Nota
Nota: Esta es una característica de Disponibilidad Temprana (EA) que solo está disponible para un lanzamiento limitado. Para más información sobre cómo habilitar la función, contacte a su representante de Cato Networks o envíe un correo electrónico a ea@catonetworks.com.
Este artículo enumera ejemplos de mapeos entre campos de Cato y campos del Modelo de Información Común (CIM) de Splunk para los modelos de datos compatibles. Use esta referencia para comprender cómo se normalizan los datos de Cato para las búsquedas, tableros y detecciones en Splunk.
Para más información, consulte Configurando el Complemento Tecnológico de Cato para la Integración de Splunk (EA)
|
Campo Cato |
Campo CIM |
Fuente |
Descripción de Splunk CIM |
|
acción |
acción |
Eventos / Flujos |
La acción realizada por el dispositivo de red |
|
nombre_de_aplicación |
aplicación |
Eventos / Flujos |
El protocolo de aplicación del tráfico |
|
ip_dest |
destino |
Eventos / Flujos |
La dirección IP del destino |
|
puerto_dest |
puerto_dest |
Eventos / Flujos |
El puerto de destino del tráfico de red |
|
dirección |
dirección |
Eventos / Flujos |
La dirección del tráfico de red, como entrada o salida |
|
descendente |
bytes_in |
Flujos |
El número de bytes recibidos (entrante) |
|
duración |
duración |
Flujos |
La cantidad de tiempo en segundos para la finalización del evento de red |
|
protocolo_ip |
transporte |
Flujos |
El protocolo de la capa 4 OSI (Transporte), como TCP o UDP |
|
Ipv4 |
protocolo |
Eventos / Flujos |
El protocolo de la capa 3 OSI (Red), como IPv4 o IPv6 |
|
nombre_pop |
dvc |
Eventos / Flujos |
El dispositivo que informó el evento de tráfico |
|
ip_src |
origen |
Eventos / Flujos |
La dirección IP del dispositivo que originó el evento de red |
|
puerto_src |
puerto_src |
Eventos / Flujos |
El puerto de origen del tráfico de red |
|
dirección_tráfico |
dirección |
Flujos |
La dirección del tráfico de red, como entrada o salida |
|
ascendente |
bytes_out |
Flujos |
El número de bytes enviados (saliente) |
|
nombre_usuario |
usuario |
Eventos / Flujos |
El usuario que solicitó el flujo de tráfico |
|
Estático: "Cato Networks" |
proveedor |
Eventos / Flujos |
El proveedor del producto que genera el evento de red |
|
Estático: "Cato SASE" |
producto_proveedor |
Eventos / Flujos |
El nombre del producto del dispositivo de red del proveedor |
|
descendente + ascendente |
bytes |
Flujos |
El número total de bytes transferidos (entrante y saliente) |
|
Campo Cato |
Campo CIM |
Fuente |
Descripción de Splunk CIM |
|---|---|---|---|
|
acción |
acción |
Eventos |
La acción realizada por el sistema de prevención de intrusiones |
|
nombre_de_aplicación |
aplicación |
Eventos |
El protocolo de aplicación del tráfico |
|
país_dest |
país_dest |
Eventos |
El país asociado con la dirección IP de destino |
|
ip_dest |
destino |
Eventos |
La dirección IP del destino |
|
puerto_dest |
puerto_dest |
Eventos |
El puerto de destino del tráfico de red |
|
nombre_sitio_dest |
zona_dest |
Eventos |
El nombre de la zona de destino |
|
nombre_pop |
dvc |
Eventos |
El dispositivo que detectó el evento de intrusión |
|
país_src |
país_src |
Eventos |
El país asociado con la dirección IP de origen |
|
ip_src |
origen |
Eventos |
La dirección IP del dispositivo que originó el evento de intrusión |
|
puerto_src |
puerto_src |
Eventos |
El puerto de origen del tráfico de red |
|
nombre_sitio_src |
zona_src |
Eventos |
El nombre de la zona de origen |
|
nombre_amenaza |
firma |
Eventos |
El nombre de la intrusión detectada en el cliente (la fuente), como PlugAndPlay_BO y el tráfico fue denegado |
|
tipo_de_amenaza |
categoría |
Eventos |
La categoría de la intrusión detectada en el cliente (la fuente), como violación de política de extrusión |
|
url |
url |
Eventos |
La URL asociada con el evento de intrusión |
|
nombre_de_usuario |
usuario |
Eventos |
