В настоящем разделе приведено описание типов событий, регистрируемых на устройстве МКСЗ Diamond Next в процессе его функционирования.
События формируются различными функциональными подсистемами устройства при выполнении операций управления, обработке сетевого трафика, установлении защищённых соединений, трансляции сетевых адресов, а также при обнаружении событий информационной безопасности. Каждое событие фиксируется в журнале регистрации событий и содержит текстовое сообщение и набор параметров, характеризующих условия возникновения события.
Перечень событий сгруппирован по функциональным подсистемам устройства. Для каждого события приведены:
Информация, приведённая в настоящем разделе, предназначена для:
В подразделе приведено описание событий, формируемых подсистемой аутентификации при выполнении операций проверки подлинности пользователей.
События данной подсистемы регистрируются при успешных и неуспешных попытках аутентификации пользователей, завершении пользовательских сеансов, а также при возникновении ограничений, связанных с состоянием учётных записей (например, блокировка, отключение или истечение срока действия пароля).
Регистрация указанных событий используется для:
| Сообщение | Описание |
|---|---|
| Invalid username or password |
Неудачная процедура аутентификации: предоставленные учётные данные не соответствуют данным, хранящимся в локальной базе учётных записей устройства. Сообщение для пользователя в интерфейсе: “Причина: Неверные логин или пароль”. |
| Authentication attempt, no such username: <username> |
Неудачная процедура аутентификации: указанное имя пользователя отсутствует в локальной базе учётных записей устройства. Сообщение для пользователя в интерфейсе: “Причина: Неверные логин или пароль”. |
|
Successful authentication. Username: <username> Address: <ipaddress> SSH: no |
Успешное завершение процедуры аутентификации пользователя <username> с IP-адреса <ipaddress> через графический интерфейс управления устройства. |
| Logoff. Username: <username> | Успешное завершение сеанса работы пользователя <username> в графическом интерфейсе управления устройства. |
| Authentication attempt, user account <username> is disabled |
Неудачная процедура аутентификации: учётная запись пользователя <username> отключена. Сообщение для пользователя в интерфейсе: “Причина: Учетная запись отключена”. |
| User has been blocked, username: <username> |
Учётная запись пользователя <username> была автоматически заблокирована вследствие превышения допустимого количества неудачных попыток аутентификации. Сообщение для пользователя в интерфейсе: “Причина: Слишком много попыток. Учетная запись заблокирована”. |
| Authentication attempt, password is expired; username: <Username> |
Неудачная процедура аутентификации: срок действия пароля пользователя <username> истёк. Сообщение для пользователя в интерфейсе: “Причина: Истек срок действия пароля”. |
В подразделе приведено описание системных событий, формируемых при изменении конфигурации устройства.
События данной категории регистрируются при создании, изменении или удалении элементов конфигурации устройства, а также при выполнении иных операций управления, влияющих на параметры функционирования системы.
Регистрация системных событий используется для:
| Сообщение | Описание |
|---|---|
| Сообщение dmvpnfw | Сообщение формируется при любых изменениях конфигурации на устройстве (создание конфигурации, удаление конфигурации, изменении конфигурации). |
В подразделе приведено описание событий, формируемых подсистемой криптографической защиты информации при установлении, сопровождении и завершении защищённых соединений.
События данной подсистемы регистрируются при запуске и остановке VPN-сервисов, выполнении процедур криптографического согласования ключей, согласовании параметров защищённых туннелей, обновлении ключевой информации, а также при обнаружении ошибок в процессе функционирования защищённых соединений.
Регистрация указанных событий используется для:
| Сообщение | Описание |
|---|---|
| Service started | Сообщение формируется при запуске сервиса VPN в результате выполнения операции включения VPN-сервиса средствами управления системой. Используется для регистрации факта успешного запуска VPN-сервиса и начала его функционирования. |
| Service stopped | Сообщение формируется при остановке сервиса VPN в результате выполнения операции отключения VPN-сервиса средствами управления системой. Используется для регистрации факта завершения работы VPN-сервиса. |
| Handshake started | Сообщение формируется в момент начала процедуры криптографического согласования ключей между узлами при установлении защищенного соединения. Используется для фиксации начала процесса установления защищённого канала связи. |
| Handshake aborted | Сообщение формируется при возникновении ошибки в процессе выполнения процедуры криптографического согласования ключей. Используется для регистрации факта аварийного завершения процедуры установления защищённого соединения. |
| Handshake finished | Сообщение формируется при успешном завершении процедуры криптографического согласования ключей для защищенного соединения. Используется для регистрации факта успешного установления защищённого соединения. |
| Negotiation aborted | Сообщение формируется при возникновении ошибки в процессе согласования параметров защищённого туннеля. Используется для регистрации аварийного завершения процедуры согласования параметров защищённого туннеля. |
| Negotiation setup finished | Сообщение формируется при успешном завершении процедуры первоначального согласования параметров защищённого туннеля. Используется для регистрации факта успешного создания защищённого туннеля. |
| Negotiation rekey finished | Сообщение формируется при успешном завершении процедуры обновления (перегенерации) криптографических ключей защищённого туннеля. Используется для регистрации факта выполнения процедуры смены ключей шифрования в рамках действующего защищённого соединения. |
| Heartbeat aborted | Сообщение формируется при обнаружении разрыва защищённого туннеля механизмом контроля доступности (keep-alive). Используется для регистрации факта потери доступности удалённого узла или нарушения целостности защищённого туннеля. |
| VPN tunnel peer aborted | Сообщение формируется при завершении работы защищённого туннеля по инициативе удалённого узла либо в результате возникновения ошибки, выявленной механизмом контроля доступности соединения. Используется для регистрации факта завершения работы защищённого туннеля по внешней инициативе или вследствие ошибки соединения. |
В подразделе приведено описание событий, формируемых подсистемой трансляции сетевых адресов и портов (NAT).
