ملاحظة
ملاحظة: هذه ميزة توفّر مبكر (EA) متاحة فقط لإصدار محدود. لمزيد من المعلومات حول تفعيل الميزة، اتصل بممثل شبكات Cato الخاص بك أو أرسل بريدًا إلكترونيًا إلى ea@catonetworks.com.
هذه المقالة تدرج أمثلة للخرائط بين حقول Cato ونموذج المعلومات المشترك (CIM) في Splunk لبيانات النماذج المدعومة. استخدم هذا المرجع لفهم كيفية تنظيم بيانات Cato لعمليات البحث ولوحات المعلومات والاكتشافات في Splunk.
لمزيد من المعلومات، انظر تكوين إضافة Cato Technology لتكامل Splunk (EA)
|
حقل Cato |
حقل CIM |
المصدر |
وصف Splunk CIM |
|
الإجراءات |
الإجراءات |
الأحداث / التدفقات |
الإجراء الذي اتخذته وحدة الشبكة |
|
اسم التطبيق |
تطبيق |
الأحداث / التدفقات |
بروتوكول التطبيق لحركة المرور |
|
dest_ip |
dest |
الأحداث / التدفقات |
عنوان IP للوجهة |
|
dest_port |
dest_port |
الأحداث / التدفقات |
منفذ الوجهة لحركة الشبكة |
|
الاتجاه |
الاتجاه |
الأحداث / التدفقات |
اتجاه حركة الشبكة، مثل الداخل أو الخارج |
|
downstream |
bytes_in |
التدفقات |
عدد البايتات المستلمة (داخلياً) |
|
المدة |
المدة |
التدفقات |
المدة الزمنية بالثواني لإتمام الحدث الشبكي |
|
ip_protocol |
النقل |
التدفقات |
بروتوكول النقل لطبقة OSI الرابعة، مثل TCP أو UDP |
|
Ipv4 |
بروتوكول |
الأحداث / التدفقات |
بروتوكول الشبكة لطبقة OSI الثالثة، مثل IPv4 أو IPv6 |
|
pop_name |
dvc |
الأحداث / التدفقات |
الجهاز الذي أبلغ عن حدث حركة المرور |
|
src_ip |
src |
الأحداث / التدفقات |
عنوان IP للجهاز الذي نشر الحدث الشبكي |
|
منفذ المصدر |
منفذ المصدر |
الأحداث / التدفقات |
منفذ المصدر لحركة الشبكة |
|
اتجاه الحركة |
الاتجاه |
التدفقات |
اتجاه حركة الشبكة، مثل الداخل أو الخارج |
|
upstream |
bytes_out |
التدفقات |
عدد البايتات المرسلة (خارجيًا) |
|
user_name |
المستخدم |
الأحداث / التدفقات |
المستخدم الذي طلب تدفق الحركة |
|
ثابت: "Cato Networks" |
البائع |
الأحداث / التدفقات |
البائع للمنتج الذي يولّد الحدث الشبكي |
|
ثابت: "Cato SASE" |
المنتج البائع |
الأحداث / التدفقات |
اسم المنتج لجهاز شبكة البائع |
|
downstream + upstream |
bytes |
التدفقات |
العدد الإجمالي للبايتات المنقولة (داخليًا وخارجيًا) |
|
حقل Cato |
حقل CIM |
المصدر |
وصف Splunk CIM |
|---|---|---|---|
|
الإجراءات |
الإجراءات |
الأحداث |
الإجراء الذي اتخذته نظام منع التطفل |
|
اسم التطبيق |
تطبيق |
الأحداث |
بروتوكول التطبيق لحركة المرور |
|
dest_country |
dest_country |
الأحداث |
البلد المرتبط بعنوان IP للوجهة |
|
dest_ip |
dest |
الأحداث |
عنوان IP للوجهة |
|
dest_port |
dest_port |
الأحداث |
منفذ الوجهة لحركة الشبكة |
