Универсальная модель событий

Универсальная модель событий предназначена для хранения информации о событиях в едином, универсальном, виде. Универсальная модель позволяет приводить поступающие в систему базовые события к унифицированному формату с единым набором полей.

Разложение данных базовых событий по полям универсальной модели происходит в ходе процесса нормализации, выполняющегося при работе конвейера обработки событий.

Универсальная модель событий является встроенной моделью и недоступна для изменения или удаления. Она отображается в разделе Ресурсы → Модели событий.

При необходимости вы можете создать собственную (пользовательскую) модель событий с требуемым набором полей.

Никакое поле универсальной модели событий не может хранить в себе дополнительное значение типа null. Чтобы хранить такое значение, требуется создать собственную модель событий и добавить в нее поле с установленным переключателем Может быть null.

Поля универсальной модели разделяются на следующие группы:

служебные поля;
регулярные поля;
регулярные настраиваемые поля;
поля активов.

Служебные поля

Служебные поля — обязательные поля модели событий, создаваемые системой автоматически. Служебные поля образуют минимальный набор полей, необходимый для получения, хранения, анализа, обработки и отправки событий.

Служебные поля по умолчанию содержатся во всех моделях событий и не могут быть изменены или удалены.

Table 1. Служебные поля универсальной модели событий
Ключ поля	Тип данных	Заполняется системой по умолчанию	Описание
`id`	UUID	Да	Уникальный идентификатор события. Генерируется коллектором после нормализации.
`sourceIp`	IPv6	Нет	IP-адрес источника, от которого получено базовое событие.
`tenantId`	LCString	Да	Идентификатор тенанта.
`art`	DateTime	Нет	Дата и время получения события системой-источником или агентом.
`raw`	String	Нет	Текст базового (сырого) события.
`collectorId`	LCString	Да	Идентификатор коллектора, получившего событие.
`timestamp`	DateTime	Да	Дата и время получения события коллектором.
`aggregationRuleName`	LCString	Нет	Название правила агрегации, обработавшего событие.
`aggregationRuleId`	LCString	Нет	Идентификатор правила агрегации, обработавшего событие.
`type`	Enum	Нет	Тип события. Возможные значения: -1 — не указано; 0 — базовое событие; 1 — нормализованное событие; 2 — агрегированное событие; 3 — корреляционное событие; 4 — событие аудита.
`cnt`	UInt32	Нет	Количество базовых событий, на основе которых создано агрегированное событие.
`correlationRuleName`	LCString	Нет	Имя правила корреляции, на основе которого создано корреляционное событие.
`correlationRuleId`	LCString	Нет	Идентификатор правила корреляции, на основе которого создано корреляционное событие.
`baseEventIds`	Массив UUID	Нет	Список идентификаторов базовых событий, на основе которых создано агрегированное или корреляционное событие.
`baseEventTimestamps`	Массив DateTime	Нет	Список дат и времен получения базовых событий на коллектор, на основе которых создано агрегированное или корреляционное событие. Используется для идентификации событий, связанных с корреляционным или агрегированным событием.
`groupedBy`	Массив LCString	Нет	Список полей модели событий, по которому группируются события.
`correlationSeverity`	Enum	Нет	Уровень угрозы корреляционного события. Возможные значения: -1 — не указано; 1 — низкий; 2 — средний; 3 — высокий; 4 — критический.

Регулярные поля

Регулярные поля — дополнительные поля модели событий, не являющиеся обязательными. В пользовательских моделях событий регулярными полями являются все поля, добавленные пользователем при создании или редактировании модели.

В отличие от служебных полей, набор регулярных полей не является универсальным и может изменяться от модели к модели.

