Универсальная модель события 2.0

Универсальная модель события 2.0 предназначена для хранения информации о событиях в едином универсальном виде. Универсальная модель позволяет приводить поступающие в систему базовые события к унифицированному формату с единым набором полей.

Универсальная модель 2.0 представляет собой развитие предыдущей универсальной модели со следующими целями:

Повысить консистентность заполнения полей, чтобы упростить интерпретацию событий.
Упростить разработку правил нормализации.
Сделать работу с карточкой события более удобной для аналитика.

Поддержка предыдущей универсальной модели будет прекращена в ближайших версиях системы. При создании новых моделей и хранилищ событий рекомендуется использовать универсальную модель 2.0.

Разложение данных базовых событий по полям универсальной модели происходит в ходе процесса нормализации, выполняющегося при работе конвейера обработки событий.

Универсальная модель 2.0 является встроенной моделью и недоступна для изменения или удаления. Она отображается в разделе Ресурсы → Модели событий.

При необходимости вы можете создать собственную (пользовательскую) модель события с требуемым набором полей.

Никакое поле универсальной модели события не может хранить в себе дополнительное значение типа null. Чтобы хранить такое значение, требуется создать собственную модель события и добавить в нее поле с установленным переключателем Может быть null.

Поля универсальной модели разделяются на следующие группы:

Служебные поля
Регулярные поля
Регулярные настраиваемые поля

Служебные поля

Служебные поля — обязательные поля модели события, создаваемые системой автоматически. Служебные поля образуют минимальный набор полей, необходимый для получения, хранения, анализа, обработки и отправки событий.

Служебные поля по умолчанию содержатся во всех моделях событий и не могут быть изменены или удалены.

Признак Заполняется системой по умолчанию означает, что можно всегда ожидать, что поле будет заполнено системой.

Таблица 1. Служебные поля универсальной модели события
Ключ поля	Тип данных	Заполняется системой по умолчанию	Описание
`id`	UUID	Да	Уникальный идентификатор события. Генерируется коллектором после нормализации.
`sourceIp`	IPv6	Нет	IP-адрес источника, от которого получено базовое событие.
`tenantId`	UUID	Да	Идентификатор тенанта.
`art`	DateTime	Нет	Дата и время формирования события на агенте в формате ISO 8601 (UTC).
`timestamp`	DateTime	Да	Дата и время получения события коллектором (UTC).
`raw`	String	Нет	Текст базового (сырого) события.
`collectorId`	LCString	Да	Идентификатор коллектора, обработавшего событие.
`aggregationRuleName`	LCString	Нет	Название правила агрегации, обработавшего событие.
`aggregationRuleId`	LCString	Нет	Идентификатор правила агрегации, обработавшего событие.
`cnt`	UInt32	Нет	Количество исходных событий, агрегированных в данном событии.
`type`	Enum	Нет	Тип события. Возможные значения: -1 — не указано; 0 — базовое событие; 1 — нормализованное событие; 2 — агрегированное событие; 3 — корреляционное событие; 4 — событие аудита.
`correlationRuleName`	LCString	Нет	Название правила корреляции, на основе которого создано корреляционное событие.
`correlationRuleId`	LCString	Нет	Идентификатор правила корреляции, на основе которого создано корреляционное событие.
`baseEventIds`	Массив LCString	Нет	Список идентификаторов нормализованных событий, на основе которых создано агрегированное или корреляционное событие.
`baseEventTimestamps`	Массив DateTime	Нет	Список дат и времен получения базовых событий в коллекторе, на основе которых создано агрегированное или корреляционное событие.
`groupedBy`	Массив LCString	Нет	Список полей модели события, по которому группируются события.
`correlationSeverity`	Enum	Нет	Уровень критичности корреляционного события. Определяет степень опасности инцидента и приоритет реагирования. Возможные значения: -1 — не указано; 1 — низкий; 2 — средний; 3 — высокий; 4 — критический.