|
dest_site_name |
dest_zone |
الأحداث |
اسم منطقة الوجهة |
|
pop_name |
dvc |
الأحداث |
الجهاز الذي كشف عن حدث التطفل |
|
src_country |
src_country |
الأحداث |
البلد المرتبط بعنوان IP للمصدر |
|
src_ip |
src |
الأحداث |
عنوان IP للجهاز الذي نشر حدث التطفل |
|
منفذ المصدر |
منفذ المصدر |
الأحداث |
منفذ المصدر لحركة الشبكة |
|
اسم موقع المصدر |
منطقة المصدر |
الأحداث |
اسم منطقة المصدر |
|
threat_name |
التوقيع |
الأحداث |
اسم التطفل المكتشف على العميل (المصدر)، مثل PlugAndPlay_BO وتم رفض حركة المرور |
|
نوع التهديد |
الفئة |
الأحداث |
فئة التطفل المكتشف على العميل (المصدر)، مثل انتهاك سياسة الإخراج |
|
عنوان URL |
عنوان URL |
الأحداث |
عنوان URL المرتبط بحدث التطفل |
|
اسم المستخدم |
المستخدم |
الأحداث |
المستخدم المرتبط بحدث الكشف عن التطفل |
|
معرف التوقيع |
معرف التوقيع |
الأحداث |
المعرف أو إصدار التوقيع |
|
شرطي: "الشبكة" لجميع الأحداث الموجهة هنا |
نوع نظام كشف التطفل |
الأحداث |
نوع نظام كشف التطفل الذي أنشأ الحدث، مثل الشبكة أو الجهاز المستند |
|
IPv4 |
البروتوكول |
الأحداث |
بروتوكول الطبقة 3 من OSI (الشبكة) |
|
ثابت: "Cato Networks" |
البائع |
الأحداث |
البائع لمنتج توليد حدث كشف التطفل |
|
ثابت: "Cato SASE" |
منتج البائع |
الأحداث |
اسم المنتج لبرنامج كشف التطفل من البائع |
|
حقل Cato |
حقل CIM |
المصدر |
وصف Splunk CIM |
|---|---|---|---|
|
الإجراء |
الإجراء |
الأحداث |
الإجراء المتخذ من قبل خادم DNS أو جهاز الأمان |
|
اسم التطبيق |
التطبيق |
الأحداث |
التطبيق الذي بدأ استعلام DNS |
|
عنوان IP الوجهة |
الوجهة |
الأحداث |
عنوان IP الخاص بخادم DNS |
|
استعلام DNS |
استعلام |
الأحداث |
الاسم النطاق الذي تم استعلامه |
|
نوع سجل DNS |
نوع السجل |
الأحداث |
نوع سجل الموارد DNS، مثل A، AAAA، CNAME، PTR |
|
الاسم الشعبي |
dvc |
الأحداث |
الجهاز الذي عالج استعلام DNS |
|
عنوان IP المصدر |
المصدر |
الأحداث |
عنوان IP للجهاز الذي أصدر استعلام DNS |
|
اسم المستخدم |
المستخدم |
الأحداث |
المستخدم الذي أصدر استعلام DNS |
|
IPv4 |
البروتوكول |
الأحداث |
بروتوكول الطبقة 3 من OSI (الشبكة) |
|
ثابت: "Cato Networks" |
البائع |
الأحداث |
البائع لمنتج توليد حدث DNS |
|
ثابت: "Cato SASE" |
منتج البائع |
الأحداث |
اسم المنتج لبرنامج الأمان DNS من البائع |
|
حقل Cato |
حقل CIM |
المصدر |
وصف Splunk CIM |
|---|---|---|---|
|
الإجراء |
الإجراء |
الأحداث |
الإجراء المتخذ من قبل الوكيل الويب أو جهاز الأمان |
|
اسم التطبيق |
التطبيق |
الأحداث |
التطبيق الذي أنشأ حركة مرور الويب |
|
الفئات |
الفئة |
الأحداث |