События данной подсистемы регистрируются при создании и завершении сеансов трансляции сетевых адресов, а также содержат параметры, характеризующие соответствие между внутренними и внешними адресами и портами.
Регистрация указанных событий используется для:
Пример сообщения подсистемы трансляции сетевых адресов и портов представлен ниже:
NAT44 SESSION START {
IN_NET_ADDR: 192.168.1.10
IN_NET_PORT: 54321
OUT_NET_ADDR: 203.0.113.5
OUT_NET_PORT: 40001
EXT_HOST_ADDR: 8.8.8.8
EXT_HOST_PORT: 53
PROTO: UDP
}
В таблице представлено основные поля сообщения и их описание.
| Сообщение | Поля | Описание |
|
NAT44 SESSION START {
} |
IN_NET_ADDR | Поле содержит IP-адрес внутреннего узла в локальной сети. Значение используется для идентификации исходного узла, инициировавшего сетевое соединение. |
| IN_NET_PORT | Поле содержит номер сетевого порта внутреннего узла в локальной сети. Значение определяет исходный порт приложения на стороне внутреннего узла. | |
| OUT_NET_ADDR | Поле содержит IP-адрес, назначенный системой трансляции NAT для представления внутреннего узла во внешней сети. Значение используется как преобразованный внешний адрес соединения. | |
| OUT_NET_PORT | Поле содержит номер сетевого порта, назначенный системой трансляции NAT для представления внутреннего узла во внешней сети. Значение используется как преобразованный внешний порт соединения. | |
| EXT_HOST_ADDR | Поле содержит IP-адрес внешнего узла, с которым устанавливается сетевое соединение. Значение используется для идентификации удалённого узла назначения. | |
| EXT_HOST_PORT | Поле содержит номер сетевого порта внешнего узла назначения. Значение определяет сервис или приложение на стороне удалённого узла. | |
| PROTO | Поле содержит тип транспортного протокола, используемого в сетевом соединении.Допустимые значения: ICMP, TCP, UDP. | |
|
NAT44 SESSION END {
} |
IN_NET_ADDR | Поле содержит IP-адрес внутреннего узла в локальной сети. Значение используется для идентификации исходного узла, инициировавшего сетевое соединение. |
| IN_NET_PORT | Поле содержит номер сетевого порта внутреннего узла в локальной сети. Значение определяет исходный порт приложения на стороне внутреннего узла. | |
| OUT_NET_ADDR | Поле содержит IP-адрес, назначенный системой трансляции NAT для представления внутреннего узла во внешней сети. Значение используется как преобразованный внешний адрес соединения. | |
| OUT_NET_PORT | Поле содержит номер сетевого порта, назначенный системой трансляции NAT для представления внутреннего узла во внешней сети. Значение используется как преобразованный внешний порт соединения. | |
| EXT_HOST_ADDR | Поле содержит IP-адрес внешнего узла, с которым устанавливается сетевое соединение. Значение используется для идентификации удалённого узла назначения. | |
| EXT_HOST_PORT | Поле содержит номер сетевого порта внешнего узла назначения. Значение определяет сервис или приложение на стороне удалённого узла. | |
| PROTO | Поле содержит тип транспортного протокола, используемого в сетевом соединении.Допустимые значения: ICMP, TCP, UDP. |
В подразделе приведено описание событий, формируемых подсистемой межсетевого экранирования при обработке сетевого трафика.
События данной подсистемы регистрируются при анализе сетевых пакетов в соответствии с установленными правилами фильтрации и содержат сведения о параметрах сетевых соединений, направлениях передачи пакетов, используемых протоколах и результатах применения правил безопасности.