Регулярные поля

Регулярные поля — дополнительные поля модели события, не являющиеся обязательными. В пользовательских моделях событий регулярными полями являются все поля, добавленные пользователем при создании или редактировании модели.

В отличие от служебных полей, набор регулярных полей не является универсальным и может изменяться от модели к модели.

Ключ поля Тип данных Описание

device_time

DateTime

Метка времени события по системным часам устройства в формате ISO 8601 (UTC).

device_timezone

LCString

Часовой пояс устройства в момент генерации события.

description

String

Описание события, содержащее ключевые контекстные данные, такие как:

инициатор действия;
целевой объект;
результат операции;
дополнительные параметры.

category

LCString

Основная категория события, определяющая его принадлежность к высокоуровневой группе.

category_sub

LCString

Подкатегория события, детализирующая его в рамках основной категории. Позволяет проводить более точный анализ и поиск событий.

action

Enum

Тип операции, которая была зафиксирована в событии. Используется для классификации событий и определения их семантики в контексте безопасности.

Возможные значения перечислены в разделе Типы операций в событии.

outcome

Enum

Результат выполнения операции в стандартизированном виде.

Возможные значения:

1 — успех;
2 — неудача;
3 — попытка;
4 — операция выполняется;
5 — результат неизвестен;
6 — операция выполнена частично.

focus

Enum

Фокус внимания, которое требует событие (уровень актуальности для аналитика).

Возможные значения:

1 — низкий;
2 — средний;
3 — высокий;
4 — критический;
5 — неизвестный.

name

LCString

Краткое наименование события.

device_class

LCString

Класс устройства, определяющий его тип и функциональное назначение в инфраструктуре.

device_vendor

LCString

Производитель устройства или ПО, с которого получено событие.

device_product

LCString

Название продукта или модели устройства, с которого получено событие.

device_version

LCString

Версия продукта или ПО устройства, с которого получено событие.

device_action

LCString

Действие, которое предпринято устройством.

device_outcome

LCString

Результат выполнения операции из события.

device_severity

LCString

Уровень важности события. Значение берется из базового события.

Например: low, medium, high, critical.

device_event_category

LCString

Класс базового события, определенный в самом событии.

device_event_class

LCString

Класс (категория) события. Некоторые источники событий определяют их категорию.

device_event_code

LCString

Код события, полученный от устройства.

Например, код ошибки.

device_event_id

LCString

Уникальный идентификатор сообщения в системе устройства.

device_message

String

Сообщение от устройства.

device_reason

LCString

Причина появления события. Может содержать ошибку или код.

Например, invalid_signature или 0x1234.

device_hostname

LCString

Имя устройства без доменного суффикса.

device_ip

IPv6

Основной IP-адрес устройства, IPv4 или IPv6.

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

device_domain

LCString

Доменное имя устройства.

device_fqdn

LCString

Полное доменное имя устройства.

device_mac

MAC

MAC-адрес основного сетевого интерфейса устройства.

device_direction

Enum

Направление сетевого взаимодействия из базового события.

Возможные значения:

-1 — не указано;
0 — входящее соединение;
1 — исходящее соединение.

device_interface_in

LCString

Имя сетевого интерфейса для входящего трафика.

device_interface_out

LCString

Имя сетевого интерфейса для исходящего трафика.

device_nat_ip

IPv6

IP-адрес устройства после трансляции (NAT).

device_nat_port

UInt16

Преобразованный порт источника после NAT для устройства.

protocol

LCString

Используемый сетевой протокол.

Например: TCP, UDP, ICMP, HTTP.

count_bytes_in

UInt32

Объем входящего сетевого трафика в байтах, связанного с событием. Может быть использован для:

анализа сетевой активности;
выявления аномальных объемов трафика;
расчета коэффициентов входящей и исходящей нагрузки.

count_bytes_out

UInt32

Объем исходящего сетевого трафика в байтах, связанного с событием. Может быть использован для:

мониторинга исходящих соединений;
обнаружения утечек данных;
балансировки сетевой нагрузки.

agent_id

LCString

Идентификатор агента, от которого получено событие.

agent_hostname

LCString

Имя хоста агента, от которого получено событие.

agent_ip

LCString

IP-адрес агента, от которого получено событие.