Table 2. Регулярные поля универсальной модели событий
Ключ поля	Тип данных	Описание
`aid`	LCString	Идентификатор агента, от которого получено событие.
`at`	LCString	Тип агента, от которого получено событие. Например: "Endpoint".
`av`	LCString	Версия агента, от которого получено событие.
`dvendor`	LCString	Название производителя источника журнала. Значение берется из базового события.
`dproduct`	LCString	Название продукта из источника журнала. Значение берется из базового события.
`dversion`	LCString	Версия продукта из источника журнала Значение берется из базового события.
`deviceEventClassId`	LCString	Идентификатор типа события из источника журнала. Некоторые источники журнала определяют категорию событий.
`name`	String	Название события. Значение берется из базового события.
`severity`	LCString	Уровень важности события. Значение берется из базового события.
`act`	LCString	Действие, которое предпринято устройством. Например: `blocked`, `detected`.
`app`	LCString	Протокол уровня приложений. Например: HTTP, HTTPS, Telnet.
`cat`	LCString	Категория базового события. Устройства часто используют собственную схему категоризации для классификации событий.
`destinationDnsDomain`	LCString	DNS-часть полного доменного имени (FQDN) точки назначения, если базовое событие содержит сведения об отправителе и получателе данных.
`destinationServiceName`	LCString	Название сервиса на принимающей стороне. Например: "sshd". Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`destinationTranslatedAddress`	IPv6	IP-адрес устройства, принимающего трафик (после трансляции). Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`destinationTranslatedPort`	UInt16	Номер порта на устройстве приемника трафика (после трансляции адреса приемника). Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`deviceDirection`	Enum	Направление соединения из базового события. Значения: -1 — не указано; 0 –- входящее соединение; 1 –- исходящее соединение.
`deviceDnsDomain`	LCString	DNS-часть полного доменного имени (FQDN) IP-адреса устройства, с которого пришло базовое событие.
`deviceExternalId`	LCString	Внешний идентификатор устройства. Значение при его наличии берется из базового события.
`deviceFacility`	LCString	Значение параметра Facility. Значение при его наличии берется из базового события. Например: в Syslog в параметре Facility может передаваться название компоненты ОС, в которой произошла ошибка.
`deviceInboundInterface`	LCString	Название интерфейса входящего соединения.
`deviceNtDomain`	LCString	Доменное имя Windows-устройства.
`deviceOutboundInterface`	LCString	Название интерфейса исходящего соединения.
`devicePayloadId`	String	Идентификатор полезной нагрузки, который ассоциирован с базовым событием.
`deviceProcessName`	LCString	Название процесса. Значение берется из базового события.
`deviceTranslatedAddress`	IPv6	Ретранслированный IP-адрес устройства, с которого пришло базовое событие.
`dhost`	LCString	Название хоста, принимающего трафик. Полное доменное имя (FQDN) приемника трафика, если доступно. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dmac`	MAC	MAC-адрес устройства, принимающего трафик. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dntdom`	LCString	Доменное имя Windows-устройства, принимающего трафик. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dpid`	UInt64	Идентификатор системного процесса, ассоциированного с приемником трафика в базовом событии. Например: если в событии указано `Process ID 105`, то `destinationProcessId=105`. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dpriv`	String	Названия security-ролей, которые определяют пользовательские привилегии на стороне точки назначения. Например: "User", "Guest", "Administrator". Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dproc`	LCString	Название системного процесса в точке назначения. Например: "sshd", "telnet". Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dpt`	Uint16	Номер порта на стороне точки назначения. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dst`	IPv6	IPv6-адрес точки назначения. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dtz`	LCString	Часовой пояс устройства, на котором сгенерировано событие.
`duid`	LCString	Идентификатор пользователя на стороне точки назначения. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`duser`	LCString	Имя пользователя на стороне точки назначения. Может содержать адрес электронной почты пользователя. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`dvc`	IPv6	IPv6-адрес устройства, с которого получено событие.
`dvchost`	LCString	Название хоста устройства, с которого получено событие. Полное доменное имя (FQDN) устройства, если доступно.
`dvcmac`	MAC	MAC-адрес устройства, с которого получено событие.
`dvcpid`	UInt64	Идентификатор системного процесса устройства, сгенерировавшего событие.
`endTime`	DateTime	Дата и время завершения действия. Значение берется из базового события.
