Типы операций в событии

Универсальная модель события 2.0 включает поле action — тип операции, которая была зафиксирована в событии. Значение поля используется для классификации событий и определения их семантики в контексте безопасности.

В таблице ниже перечислены возможные типы операций. Таблица содержит следующие столбцы:

Значение — числовой код типа, который будет записан в поле action событий.
Наименование — краткое наименование операции.
Примеры интерпретации — примеры интерпретации типа операции.

В таблице приведены только некоторые типовые примеры интерпретации значений кодов. При работе с системой вам следует интерпретировать коды самостоятельно в зависимости от контекста возникновения событий.

Таблица 1. Возможные типы операций
Значение	Наименование	Примеры интерпретации
1	`access`	Выполнена аутентификация в системе. Выполнено обращение к базе данных.
2	`admin`	Выполнен запрос к API от имени администратора. Открыт интерфейс администратора веб-приложения.
3	`allow`	Разрешена установка сетевого соединения. Сетевой фильтр разрешил выполнение запроса.
4	`alter`	Изменены данные профиля пользователя.
5	`apply`	К таблице базы данных применена политика безопасности.
6	`auth`	Выполнена попытка аутентификации.
7	`await`	Клиент ожидает новых электронных писем.
8	`backup`	Выполняется резервное копирование файлов. Выполняется резервное копирование таблиц базы данных.
9	`block`	Заблокирована подозрительная сетевая активность. Заблокирован выполняемый процесс.
10	`boot`	Операционная система запускается.
11	`call`	Windows: вызван метод WMI.
12	`cancel`	Установка пакета отменена.
13	`change`	Изменен пароль пользователя. Изменена конфигурация приложения.
14	`check`	Выполнена проверка статуса запроса. Выполнена проверка прав доступа к файлу.
15	`close`	Закрыта сетевая сессия.
16	`connect`	Установлено сетевое соединение. Подключено внешнее устройство.
17	`copy`	Скопирован файл. Скопирован ключ реестра.
18	`create`	Создан пользователь. Создано правило файрвола.
19	`delay`	Отправка электронного письма задержана.
20	`delete`	Выполнен запрос API на удаление. Удален файл.
21	`deny`	Запрос отклонен сетевым фильтром. Электронное письмо отклонено почтовым фильтром.
22	`detect`	Обнаружено вредоносное ПО. Обнаружена попытка эксплуатации уязвимости.
23	`disable`	Отключена учетная запись пользователя. Отключена политика аудита конфигурации.
24	`disconnect`	Сетевое соединение прервано. Отключено внешнее устройство.
25	`down`	Сетевой интерфейс недоступен.
26	`download`	Скачивается пакет. По сети скачиваются данные.
27	`drop`	Удалена таблица в базе данных.
28	`enable`	Активирована учетная запись. Включен сетевой фильтр.
29	`end`	Завершена работа процесса.
30	`error`	Произошла ошибка службы. Произошла ошибка доступа к базе данных.
31	`execute`	Осуществляется атака на приложение.
32	`exploit`	Произошла попытка эксплуатации уязвимости.
33	`find`	Выполняется поиск пакета в репозитории.
34	`halt`	Linux: произошла остановка операционной системы без выключения питания.
35	`inbound`	Событие связано с входящим трафиком.
36	`incoming`	Событие связано с входящим трафиком.
37	`info`	Выполнен запрос API на получение информации. Получена информация о драйвере.
38	`inject`	Обнаружена атака типа "внедрение процесса" (process injection).
39	`insert`	Выполнена вставка данных в базу данных.
40	`install`	Выполнена установка пакета. Выполнена установка драйвера внешнего устройства.
41	`launch`	Зафиксирован запуск атаки на приложение.
42	`load`	Выполнена загрузка библиотеки. Выполнена загрузка драйвера.
43	`lock`	Пользователь включил блокировку экрана.
44	`login`	Выполнена аутентификация пользователя в системе.
45	`logoff`	Windows: завершен сеанс выхода пользователя.
46	`logon`	Windows: начался сеанс входа пользователя.
47	`logout`	Выход пользователя из системы.
48	`modify`	Изменены параметры конфигурации. Изменены значения ключей реестра.
49	`notify`	Получено уведомление от службы мониторинга.
50	`open`	Открыт сокет. Открыто электронное письмо.
51	`outbound`	Событие связано с исходящим трафиком.
52	`outgoing`	Событие связано с исходящим трафиком.
53	`password_change`	Изменен пароль пользователя.
54	`progress`	Электронное письмо находится в процессе доставки.
55	`query`	Выполнен запрос на получение сетевой конфигурации.
56	`read`	Выполнено чтение файла.
57	`receive`	Получено электронное письмо.
58	`reject`	Отклонен запрос на установление соединения. Отклонен запрос к веб-приложению.
59	`remove`	Удалена учетная запись. Удален пакет.
60	`request`	Отправлен запрос к веб-приложению.
61	`reset`	Перезапущен сеанс в системе.
62	`response`	Отправлен ответ веб-приложения.
63	`run`	Запущен процесс.
64	`save`	Windows: сохранена коллекция файлов.
65	`scan`	Произведено сканирование на наличие вредоносного ПО.
66	`select`	Выполнен запрос на чтение из базы данных.
67	`send`	Отправлены данные по сети. Отправлено электронное письмо.
68	`set`	Пользователю назначена роль. Установлен ключ реестра.
69	`set_value`	Установлено значение ключа реестра.
70	`shutdown`	Отключено питание устройства.
71	`start`	Подключено питание устройства. Запущена задача по расписанию.
72	`startup`	Запущен сервер базы данных.
73	`stop`	Остановлена запланированная задача. Остановлена служба.
74	`teardown`	Сетевое соединение удалено из таблицы соединений.
75	`terminate`	Завершено выполнение процесса. Завершено сетевое соединение.
76	`uninstall`	Удален пакет. Удален драйвер внешнего устройства.
77	`unlock`	Пользователь разблокировал экран.
78	`up`	Сетевой интерфейс доступен.
79	`update`	Обновлен пакет. Обновлена информация о пользователе.
80	`use`	Windows: использован метод WMI.
81	`write`	Осуществлена запись в файл.