El usuario involucrado en el evento de detección de intrusión |
|
firma_identificación |
firma_identificación |
Eventos |
El ID o versión de la firma |
|
Condicional: "red" para todos los eventos asignados aquí |
tipo_ids |
Eventos |
El tipo de IDS que generó el evento, como basado en red o basado en host |
|
Ipv4 |
protocolo |
Eventos |
El protocolo de la capa 3 del OSI (Red) |
|
Estático: "Cato Networks" |
proveedor |
Eventos |
El proveedor del producto que genera el evento de detección de intrusiones |
|
Estático: "Cato SASE" |
producto_vendedor |
Eventos |
El nombre del producto del software de detección de intrusiones del proveedor |
|
Campo de Cato |
Campo CIM |
Fuente |
Descripción de CIM de Splunk |
|---|---|---|---|
|
acción |
acción |
Eventos |
La acción tomada por el servidor DNS o dispositivo de seguridad |
|
nombre_de_la_aplicación |
app |
Eventos |
La aplicación que inició la consulta DNS |
|
ip_destino |
destino |
Eventos |
La dirección IP del servidor DNS |
|
consulta_dns |
consulta |
Eventos |
El nombre de dominio que fue consultado |
|
tipo_de_registro_DNS |
tipo_de_registro |
Eventos |
El tipo de registro de recursos DNS, como A, AAAA, CNAME, PTR |
|
nombre_pop |
dvc |
Eventos |
El dispositivo que procesó la consulta DNS |
|
ip_fuente |
fuente |
Eventos |
La dirección IP del dispositivo que originó la consulta DNS |
|
nombre_de_usuario |
usuario |
Eventos |
El usuario que inició la consulta DNS |
|
Ipv4 |
protocolo |
Eventos |
El protocolo de la capa 3 del OSI (Red) |
|
Estático: "Cato Networks" |
proveedor |
Eventos |
El proveedor del producto que genera el evento DNS |
|
Estático: "Cato SASE" |
producto_vendedor |
Eventos |
El nombre del producto del software de seguridad DNS del proveedor |
|
Campo de Cato |
Campo CIM |
Fuente |
Descripción de CIM de Splunk |
|---|---|---|---|
|
acción |
acción |
Eventos |
La acción tomada por el proxy web o dispositivo de seguridad |
|
nombre_de_la_aplicación |
app |
Eventos |
La aplicación que generó el tráfico web |
|
categorías |
categoría |
Eventos |
La categoría de la solicitud web, como motores de búsqueda, noticias o compras |
|
ip_destino |
destino |
Eventos |
La dirección IP del servidor web |
|
puerto_destino |
puerto_destino |
Eventos |
El puerto de destino del tráfico de red |
|
método_de_solicitud_http |
método_http |
Eventos |
El método HTTP usado en la solicitud web |
|
código_de_respuesta_http |
estado |
Eventos |
El código de estado de respuesta HTTP |
|
protocolo_ip |
transporte |
Eventos |
El protocolo de la capa 4 del OSI (Transporte) |
|
nombre_pop |
dvc |
Eventos |
El dispositivo que procesó la solicitud web |
|
url_referido |
http_referido |
Eventos |
El referente HTTP usado en la solicitud web |
|
tamaño_de_solicitud |
bytes_entrantes |
Eventos |
El número de bytes recibidos por el servidor web |
|
tamaño_de_respuesta |
bytes_salientes |
Eventos |
El número de bytes enviados por el servidor web |
|
ip_fuente |
src |
Eventos |
La dirección IP del cliente que accedió al servidor web |
|
src_port |
src_port |
Eventos |
El puerto de origen del tráfico de red |
|
transaction_size |
bytes |
Eventos |
El número total de bytes transferidos |
|
url |
url |
Eventos |
La URL de la solicitud web |
|
user_agent |
http_user_agent |
Eventos |
La cadena del agente de usuario del cliente |
|
user_name |
usuario |
Eventos |
El usuario que accedió al servidor web |
|
Ipv4 |
protocolo |
Eventos |
El protocolo de red de la capa 3 OSI (Red) |
|
N/D |
cookie |
Eventos |
El archivo de cookie registrado en el evento |
|
Estático: "Cato Networks" |
proveedor |
Eventos |
El proveedor del producto que genera el evento web |
|
Estático: "Cato SASE" |
vendor_product |
Eventos |
El nombre del producto del software de seguridad web del proveedor |
|
Campo Cato |
Campo CIM |
Fuente |
Descripción CIM de Splunk |
|---|---|---|---|
|
acción |
acción |
Eventos |