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

agent_name

LCString

Имя агента, от которого получено событие.

agent_type

LCString

Тип агента, от которого получено событие.

agent_version

LCString

Версия агента, от которого получено событие.

src_hostname

LCString

Имя исходного хоста без доменного суффикса.

src_ip

IPv6

IP-адрес исходного узла, IPv4 или IPv6.

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

src_port

UInt16

Номер порта исходного узла.

src_domain

LCString

Доменное имя исходного узла без поддоменов.

src_fqdn

LCString

Полное доменное имя исходного узла.

src_mac

MAC

MAC-адрес исходного сетевого интерфейса.

src_nat_ip

IPv6

Преобразованный IP-адрес исходного узла после NAT.

src_nat_port

UInt16

Преобразованный номер порта исходного узла после NAT.

src_geo_city

LCString

Город расположения исходного узла. Определяется по IP-адресу.

src_geo_country

LCString

Двухбуквенный код страны исходного узла согласно стандарту ISO 3166-1 alpha-2.

src_process_id

UInt64

Идентификатор (PID) исходного процесса.

src_process_name

LCString

Имя исполняемого файла исходного процесса.

src_process_cmdline

String

Команда запуска исходного процесса в командной строке.

src_process_cwd

String

Рабочая директория исходного процесса.

src_process_parent_path_full

String

Полный абсолютный путь к исполняемому файлу родительского процесса.

src_process_path

String

Путь к исполняемому файлу исходного процесса.

src_process_path_full

String

Полный путь к исполняемому файлу исходного процесса.

src_process_guid

UUID

Глобально уникальный идентификатор (GUID) исходного процесса.

src_process_hash_imphash

LCString

Импорт-хэш (IMPHASH) исполняемого файла исходного процесса.

src_process_hash_md5

LCString

Хэш MD5 исполняемого файла исходного процесса.

src_process_hash_sha

LCString

Хэш SHA-1 исполняемого файла исходного процесса.

src_process_hash_sha256

LCString

Хэш SHA-256 исполняемого файла исходного процесса.

src_process_hash_sha512

LCString

Хэш SHA-512 исполняемого файла исходного процесса.

src_process_parent_id

UInt64

Идентификатор родительского процесса (PPID) для исходного процесса.

src_process_parent_name

String

Имя исполняемого файла родительского процесса для исходного процесса.

src_process_parent_cmdline

String

Команда запуска родительского процесса для исходного процесса в командной строке.

src_process_parent_path

String

Путь к каталогу исполняемого файла родительского процесса, без имени файла.

src_process_parent_guid

UUID

Глобально уникальный идентификатор (GUID) родительского процесса для исходного процесса.

src_user_id

LCString

Уникальный идентификатор исходного пользователя в системе.

Например, логин или SAMAccountName.

src_user_name

LCString

Полное имя исходного пользователя (ФИО или отображаемое имя).

src_user_type

LCString

Тип учетной записи исходного пользователя.

Например: local, domain, service, guest.

src_user_domain

LCString

Доменное имя исходного пользователя.

src_user_email

LCString

Адрес электронной почты исходного пользователя в формате RFC 5322.

src_user_dn

LCString

Отличительное имя (Distinguished Name) исходного пользователя в LDAP или Active Directory.

src_user_privileges

LCString

Уровень привилегий исходного пользователя.