`externalId`	LCString	Идентификатор устройства, сгенерировавшего событие.
`fileCreateTime`	DateTime	Дата и время создания файла. Значение берется из базового события.
`fileHash`	String	Хеш-код файла.
`fileId`	LCString	Идентификатор файла.
`fileModificationTime`	DateTime	Дата и время последнего изменения файла.
`filePath`	String	Путь к файлу (с указанием имени файла).
`filePermission`	String	Список разрешений к файлу.
`fileType`	LCString	Тип файла. Например: application, pipe, socket.
`fname`	String	Имя файла (без указания пути к файлу).
`fsize`	UInt64	Размер файла.
`bytesIn`	UInt64	Количество байтов, полученных из источника и переданных получателю. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`msg`	String	Краткое описание ошибки (проблемы) из события.
`oldFileCreateTime`	DateTime	Дата и время создания OLD-файла из события.
`oldFileHash`	String	Хеш-код OLD-файла.
`oldFileId`	LCString	Идентификатор OLD-файла (при наличии).
`oldFileModificationTime`	DateTime	Дата и время последнего изменения OLD-файла.
`oldFileName`	String	Имя OLD-файла (без указания пути к файлу).
`oldFilePath`	String	Путь к OLD-файлу (с указанием имени файла).
`oldFilePermission`	String	Список разрешений к OLD-файлу.
`oldFileSize`	UInt64	Размер OLD-файла.
`oldFileType`	LCString	Тип OLD-файла. Например: application, pipe, socket.
`bytesOut`	UInt64	Количество отправленных байтов. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`outcome`	LCString	Результат выполнения действия `act` на устройстве.
`proto`	LCString	Название протокола 4-уровня OSI. Например: TCP, UDP.
`reason`	String	Причина появления события. Например: "bad password" или "unknown user". Также может содержать ошибку или код. Например: “0x1234”
`request`	String	Запрошенный URL-адрес.
`requestClientApplication`	String	Агент, который обработал запрос `request`.
`requestContext`	String	Описание контекста запроса.
`requestCookies`	String	Файлы cookie, связанные с запросом.
`requestMethod`	LCString	Метод, который использовался для доступа к веб-адресу. Например: POST, GET.
`rt`	DateTime	Дата и время получения устройством сведений о наблюдаемом событии.
`shost`	LCString	Название хоста источника трафика. Полное доменное имя (FQDN) источника трафика, если доступно. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`smac`	MAC	MAC-адрес устройства источника трафика. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`sntdom`	LCString	Доменное имя Windows-устройства источника трафика. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`sourceDnsDomain`	LCString	DNS-часть полного доменного имени (FQDN) Windows-устройства источника трафика. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`sourceServiceName`	LCString	Название сервиса на стороне источника трафика. Например: "sshd". Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`sourceTranslatedAddress`	IPv6	IPv6-адрес перехода источника. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`sourceTranslatedPort`	UInt16	Номер порта перехода на стороне источника. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`spid`	UInt64	Идентификатор системного процесса, ассоциированного с источником трафика в базовом событии. Например: если в событии указано `Process ID 105`, то `SourceProcessId=105`. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`spriv`	String	Названия security-ролей, которые определяют пользовательские привилегии на стороне источника. Например: "User", "Guest", "Administrator". Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`sproc`	String	Название системного процесса на стороне источника. Например: "sshd", "telnet". Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`spt`	UInt16	Номер порта на стороне источника. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`src`	IPv6	IPv6-адрес источника. Используется для обработки логов сетевого трафика, где необходимо отличать источник и точку назначения.
`startTime`	DateTime	Дата и время начала действия.
`suid`	LCString	Идентификатор пользователя на стороне источника.
`suser`	LCString	Имя пользователя на стороне источника. Может содержать адрес электронной почты пользователя.
`logonType`	String	Тип входа.
`sourceSessionId`	String	Идентификатор сессии источника события.
`targetSessionId`	String	Идентификатор целевой сессии события.
`cmd`	String	Команда в командной строке.
`logonProcessName`	LCString	Имя процесса авторизации.
`authPackageName`	LCString	Имя пакета авторизации.
`objType`	LCString	Тип объекта действия.
`objName`	String	Имя объекта действия.
`objPath`	String	Путь к объекту действия.
`accessMask`	LCString	Запрошенная маска доступа.
`accessList`	LCString	Список запрошенных прав доступа.
`accesses`	LCString	Запрошенные права доступа в читаемом формате.
`dGroup`	LCString	Имя целевой группы SID (объекта) действия.
`dGroupDom`	LCString	Имя домена целевой группы SID (объекта) действия.

