновление конфигурационного файла	Configuration loaded successfully
sensor_cfg_sha1	string	SHA1-хеш конфигурации EDR	8D63A305D0448F623F9424969B1A42EB9B65A97F
sensor_cfg_version	string	Версия конфигурации EDR	202310171520
ServiceVersionFull	string	Расширенная версия модуля EDR	0.0.10443(cr-sen-14892-filter-everything/772db2c5) macos/amd64 build Tue 03 Oct 23 13:13 from 772db2c571d4e607498272f810517f1b5e93e6c6
ConfigurationVersion	string	Расширенная версия конфигурации	TH for MacOS ProcessMonitoring 3983-Process_ProcessCreate (from feed 2014f779-bab4-4dad-94a9-9ffd8ce76d0f)

SensorError

Событие генерируется при возникновении ошибки на старте модуля или при обновлении конфигурации EDR.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	255
event_type	string	Тип события	SensorError
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	MessageError
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
orig_message	string	Информация о ошибке	Failed to load config from feed 482d479f-8919-4f8f-8c0e-f90060fd4e32: failed to load config; yaml: unmarshal errors:\n line 4: field olololo not found in type config.Config
event_lvl	string	Уровень логирования	error

Мониторинг состояния инвентаризаций

InventoryStart

Событие генерируется на каждый старт сбора данных инвентаризации.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	251
event_type	string	Тип события	InventoryStart
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	InventoryCollectionStarted
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_task_name	string	Имя группы сбора данных инвентаризация, указанное в конфигурации агента (provider: inventoryNG: eventGroups)	CommandOutput - Execute Inventory
inventory_session_id	number	Поле, однозначно идентифицирующее сессию сбора данных инвентаризации, в рамках которой было получено данное событие. Все события, полученные в рамках одной сессии сбора, будут иметь одинаковое значение inventory_session_id	16962868350000004
inventory_task_type	string	Список событий, собираемых в рамках данной группы инвентаризации, разделенных символом «|»	AutorunCronEntryFound|AutorunBashEntryFound

InventoryFinish

Событие генерируется при каждом завершении сбора данных инвентаризации.

Поле	Тип	Описание	Пример значения
event_id	number	Внутренний номер исходного события агента, на базе которого было сформировано обогащенное итоговое событие	252
event_type	string	Тип события	InventoryFinish
event_type_vendor	string	Внутренний тип исходного события агента, на базе которого было сформировано обогащенное итоговое событие	InventoryCollectionFinished
event_* rule_*	EventFields	Набор полей, описывающих служебные атрибуты события
dev_*	DeviceFields	Набор полей, описывающих хост, с которого было получено событие
sensor_* customer_*	SensorFields	Набор полей, описывающих агента, выполнившего генерацию события, и использованную конфигурацию
inventory_task_name	string	Имя группы сбора данных инвентаризация, указанное в конфигурации агента (provider: inventoryNG: eventGroups)
inventory_session_id	number	Поле, однозначно идентифицирующее сессию сбора данных инвентаризации, в рамках которой было получено данное событие. Все события, полученные в рамках одной сессии сбора, будут иметь одинаковое значение inventory_session_id	16962868350000004
inventory_task_age	number	Потенциальный возраст группы инвентаризации, полученный путем вычисления количества секунд с начала времени сбора данной группы инвентаризации	120
inventory_task_type	string	Список событий, собираемых в рамках данной группы инвентаризации, разделенных символом «|»	AutorunCronEntryFound|AutorunBashEntryFound
inventory_task_start_time	string	Время начала сбора данной группы инвентаризации. Совпадает со временем парного события старта.	2023-09-25T11:08:05.120
inventory_task_entry	number	Общее количество первичных событий, полученных в результате перечисления группы инвентаризации.	25
inventory_task_entry_added	number	Количество событий в данном сборе, имеющих значение inventory_op_type == "Added".	0
inventory_task_entry_deleted	number	Количество событий в данном сборе, имеющих значение inventory_op_type == "Deleted".	0
inventory_task_entry_modified	number	Количество событий в данном сборе, имеющих значение inventory_op_type == "Modified"	0
inventory_task_entry_count	number	Количество событий в данном сборе, имеющих значение inventory_op_type == "Snapshot"	25

События обнаружения угроз

Модуль EDR обрабатывает итоговый поток телеметрии и осуществляет проверку этих событий правилами выявления угроз. В случае срабатывания правила дополнительно генерируется алерт (событие обнаружения угрозы) или рекомендация безопасности в зависимости от типа обнаруженной угрозы. В таком событии будут добавлены поля alert_*. А также будут присутствовать все базовые поля события, на базе которого был сгенерирован алерт.

Поле	Тип	Описание	Пример значения
alert_*	AlertFields	Набор полей, описывающих alert сработавшее правило на какое-то события телеметрии