Например: User, Admin, Service.

src_user_session_id

LCString

Уникальный идентификатор сеанса исходного пользователя в системе.

src_service_id

LCString

Уникальный идентификатор исходного сервиса в системе.

src_service_name

LCString

Название исходного сервиса или приложения.

src_group_id

LCString

Уникальный идентификатор исходной группы пользователей или ресурсов.

src_group_name

LCString

Название исходной группы.

src_group_domain

LCString

Название домена исходной группы.

src_group_type

LCString

Тип группировки.

Например: security, department, role, project.

src_file_id

LCString

Уникальный идентификатор исходного файла.

src_file_name

LCString

Имя исходного файла с расширением.

src_file_extension

LCString

Расширение исходного файла.

Например: .pdf, .exe, .docx.

src_file_owner

LCString

Владелец файла (пользователь или группа).

src_file_path

String

Относительный путь к исходному файлу, включая имя файла.

src_file_path_full

String

Абсолютный путь к исходному файлу в файловой системе.

src_file_permission

LCString

Права доступа к исходному файлу.

Например, строка разрешений в Unix или ACL в Windows.

src_file_type

LCString

Тип исходного файла.

Например: PDF, EXE, DOCX.

src_file_size

UInt64

Размер исходного файла в байтах.

src_file_sign

String

Информация о цифровой подписи файла при ее наличии.

src_file_time_creation

DateTime

Дата и время создания исходного файла в формате ISO 8601.

src_file_time_modified

DateTime

Дата и время последнего изменения исходного файла в формате ISO 8601.

src_file_hash_imphash

LCString

Импорт-хэш (IMPHASH) исходного файла.

src_file_hash_md5

LCString

Хэш MD5 исходного файла.

src_file_hash_sha

LCString

Хэш SHA-1 исходного файла.

src_file_hash_sha256

LCString

Хэш SHA-256 исходного файла.

src_file_hash_sha512

LCString

Хэш SHA-512 исходного файла.

src_object_class

LCString

Класс исходного объекта (Registry).

src_object_id

LCString

Уникальный идентификатор исходного объекта в системе.

src_object_name

LCString

Наименование исходного объекта.

src_object_type

LCString

Тип исходного объекта.

Например: RegistryKey, Service.

src_object_value

LCString

Значение исходного объекта — например, ключа реестра или переменной.

src_object_version

LCString

Версия исходного объекта — например, исполняемого файла или библиотеки.

src_object_cmdline

String

Команда запуска исходного объекта в командной строке.

src_object_path

String

Путь к расположению исходного объекта без его имени.

src_object_path_full

String

Полный абсолютный путь к исходному объекту.

src_object_guid

UUID

Глобально уникальный идентификатор (GUID) исходного объекта.

src_object_sign

LCString

Информация о подписи исходного объекта.

src_object_hash_md5

LCString

Хэш MD5 содержимого исходного объекта.

src_object_hash_sha

LCString

Хэш SHA-1 содержимого исходного объекта.

src_object_hash_sha256

LCString

Хэш SHA-256 содержимого исходного объекта.

src_query

String

Полный текст исходного запроса в оригинальном формате.

src_query_domain

LCString

Целевой объект запроса: например, домен, таблица, коллекция или сервис.

src_query_method

LCString

Метод, команда или тип операции запроса:

Для HTTP: GET, POST, PUT, DELETE.
Для SQL: SELECT, INSERT, UPDATE.
Для API: название вызываемого метода.

src_query_version

LCString

Версия протокола, используемого в запросе:

Для HTTP: 1.0, 1.1, 2.0.
Для TLS: 1.2, 1.3.
Для баз данных: версия протокола СУБД.

src_query_agent

String

Заголовок User-Agent, переданный в запросе. Содержит информацию о клиентском приложении, операционной системе и ее версии.

src_query_type

LCString

Тип или протокол запроса.

Например: SQL, LDAP, HTTP, GraphQL, REST, SOAP, DNS.

src_query_cookies

String

Файлы Cookie исходного запроса.

src_query_response

String

Полный ответ на выполненный запрос в исходном формате: JSON, XML или бинарном.

dst_fqdn

LCString

Полное доменное имя целевого узла.

dst_hostname

LCString

Имя целевого хоста без доменного суффикса.

dst_ip

IPv6

IP-адрес целевого узла, IPv4 или IPv6.