La acción tomada por el sistema de autenticación |
|
application_name |
app |
Eventos |
La aplicación que fue accedida |
|
auth_method |
authentication_method |
Eventos |
El método de autenticación usado, como LDAP, RADIUS, o local |
|
dest_ip |
dest |
Eventos |
La dirección IP del servidor de autenticación |
|
failure_reason |
reason_id |
Eventos |
La razón de la falla de autenticación |
|
pop_name |
dvc |
Eventos |
El dispositivo que procesó la solicitud de autenticación |
|
src_ip |
src |
Eventos |
La dirección IP del dispositivo que inició el intento de autenticación |
|
user_agent |
user_agent |
Eventos |
La cadena del agente de usuario del cliente |
|
user_name |
src_user |
Eventos |
El usuario que inició el intento de autenticación |
|
user_name |
usuario |
Eventos |
El usuario que intentó autenticar |
|
Estático: "Cato Networks" |
proveedor |
Eventos |
El proveedor del producto que genera el evento de autenticación |
|
Estático: "Cato SASE" |
vendor_product |
Eventos |
El nombre del producto del sistema de autenticación del proveedor |
|
Campo Cato |
Campo CIM |
Fuente |
Descripción CIM de Splunk |
|---|---|---|---|
|
acción |
acción |
Eventos |
La acción tomada por el sistema de detección de malware |
|
application_name |
app |
Eventos |
La aplicación involucrada en el evento de malware |
|
dest_ip |
dest |
Eventos |
La dirección IP del destino |
|
file_hash |
file_hash |
Eventos |
El hash del archivo involucrado en el evento de malware |
|
file_name |
file_name |
Eventos |
El nombre del archivo involucrado en el evento de malware |
|
file_size |
file_size |
Eventos |
El tamaño del archivo involucrado en el evento de malware |
|
full_path_url |
file_path |
Eventos |
La ruta del archivo involucrado en el evento de malware |
|
pop_name |
dvc |
Eventos |
El dispositivo que detectó el malware |
|
src_ip |
src |
Eventos |
La dirección IP del dispositivo donde se detectó el malware |
|
threat_name |
firma |
Eventos |
El nombre de la infección de malware detectada en el cliente (el src) |
|
threat_type |
categoría |
Eventos |
La categoría del malware detectado en el cliente (el src) |
|
nombre_de_usuario |
usuario |
Eventos |
El usuario involucrado en el evento de malware |
|
Estático: "Cato Networks" |
proveedor |
Eventos |
El proveedor del producto generador del evento de malware |
|
Estático: "Cato SASE" |
producto_vendedor |
Eventos |
El nombre del producto del software de detección de malware del proveedor |
|
Campo de Cato |
Campo CIM |
Fuente |
Descripción |
|---|---|---|---|
|
acción |
acción |
Eventos |
La acción realizada en el recurso |
|
correo_administrador |
correo_usuario_fuente |
Eventos |
La dirección de correo electrónico del usuario que inició el cambio |
|
sub_tipo_evento |
comando |
Eventos |
El comando que inició el cambio |
|
nombre_pop |
dvc |
Eventos |
El dispositivo donde se observó el cambio |
|
identificación_usuario |
identificación_objeto |
Eventos |
El ID del objeto que fue cambiado |
|
nombre_de_usuario |
Objeto |
Eventos |
El objeto que fue cambiado |
|
nombre_de_usuario |
usuario_fuente |
Eventos |
El usuario que inició el cambio |
|
nombre_de_usuario |
Usuario |
Eventos |
El usuario que realizó el cambio |
|
Condicional: "usuario" o "administrador" |
categoría_objeto |
Eventos |
La categoría del objeto que fue cambiado |
|
Estático: "AAA" |
tipo_de_cambio |
Eventos |
El tipo de cambio, como sistema de archivos o AAA (autenticación, autorización y contabilidad). |
|
Estático: "Aplicación de Gestión de Cato" |
destino |
Eventos |
El destino del cambio |
|
Estático: "Cato Networks" |
Proveedor |
Eventos |
El proveedor del producto generador del evento de cambio |
|
Estático: "Cato SASE" |
producto_vendedor |
Eventos |
El nombre del producto del sistema de gestión de cambios del proveedor |
|
Estático: "éxito" |
estado |
Eventos |
El estado del cambio |
0 comentarios
Inicie sesión para dejar un comentario.