Оповещения

В Журнале событий на вкладке «Оповещения» 1 отображается таблица, содержащая информацию о всех Оповещениях

• Дата и время оповещения 2 (отличается от Даты и врмемни DNS-запроса)
• Статус (итоговое действие) 3
• Причина статуса 4
• Домен из запроса (FQDN) 5
• TI Feed 6
• TI Индикатор 7

Кроме основных полей можно вывести дополнительные поля для отображения в результатах поиска:

• Зона
• Дата и время DNS-запроса
• UUID запроса
• Компания
• Id компании
• TI Feed Id
• Источник TI Feed
• Тип TI индикатора

Список полей для расширенного поиска

В таблице приведен список полей и их возможные значения, которые можно использовать для поиска событий с помощью Расширенного поиска

Название поля для поиска	Название поля в таблице результатов	Описание и возможные значения
feed_name	TI Feed	Имя фида из справочника фидов (например, MALWARE, PHISHING)
fqdn	Домен	Полное доменное имя из запроса
action	Статус	Итоговое действие, примененное к запросу. Допустимые значения: ALLOW (Разрешен), DETECT (Предупреждение), BLOCK (Заблокирован)
reason	Причина	Код причины, по которой было принято решение
request_uuid	UUID запроса	Уникальный идентификатор DNS запроса
client_name	Компания	Название компании
client_id	Id компании	Уникальный идентификатор компании в формате UUID
feed_source_id	Id источника TI Feed	Внутренний идентификатор источника TI-фида
feed_source_name	Источник TI Feed	Название источника, из которого получен фид (например, Solar TI Feeds)
indicator_value	TI индикатор	Значение индикатора компрометации (IoC), с которым было найдено совпадение (домен или IP-адрес)
indicator_type	Тип TI индикатора	Тип индикатора. Возможные значения: IPV4-ADDR, IPV6-ADDR, DOMAIN-NAME
alert_uuid	UUID оповещения	Уникальный идентификатор оповещения
alert_type	Тип оповещения	Тип события, связанного с оповещением. Возможные значения: EVENT (событие в реальном времени), RETROEVENT (ретрособытие)
zone	Зона индикатора	Тип зоны индикатора, получаемый из TI Feeds