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

dst_port

UInt16

Номер порта целевого узла.

dst_domain

LCString

Доменное имя целевого узла без поддоменов.

dst_mac

MAC

MAC-адрес целевого сетевого интерфейса.

dst_nat_ip

IPv6

Преобразованный IP-адрес назначения после NAT.

dst_nat_port

UInt16

Преобразованный порт назначения после NAT.

dst_geo_city

LCString

Город расположения целевого узла. Определяется по IP-адресу.

dst_geo_country

LCString

Двухбуквенный код страны целевого узла согласно стандарту ISO 3166-1 alpha-2.

dst_process_id

UInt64

Идентификатор (PID) целевого процесса.

dst_process_name

LCString

Имя исполняемого файла целевого процесса.

dst_process_cmdline

String

Команда запуска целевого процесса в командной строке.

dst_process_cwd

String

Рабочая директория целевого процесса.

dst_process_path

String

Путь к исполняемому файлу целевого процесса.

dst_process_path_full

String

Полный путь к исполняемому файлу целевого процесса.

dst_process_guid

UUID

Глобально уникальный идентификатор (GUID) целевого процесса.

dst_process_hash_imphash

LCString

Импорт-хэш (IMPHASH) исполняемого файла целевого процесса.

dst_process_hash_md5

LCString

Хэш MD5 исполняемого файла целевого процесса.

dst_process_hash_sha

LCString

Хэш SHA-1 исполняемого файла целевого процесса.

dst_process_hash_sha256

LCString

Хэш SHA-256 исполняемого файла целевого процесса.

dst_process_hash_sha512

LCString

Хэш SHA-512 исполняемого файла целевого процесса.

dst_process_parent_cmdline

String

Команда запуска родительского процесса для целевого процесса в командной строке.

dst_process_parent_id

UInt64

Идентификатор родительского процесса (PPID) для целевого процесса.

dst_process_parent_name

String

Имя исполняемого файла родительского процесса для целевого процесса.

dst_process_parent_path

String

Путь к каталогу исполняемого файла родительского процесса, без имени файла.

dst_process_parent_path_full

String

Полный абсолютный путь к исполняемому файлу родительского процесса.

dst_process_parent_guid

UUID

Глобально уникальный идентификатор (GUID) родительского процесса для целевого процесса.

dst_user_id

LCString

Уникальный идентификатор целевого пользователя в системе.

Например, логин или SAMAccountName.

dst_user_name

LCString

Полное имя целевого пользователя (ФИО или отображаемое имя).

dst_user_type

LCString

Тип учетной записи целевого пользователя.

Например: local, domain, service, guest.

dst_user_domain

LCString

Доменное имя целевого пользователя.

dst_user_email

LCString

Адрес электронной почты целевого пользователя в формате RFC 5322.

dst_user_dn

LCString

Отличительное имя (Distinguished Name) целевого пользователя в LDAP или Active Directory.

dst_user_privileges

LCString

Уровень привилегий целевого пользователя.

Например: User, Admin, Service.

dst_user_session_id

LCString

Уникальный идентификатор сеанса целевого пользователя в системе.

dst_service_id

LCString

Уникальный идентификатор целевого сервиса в системе.

dst_service_name

LCString

Название целевого сервиса или приложения.

dst_group_id

LCString

Уникальный идентификатор целевой группы пользователей или ресурсов.

dst_group_name

LCString

Название целевой группы.

dst_group_domain

LCString

Название домена целевой группы.

dst_group_type

LCString

Тип группировки.

Например: security, department, role, project.

dst_file_id

LCString

Уникальный идентификатор целевого файла.

dst_file_name

LCString

Имя целевого файла с расширением.

dst_file_path

String

Относительный путь к целевому файлу, включая имя файла.

dst_file_path_full

String

Абсолютный путь к целевому файлу в файловой системе.

dst_file_extension

LCString

Расширение целевого файла.