فئة طلب الويب، مثل محركات البحث أو الأخبار أو التسوق |
|
عنوان IP الوجهة |
الوجهة |
الأحداث |
عنوان IP الخاص بخادم الويب |
|
منفذ الوجهة |
منفذ الوجهة |
الأحداث |
منفذ الوجهة لحركة مرور الشبكة |
|
طريقة طلب HTTP |
طريقة HTTP |
الأحداث |
طريقة HTTP المستخدمة في طلب الويب |
|
رمز استجابة HTTP |
الحالة |
الأحداث |
رمز استجابة حالة HTTP |
|
بروتوكول IP |
النقل |
الأحداث |
بروتوكول الطبقة 4 من OSI (النقل) |
|
اسم الكمبيوتر المحمول |
dvc |
الأحداث |
الجهاز الذي عالج طلب الويب |
|
عنوان URL المحيل |
المحيل HTTP |
الأحداث |
المحيل HTTP المستخدم في طلب الويب |
|
حجم الطلب |
بايتات داخلية |
الأحداث |
عدد البايتات التي تلقتها خادم الويب |
|
حجم الاستجابة |
بايتات خارجية |
الأحداث |
عدد البايتات المرسلة بواسطة خادم الويب |
|
عنوان IP المصدر |
src |
أحداث |
عنوان IP للعميل الذي بلغ الخادم الشبكي |
|
src_port |
src_port |
أحداث |
منفذ المصدر لحركة مرور الشبكة |
|
transaction_size |
بايت |
أحداث |
إجمالي عدد البايتات المنقولة |
|
url |
url |
أحداث |
عنوان URL للطلب الشبكي |
|
user_agent |
http_user_agent |
أحداث |
سلسلة وكيل المستخدم للعميل |
|
user_name |
مستخدم |
أحداث |
المستخدم الذي بلغ الخادم الشبكي |
|
Ipv4 |
بروتوكول |
أحداث |
بروتوكول الطبقة الثالثة 3 من طبقات الشبكة OSI |
|
غير متاح |
ملف تعريف الارتباط |
أحداث |
ملف تعريف الارتباط المسجل في الحدث |
|
ثابت: "Cato Networks" |
بائع |
أحداث |
بائع المنتج الذي يولد الحدث الشبكي |
|
ثابت: "Cato SASE" |
المنتج الخاص بالبائع |
أحداث |
اسم منتج برامج الأمان الشبكي للبائع |
|
حقل كاتو |
حقل CIM |
مصدر |
وصف Splunk CIM |
|---|---|---|---|
|
الإجراء |
الإجراء |
أحداث |
الإجراء المتخذ بواسطة نظام المصادقة |
|
اسم_التطبيق |
تطبيق |
أحداث |
التطبيق الذي تم الوصول إليه |
|
طريقة_المصادقة |
طريقة_المصادقة |
أحداث |
طريقة المصادقة المستخدمة، مثل LDAP، RADIUS، أو محلي |
|
dest_ip |
dest |
أحداث |
عنوان IP لخادم المصادقة |
|
سبب_الفشل |
معرف_السبب |
أحداث |
السبب وراء فشل المصادقة |
|
اسم النقطة |
جهاز |
أحداث |
الجهاز الذي قام بمعالجة طلب المصادقة |
|
src_ip |
المصدر |
أحداث |
عنوان IP للجهاز الذي بدأ محاولة المصادقة |
|
user_agent |
user_agent |
أحداث |
سلسلة وكيل المستخدم للعميل |
|
user_name |
src_user |
أحداث |
المستخدم الذي بدأ محاولة المصادقة |
|
اسم المستخدم |
المستخدم |
أحداث |
المستخدم الذي حاول المصادقة |
|
ثابت: "Cato Networks" |
بائع |
أحداث |
بائع المنتج الذي يولد حدث المصادقة |
|
ثابت: "Cato SASE" |
المنتج الخاص بالبائع |
أحداث |
اسم المنتج لنظام المصادقة الخاص بالبائع |
|
