Поддержка формата CEF

Центральный Пульт поддерживает отправку сообщений ИБ в формате CEF.

При отправке сообщений в таком формате, сообщение имеет следующий вид:

CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension

, где:

Version — версия формата CEF. Центральный Пульт использует версию 0.
Device Vendor – ROSSINNO
Device Product – SAYMON
Device Version – версия Центрального Пульта.
Signature ID — уникальный идентификатор типа события.
Name — название события.
Severity — критичность события.
Extension - дополнительная информация о событии.

Поля Extension

В поле Extension передаются следующие поля:

Идентификационные

dproc – текст saymon-server | auth.log
suser – субъект действия
src – IP-адрес субъекта
shost – DNS-имя субъекта
dst – IP-адрес saymon-server
dhost – DNS-имя saymon-server

Результат действия

outcome - текст Failure | Success
msg - подробная информация по деталям действия в формате JSON

Опциональные поля

В таблице перечислены опциональные поля для конкретных событий классов.

Поле Описание События

Поле	Описание	События
`cn1`	Идентификатор сессии	AAA,AAC,AAF,AAK,AAE,AAO
`cn3`	Число `3`	AAA,AAC,AAF,AAK,AAE,AAO
`fname`	Идентификатор объекта	OCA,OCD,OCH
`duser`	Логин пользователя, над которым производится действие	CUA,CUP,CUD,PAR
`reason`	Причина ошибки	События из канала `faults`
`cs1`	Текст пароля	PCH,PAR

cn1

Идентификатор сессии

AAA,AAC,AAF,AAK,AAE,AAO

cn3

Число 3

AAA,AAC,AAF,AAK,AAE,AAO

fname

Идентификатор объекта

OCA,OCD,OCH

duser

Логин пользователя, над которым производится действие

CUA,CUP,CUD,PAR

reason

Причина ошибки

События из канала faults

cs1

Текст пароля

PCH,PAR

Примеры

Примеры сообщений в формате CEF.

Выход из терминала на сервере Центрального Пульта:

CEF:0|ROSSINNO|SAYMON|3.12.86|AA-CLI|CRON|6|dproc=auth.log end=1709205421000 msg="pam_unix(cron:session): session closed for user root"

Вход через веб-интерфейс Центрального Пульта:

CEF:0|ROSSINNO|SAYMON|3.12.86|AAA|Session is opened|3|dproc=saymon-server end=1709194963050 outcome=Success suser= src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2 cn1=23e57682f98e0cebe1b1979e6c0b71a9 cn3=3  msg={"startTime":1709194963011,"expiredAt":1709198563011,"userId":"5e4cd4668f7a9c6f9a128e16","login":"admin","sessionId":"23e57682f98e0cebe1b1979e6c0b71a9"}

Добавление нового объекта:

CEF:0|ROSSINNO|SAYMON|3.12.86|OCA|Adding an object|3|dproc=saymon-server end=1709194977890 outcome=Success suser=admin src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2 fname=65e03ee10b298625a3a9fae1  msg={"entityType":"Object","entityId":"65e03ee10b298625a3a9fae1","kind":"Object"}

Удаление объекта:

CEF:0|ROSSINNO|SAYMON|3.12.86|OCD|Deleting an object|8|dproc=saymon-server end=1709195003861 outcome=Success suser=admin src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2 fname=65e03ee10b298625a3a9fae1  msg={"entityType":"Object","entityId":"65e03ee10b298625a3a9fae1","kind":"Object"}

Изменение прав пользователя:

CEF:0|ROSSINNO|SAYMON|3.12.86|CPU|Change user permissions|3|dproc=saymon-server end=1709195023216 outcome=Success suser=admin src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2  msg={"entityType":"User","entityId":"65a527d3679b6d24f8fce0d1","changes":{"permissions":["read-security-log"]},"action":"user props changing","details":{"login":"dgu_user"}}

Сброс пароля пользователя администратором:

CEF:0|ROSSINNO|SAYMON|3.12.86|PAR|Reset user password by admin|3|dproc=saymon-server end=1709195040369 outcome=Success suser=admin src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2 duser=dgu_user cs1=Password  msg={"entityType":"User","entityId":"65a527d3679b6d24f8fce0d1","changes":{"changePasswordOnNextLogin":true},"action":"user props changing","details":{"login":"dgu_user"}}

Ошибка при аутентификации:

CEF:0|ROSSINNO|SAYMON|3.12.86|AAF|Authorization error|8|dproc=saymon-server end=1709195078104 outcome=Failure suser= src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2 cn3=3 reason="User not found"  msg={"remoteAddress":"10.0.2.2","login":"badUser","message":"User not found"}

Требование изменить пароль при входе:

CEF:0|ROSSINNO|SAYMON|3.12.86|AAF|Authorization error|8|dproc=saymon-server end=1709195096722 outcome=Failure suser=dgu_user src=10.0.2.2 shost=_gateway dst=127.0.0.1 dhost=127.0.0.2 cn3=3 reason="Password change is required."  msg={"errorCode":31,"message":"Password change is required."}

Изменение пароля пользователем:

CEF:0|ROSSINNO|SAYMON|3.12.86|PCH|Password change by user|3|dproc=saymon-server end=1709195114624 outcome=Success suser=dgu_user src= shost= dst= dhost= cs1=Password  msg={"entityType":"User","entityId":"65a527d3679b6d24f8fce0d1","changes":{"passwordHash":"**","changePasswordOnNextLogin":false},"action":"user props changing","details":{"login":"dgu_user"}}