Например: .pdf, .exe, .docx.

dst_file_owner

LCString

Владелец файла (пользователь или группа).

dst_file_permission

LCString

Права доступа к целевому файлу.

Например, строка разрешений в Unix или ACL в Windows.

dst_file_type

LCString

Тип целевого файла.

Например: PDF, EXE, DOCX.

dst_file_size

UInt64

Размер целевого файла в байтах.

dst_file_sign

String

Информация о цифровой подписи файла при ее наличии.

dst_file_time_creation

DateTime

Дата и время создания файла в формате ISO 8601.

dst_file_time_modified

DateTime

Дата и время последнего изменения файла в формате ISO 8601.

dst_file_hash_imphash

LCString

Импорт-хэш (IMPHASH) целевого файла.

dst_file_hash_md5

LCString

Хэш MD5 целевого файла.

dst_file_hash_sha

LCString

Хэш SHA-1 целевого файла.

dst_file_hash_sha256

LCString

Хэш SHA-256 целевого файла.

dst_file_hash_sha512

LCString

Хэш SHA-512 целевого файла.

dst_object_class

LCString

Класс целевого объекта (Registry).

dst_object_id

LCString

Уникальный идентификатор целевого объекта в системе.

dst_object_name

LCString

Наименование целевого объекта.

dst_object_type

LCString

Тип целевого объекта.

Например: RegistryKey, Service.

dst_object_value

LCString

Значение целевого объекта — например, ключа реестра или переменной.

dst_object_version

LCString

Версия целевого объекта — например, исполняемого файла или библиотеки.

dst_object_path

String

Путь к расположению целевого объекта без его имени.

dst_object_path_full

String

Полный абсолютный путь к целевому объекту.

dst_object_cmdline

String

Команда запуска целевого объекта в командной строке.

dst_object_guid

UUID

Глобально уникальный идентификатор (GUID) целевого объекта.

dst_object_sign

LCString

Информация о подписи целевого объекта.

dst_object_hash_md5

LCString

Хэш MD5 содержимого целевого объекта.

dst_object_hash_sha

LCString

Хэш SHA-1 содержимого целевого объекта.

dst_object_hash_sha256

LCString

Хэш SHA-256 содержимого целевого объекта.

logon_method

LCString

Метод аутентификации, использованный при входе в систему.

logon_type

LCString

Способ аутентификации пользователя.

Возможные значения:

interactive — локальный вход;
network — сетевой вход;
batch — пакетное задание;
service — служба;
unlock — разблокировка;
remoteinteractive — RDP;
cached — кэшированные учетные данные.

end_time

DateTime

Дата и время завершения действия в событии в формате ISO 8601 (UTC).

start_time

DateTime

Дата и время начала действия в событии в формате ISO 8601 (UTC).

duration

UInt16

Длительность события в секундах или миллисекундах.

mitre_tts

Массив LCString

Список техник и тактик MITRE ATT&CK.

model_version

LCString

Текущая версия модели данных, в которую было записано событие.

normalization_rule_id

LCString

Идентификатор правила нормализации, которое обработало событие.

normalization_rule_name

LCString

Название правила нормализации, которое обработало событие.

normalization_rule_version

LCString

Версия правила нормализации, которое обработало событие.

aggregation_rule_version

LCString

Версия правила агрегации, которое обработало событие.

correlation_rule_type

Enum

Тип правила корреляции, сформировавшего событие.

Возможные значения:

1 — alert: событие, сформированное правилом, будет использоваться в другом правиле корреляции;
2 — detect: правило детектирования;
3 — hunt; хантинговое правило, которое используется, чтобы обнаружить аномальную активность на хосте и выявить действия атакующего.
4 — profile: правило на этапе профилирования;
5 — test: правило на этапе тестирования;
6 — debug: правило на этапе разработки и отладки;
7 — sync: правило для работы с активными списками.

correlation_rule_version

LCString

Версия правила корреляции, сформировавшего событие.

