Журналы управления клиентом: журнал безопасности

В журнале безопасности сохраняются сведения о подозрительных операциях, таких как сканирование портов, вирусные атаки и атаки типа "отказ в обслуживании". Журнал безопасности - это самый важный журнал клиента.

В журнале безопасности можно выполнить следующие задачи.

Табл.: Столбцы журнала безопасности

Столбец

Описание

Дата и время

Дата и время регистрации события в журнале.

Тип события

Тип предупреждения системы безопасности, например атака типа "отказ в обслуживании", исполняемый файл или вирусная атака.

Серьезность

Уровень серьезности атаки. Предусмотрены следующие варианты.

  • Критический

  • Существенный

  • Несущественный

  • Информация

Направление

Направление передачи трафика относительно компьютера клиента.

  • Входящий

    Большинство атак находятся во входящем трафике, так как они запускаются с другого компьютера.

  • Исходящий

    Такие атаки, как троянские компоненты, считаются исходящими, так как они предварительно загружаются на локальный компьютер и уже присутствуют.

  • Неизвестный

    Трафик, блокированный или удаленный функцией активного ответа или в результате изменения исполняемого файла приложения.

Протокол

Тип протокола. Например, UDP, TCP или ICMP.

Удаленный или исходный хост

Хост в текущем виде. Могут быть показаны следующие поля.

  • Удаленный хост (локальный вид)

    IP-адрес удаленного компьютера.

  • Исходный хост (исходный вид)

    IP-адрес исходного компьютера.

Удаленный порт

Номер порта TCP или UDP, тип ICMP или код удаленного компьютера.

Удаленный или исходный MAC-адрес

MAC-адрес в текущем виде. Могут быть показаны следующие поля.

  • Удаленный MAC-адрес (локальный вид)

    MAC-адрес удаленного компьютера. Если адрес находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора.

  • Исходный MAC-адрес (исходный вид)

    MAC-адрес исходного компьютера.

Локальный или целевой хост

Хост в текущем виде. Могут быть показаны следующие поля.

  • Локальный хост (локальный вид)

    IP-адрес локального компьютера

  • Целевой хост (исходный вид)

    IP-адрес целевого компьютера.

Локальный порт

Номер порта TCP или UDP, тип ICMP или код локального компьютера.

Локальный MAC-адрес или целевой MAC-адрес

MAC-адрес в текущем виде. Могут быть показаны следующие поля.

  • Локальный MAC-адрес (локальный вид)

    MAC-адрес локального компьютера.

  • Целевой MAC-адрес (исходный вид)

    MAC-адрес целевого компьютера.

Приложение

Имя приложения, связанного с атакой.

ИД сигнатуры

ИД сигнатуры по предотвращению вторжений, которую активировала атака. ИД сигнатуры можно использовать для поиска сигнатуры в интерактивном режиме.

Подчиненный ИД сигнатуры

Подчиненный ИД сигнатуры по предотвращению вторжений, которую активировала атака.

Имя сигнатуры

Имя сигнатуры, которую активировала атака.

URL-адрес источника вторжения

URL-адрес, связанный с атакой браузера.

URL-адрес перенаправления

URL-адрес, на который атака перенаправила браузер.

Пользователь

Пользователь или компьютер, которые отправили или получили трафик.

Домен пользователя

Имя домена сервера, в котором зарегистрирован клиент.

Расположение

Расположение, применявшееся в момент атаки.

Например: офис, дом или VPN.

Экземпляры

Количество случаев использования метода атаки.

Начальное время

Время начала атаки.

Конечное время

Время завершения атаки.