Регистрация указанных событий используется для:
Пример сообщения подсистемы межсетевого экранирования представлен ниже:
Firewall {
SRC_ADDR: 192.168.33.2:54726
DST_ADDR: 192.168.33.1:1070
PROTO: UDP
INTERFACE: GigabitEthernetb/0/1
DIRECTION: in
ACTION: permit
MESSAGE: size:503, ttl:64, tos:192, type:3, code:3, flags:
}
| Сообщение | Описание |
|---|---|
| SRC_ADDR | Параметр содержит IP-адрес отправителя сетевого пакета. Для протоколов транспортного уровня (например, UDP или TCP) дополнительно указывается номер порта источника. |
| DST_ADDR | Параметр содержит IP-адрес получателя сетевого пакета. Для протоколов транспортного уровня дополнительно указывается номер порта назначения. |
| PROTO | Параметр указывает протокол сетевого уровня или транспортного уровня, к которому относится обработанный пакет. |
| INTERFACE | Параметр содержит имя сетевого интерфейса, через который был получен или отправлен сетевой пакет. |
| DIRECTION | Параметр указывает направление обработки пакета относительно сетевого устройства. |
| ACTION | Параметр указывает действие, выполненное системой безопасности в отношении сетевого пакета в соответствии с политиками фильтрации. |
| MESSAGE | Параметр содержит набор характеристик сетевого пакета, извлечённых из его заголовков. Состав полей зависит от используемого протокола. |
В подразделе приведено описание событий, формируемых подсистемой обнаружения сетевых атак.
События данной подсистемы регистрируются при выявлении сетевой активности, соответствующей сигнатурам известных атак или потенциально опасному поведению, а также при анализе сетевых потоков в режиме мониторинга.
События могут содержать дополнительные параметры, состав которых определяется типом обнаруженной активности и используемыми правилами обнаружения.
Регистрация указанных событий используется для:
Пример сообщения подсистемы детектирования сетевых атак представлен ниже:
{"timestamp":"2026-03-31T15:26:07.603077+0300","flow_id":2027246347535138,"event_type":"alert","src_ip":"192.168.2.10","src_port":60971,"dest_ip":"8.8.8.8","dest_port":53,"proto":"UDP","pkt_src":"wire/pcap","tx_id":0,"alert":{"action":"allowed","gid":1,"signature_id":2050883,"rev":1,"signature":"ET INFO Observed DNS Query to vk .com API (api .vk .com)","category":"Misc activity","severity":3,"metadata":{"attack_target":["Client_Endpoint"],"confidence":["High"],"created_at":["2024_02_15"],"deployment":["Perimeter"],"group_tss":["33"],"priority":["3"],"signature_severity":["Informational"],"updated_at":["2024_02_15"]}},"dns":{"version":2,"query":[{"type":"query","id":43175,"rrname":"api.vk.com","rrtype":"HTTPS","tx_id":0,"opcode":0}]},"app_proto":"dns","direction":"to_server","flow":{"pkts_toserver":1,"pkts_toclient":0,"bytes_toserver":70,"bytes_toclient":0,"start":"2026-03-31T15:26:07.603077+0300","src_ip":"192.168.2.10","dest_ip":"8.8.8.8","src_port":60971,"dest_port":53}}
В таблице ниже представлены основые для события подсистемы детектирования сетевых атак и их описание. Дополнительные поля могу варьироваться в зависимости от типа сетевой атаки.
| Сообщение | Описание |
|---|---|
| timestamp | Поле содержит метку времени регистрации события системой обнаружения вторжений. Значение указывается в формате ISO 8601 с указанием временной зоны. Используется для построения временной последовательности событий и корреляции инцидентов. |
| flow_id | УПоле содержит уникальный идентификатор сетевого потока, присваиваемый системой обнаружения вторжений. Используется для связывания нескольких событий, относящихся к одному сетевому соединению. |
| event_type | Поле содержит тип зарегистрированного события. Значение поля определяет категорию записи журнала (например, alert, drop). Используется для классификации и фильтрации событий. |
| src_ip | Поле содержит IP-адрес источника сетевого соединения. Значение используется для идентификации узла, инициировавшего сетевое соединение. |
| src_port | Поле содержит номер сетевого порта источника соединения. Значение определяет исходный порт, используемый приложением на стороне источника. |
| dest_ip | Поле содержит IP-адрес назначения сетевого соединения. Значение используется для идентификации целевого узла соединения. |
| dest_port | Поле содержит номер сетевого порта назначения. Значение определяет сервис или приложение на стороне назначения, к которому устанавливается соединение. |
| proto | Поле содержит тип транспортного протокола, используемого в сетевом соединении (например, TCP, UDP, ICMP). Значение используется для определения типа транспортного взаимодействия. |
| signature_id | Поле содержит уникальный идентификатор сигнатуры обнаружения, сработавшей в системе обнаружения вторжений. Используется для однозначной идентификации правила обнаружения. |
| signature | Поле содержит текстовое описание сигнатуры обнаружения, вызвавшей регистрацию события. |
| category | Поле содержит категорию события безопасности. Значение определяет тип обнаруженной активности в соответствии с классификацией сигнатуры. Используется для логической группировки событий. |