Регулярные настраиваемые поля

Регулярные настраиваемые поля — это особый тип регулярных полей в универсальной модели события, который не привязан к конкретному способу применения. Эти поля позволяют хранить в модели события данные того или иного типа, не предусмотренные заранее прочими полями модели.

Пример: в событии передается должность пользователя, совершившего подозрительное действие. По умолчанию в универсальной модели события нет специальных полей для хранения должности. В таком случае можно воспользоваться регулярными настраиваемыми полями. Название должности можно записать в поле field1, а в поле field1_label указать предназначение поля field1, например, "Должность пользователя".

Ключ поля Тип данных Описание

field1_label

LCString

Поле, хранящее название для field1.

field1

LCString

Настраиваемое поле для сопоставления строкового значения, которое не может быть сопоставлено любому другому полю модели события.

field2_label

LCString

Поле, хранящее название для field2.

field2

LCString

field3_label

LCString

Поле, хранящее название для field3.

field3

LCString

field4_label

LCString

Поле, хранящее название для field4.

field4

LCString

field5_label

LCString

Поле, хранящее название для field5.

field5

LCString

field6_label

LCString

Поле, хранящее название для field6.

field6

LCString

field7_label

LCString

Поле, хранящее название для field7.

field7

LCString

field8_label

LCString

Поле, хранящее название для field8.

field8

LCString

field9_label

LCString

Поле, хранящее название для field9.

field9

LCString

array_field1_label

LCString

Семантическая метка, определяющая назначение элементов в массиве array_field1.

array_field1

Массив LCString

Настраиваемое поле для сопоставления массива значений.

array_field2_label

LCString

Семантическая метка, определяющая назначение элементов в массиве array_field2.

array_field2

Массив LCString

Настраиваемое поле для сопоставления массива значений.

array_field3_label

LCString

Семантическая метка, определяющая назначение элементов в массиве array_field3.

array_field3

Массив LCString

Настраиваемое поле для сопоставления массива значений.

time1_label

LCString

Семантическая метка, определяющая назначение временной отметки в time1.

time1

DateTime

Настраиваемая временная метка для сопоставления значения, не совпадающего с другими полями модели события.

time2_label

LCString

Семантическая метка, определяющая назначение временной отметки в time2.

time2

DateTime

Настраиваемая временная метка для сопоставления значения, не совпадающего с другими полями модели события.

time3_label

LCString

Семантическая метка, определяющая назначение временной отметки в time3.

time3

DateTime

Настраиваемая временная метка для сопоставления значения, не совпадающего с другими полями модели события.

address1_label

LCString

Поле, хранящее название для address1.

address1

IPv6

Настраиваемое поле для сопоставления значения сетевого адреса (IPv4 или IPv6), которое не может быть сопоставлено любому другому полю модели события.

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

address2_label

LCString

Поле, хранящее название для address2.

address2

IPv6

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

address3_label

LCString

Поле, хранящее название для address3.

address3

IPv6

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

address4_label

LCString

Поле, хранящее название для address4.

address4

IPv6

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

address5_label

LCString

Поле, хранящее название для address5.

address5

IPv6

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

address6_label

LCString

Поле, хранящее название для address6.

address6

IPv6

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

array_address1_label

LCString

Семантическая метка, определяющая назначение адресов в массиве array_address1.

array_address1

Массив IPv6

Настраиваемое поле для сопоставления массива сетевых адресов (IPv4 или IPv6), которое не может быть сопоставлено любому другому полю модели события.

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.

array_address2_label

LCString

Семантическая метка, определяющая назначение адресов в массиве array_address2.

array_address2

Массив IPv6

IP-адрес версии IPv4 требуется приводить к IPv6 в рамках правила нормализации событий.