حقل كاتو |
حقل CIM |
مصدر |
وصف Splunk CIM |
|---|---|---|---|
|
الإجراء |
الإجراء |
أحداث |
الإجراء المتخذ بواسطة نظام اكتشاف البرمجيات الخبيثة |
|
اسم_التطبيق |
تطبيق |
أحداث |
التطبيق المتضمن في الحدث البرمجي |
|
dest_ip |
dest |
أحداث |
عنوان IP لوجهة الجهاز |
|
hash_الملف |
hash_الملف |
أحداث |
التجزئة الخاصة بالملف المتضمن في الحدث البرمجي |
|
اسم_الملف |
اسم_الملف |
أحداث |
اسم الملف المتضمن في الحدث البرمجي |
|
حجم الملف |
حجم الملف |
أحداث |
حجم الملف المتضمن في الحدث البرمجي |
|
full_path_url |
مسار الملف |
أحداث |
مسار الملف المتضمن في الحدث البرمجي |
|
اسم النقطة |
جهاز |
أحداث |
الجهاز الذي اكتشف البرمجيات الخبيثة |
|
src_ip |
المصدر |
أحداث |
عنوان IP للجهاز الذي تم اكتشاف البرمجيات الخبيثة فيه |
|
اسم التهديد |
توقيع |
أحداث |
اسم العدوى البرمجية الخبيثة المكتشفة على العميل (المصدر) |
|
نوع التهديد |
الفئة |
الأحداث |
فئة البرمجيات الخبيثة التي تم اكتشافها على العميل (المصدر) |
|
اسم المستخدم |
المستخدم |
الأحداث |
المستخدم المرتبط بحدث البرمجيات الخبيثة |
|
ثابت: "Cato Networks" |
البائع |
الأحداث |
البائع للمنتج الذي يُنتج حدث البرمجيات الخبيثة |
|
ثابت: "Cato SASE" |
منتج البائع |
الأحداث |
اسم المنتج لبرنامج الكشف عن البرمجيات الخبيثة للبائع |
|
حقل كاتو |
حقل CIM |
المصدر |
وصف Splunk CIM |
|---|---|---|---|
|
الإجراء |
الإجراء |
الأحداث |
الإجراء المنفذ على المورد |
|
البريد الإلكتروني للمسؤول |
البريد الإلكتروني لمستخدم المصدر |
الأحداث |
عنوان البريد الإلكتروني للمستخدم الذي بادر بالعملية |
|
نوع الحدث الفرعي |
أمر |
الأحداث |
الأمر الذي بدأ التغيير |
|
اسم نقطة الوصول |
الجهاز |
الأحداث |
الجهاز الذي لوحظ به التغيير |
|
معرف المستخدم |
معرف الكائن |
الأحداث |
معرف الكائن الذي تم تغييره |
|
اسم المستخدم |
كائن |
الأحداث |
الكائن الذي تم تغييره |
|
اسم المستخدم |
مستخدم المصدر |
الأحداث |
المستخدم الذي بدأ التغيير |
|
اسم المستخدم |
مستخدم |
الأحداث |
المستخدم الذي نفذ التغيير |
|
شرطي: "مستخدم" أو "مشرف" |
فئة الكائن |
الأحداث |
فئة الكائن الذي تم تغييره |
|
ثابت: "AAA" |
نوع التغيير |
الأحداث |
نوع التغيير، مثل نظام الملفات أو AAA (المصادقة، التفويض، والمحاسبة). |
|
ثابت: "تطبيق إدارة كاتو" |
وجهة |
الأحداث |
وجهة التغيير |
|
ثابت: "شبكات كاتو" |
البائع |
الأحداث |
البائع الذي ينتج حدث التغيير |
|
ثابت: "كاتو SASE" |
منتج البائع |
الأحداث |
اسم المنتج لنظام إدارة تغيير البائع |
|
ثابت: "النجاح" |
الحالة |
الأحداث |
حالة التغيير |
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.