Регулярные настраиваемые поля

Регулярные настраиваемые поля — это особый тип регулярных полей в универсальной модели событий, который не привязан к какому-то конкретному способу применения. Эти поля позволяют хранить в модели событий данные того или иного типа, не предусмотренные заранее прочими полями модели.

Пример:

В событии передается адрес электронной почты пользователя, совершившего подозрительное действие. По умолчанию в универсальной модели событий для хранения электронной почты нет специальных полей. В таком случае можно воспользоваться регулярными настраиваемыми полями. Данные об адресе электронной почты можно записать в поле cs1, а в поле cs1Label указать предназначение поля cs1, например "E-mail пользователя".

Table 3. Регулярные настраиваемые поля универсальной модели событий
Ключ поля	Тип данных	Описание
`cn1`	UInt64	Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому полю модели события.
`cn1Label`	LCString	Поле, хранящее название для `cn1`.
`cn2`	UInt64	Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому полю модели события.
`cn2Label`	LCString	Поле, хранящее название для `cn2`.
`cn3`	UInt64	Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому полю модели события.
`cn3Label`	LCString	Поле, хранящее название для `cn3`.
`cn4`	UInt64	Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому полю модели события.
`cn4Label`	LCString	Поле, хранящее название для `cn4`.
`cn5`	UInt64	Поле для маппинга целочисленного значения, которое не может быть сопоставлено любому другому полю модели события.
`cn5Label`	LCString	Поле, хранящее название для `cn5`.
`cs1`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs1Label`	LCString	Поле, хранящее название для `cs1`.
`cs2`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs2Label`	LCString	Поле, хранящее название для `cs2`.
`cs3`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs3Label`	LCString	Поле, хранящее название для `cs3`.
`cs4`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs4Label`	LCString	Поле, хранящее название для `cs4`.
`cs5`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs5Label`	LCString	Поле, хранящее название для `cs5`.
`cs6`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs6Label`	LCString	Поле, хранящее название для `cs6`.
`cs7`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs7Label`	LCString	Поле, хранящее название для `cs7`.
`cs8`	String	Поле для маппинга строкового значения, которое не может быть сопоставлено любому другому полю модели события.
`cs8Label`	LCString	Поле, хранящее название для `cs8`.
`deviceCustomDate1`	DateTime	Поле для маппинга значения даты и времени, которое не может быть сопоставлено любому другому полю модели события.
`deviceCustomDate1Label`	LCString	Поле, хранящее название для `deviceCustomDate1`.
`deviceCustomDate2`	DateTime	Поле для маппинга значения даты и времени, которое не может быть сопоставлено любому другому полю модели события.
`deviceCustomDate2Label`	LCString	Поле, хранящее название для `deviceCustomDate2`.
`deviceCustomDate3`	DateTime	Поле для маппинга значения даты и времени, которое не может быть сопоставлено любому другому полю модели события.
`deviceCustomDate3Label`	LCString	Поле, хранящее название для `deviceCustomDate3`.
`c6a1`	IPv6	Поле для маппинга значения IPv6 (или IPv4 в нотации IPv6), которое не может быть сопоставлено любому другому полю модели события.
`c6a1Label`	LCString	Поле, хранящее название для `c6a1`.
`c6a2`	IPv6	Поле для маппинга значения IPv6 (или IPv4 в нотации IPv6), которое не может быть сопоставлено любому другому полю модели события.
`c6a2Label`	LCString	Поле, хранящее название для `c6a2`.
`c6a3`	IPv6	Поле для маппинга значения IPv6 (или IPv4 в нотации IPv6), которое не может быть сопоставлено любому другому полю модели события.
`c6a3Label`	LCString	Поле, хранящее название для `c6a3`.
`c6a4`	IPv6	Поле для маппинга значения IPv6 (или IPv4 в нотации IPv6), которое не может быть сопоставлено любому другому полю модели события.
`c6a4Label`	LCString	Поле, хранящее название для `c6a4`.

Поля активов

Поля активов — это особый тип регулярных полей, позволяющий хранить сведения об активах организации. Активы представляют собой ресурсы организации, используемые в ее IT-инфраструктуре: например, оборудование, персонал.

Table 4. Поля активов универсальной модели событий
Ключ поля	Тип данных	Описание
`sourcePersonID`	LCString	Уникальный идентификатор пользователя на стороне источника.
`sourcePersonFullName`	LCString	ФИО пользователя на стороне источника.
`sourcePersonPosition`	LCString	Должность пользователя на стороне источника.
`sourcePersonUserName`	LCString	Учетная запись пользователя на стороне источника. Может содержать несколько значений.
`sourceDeviceID`	LCString	Уникальный идентификатор оборудования на стороне источника.
`sourceDeviceName`	LCString	Название оборудования на стороне источника.
`sourceDeviceIPAddress`	IPv6	IP-адрес оборудования на стороне источника.
`sourceDeviceOS`	LCString	Операционная система оборудования на стороне источника.
`sourceDeviceOwner`	LCString	Владелец оборудования на стороне источника.
`targetPersonID`	LCString	Уникальный идентификатор пользователя на стороне точки назначения.
`targetPersonFullName`	LCString	ФИО пользователя на стороне точки назначения.
`targetPersonPosition`	LCString	Должность пользователя на стороне точки назначения.
`targetPersonUserName`	LCString	Учетная запись пользователя на стороне точки назначения. Может содержать несколько значений.
`targetDeviceID`	LCString	Уникальный идентификатор оборудования на стороне точки назначения.
`targetDeviceName`	LCString	Название оборудования на стороне точки назначения.
`targetDeviceIPAddress`	IPv6	IP-адрес оборудования на стороне точки назначения.
`targetDeviceOS`	LCString	Операционная система оборудования на стороне точки назначения.
`targetDeviceOwner`	LCString	Владелец оборудования на стороне точки назначения.