Estas son descripciones de los campos de eventos para la Aplicación de Gestión de Cato (CMA). Los campos de eventos se actualizan frecuentemente, para obtener la lista completa de campos de eventos, consulte la Referencia de la API GraphQL de Cato para EventFieldName.
Para los clientes que usan la API de Cato para datos de eventos, consulte Cato API Potentially Breaking Changes and EoL para notificaciones sobre posibles cambios disruptivos y anuncios de fin de vida (EoL) para el esquema de la API Cato GraphQL. Recomendamos que siga el artículo para recibir automáticamente notificaciones por correo electrónico de actualizaciones y cambios.
| Nombre | Descripción |
|---|---|
| Acción |
Acción relevante para el tipo de evento, por ejemplo:
|
| Nombre del directorio activo | Conciencia de Usuario del directorio activo asociada con el dispositivo detrás de un socket |
| Nombre de la Clave API | Nombre definido para la Clave API pública en la Aplicación de Gestión de Cato |
| Aplicación | Aplicaciones que se utilizan en las diferentes políticas, por ejemplo: Facebook, CNN |
| Tipo de autenticación | Método de autenticación conectado a este evento, por ejemplo: MFA o contraseña |
| ASN de Cato BGP | El ASN BGP para el par BGP de Cato (conexión local) |
| IP de Cato BGP | La dirección IP BGP para el par BGP de Cato (conexión local) |
| Código de error BGP | Mensaje de error para el evento de desconexión de BGP |
| ASN del par BGP | El ASN BGP para el par BGP (conexión remota) |
| Descripción del par BGP | Para eventos BGP, descripción del vecino BGP desde la Aplicación de Gestión de Cato |
| IP del par BGP | La dirección IP BGP para el par BGP (conexión remota) |
| CIDR de ruta BGP | El CIDR para la ruta BGP |
| Código de suberror BGP | Mensaje de error que está conectado al evento de desconexión de BGP |
| Categoría | Categorías de sistema predeterminadas de Cato |
| Aplicación Cato | Datos de la aplicación relacionados con este flujo de tráfico |
| Fecha de expiración del certificado | Fecha de expiración para el certificado del Cliente |
| Clase de Cliente | Tipo de proceso que genera este tráfico |
| Versión del Cliente | Número de versión para el Socket o Cliente Cato |
| Colaboradores | Para la API de Seguridad SaaS, direcciones de correo electrónico de los usuarios que recibieron el archivo |
| Nombre del Host Configurado | Nombre configurado en la Aplicación de Gestión de Cato para un host con una dirección IP estática |
| Algoritmo de Congestión | El algoritmo de control de congestión TCP para el tráfico en el evento. Valores posibles: CUBIC, NewReno, BBR |
| Nombre del Conector | Para la API de Seguridad SaaS, nombre del conector |
| Tipo de Conector | Para la API de Seguridad SaaS, aplicación SaaS para el conector |
| Gravedad | Para eventos XDR, 0 (sin riesgo/impacto) a 10 (riesgo/impacto muy alto) |
| Categorías personalizadas | Las Categorías Personalizadas para tu cuenta (Recursos > Categorías) |
| País Destino | Para tráfico de Internet, ubicación basada en la dirección IP del servidor de destino |
| Código de País Destino | Para tráfico de Internet, el código de país de dos letras donde se encuentra el host de destino (basado en ISO 3166-1 alfa-2) |
| IP de Destino | Para tráfico de Internet, dirección IP del servidor de destino |
| Destino es Sitio o Usuario SDP | Para tráfico WAN, tipo de destino: sitio o usuario SDP |
| Puerto Destino | Para tráfico de Internet, número de puerto para el servidor de destino |
| Sitio Destino | Para tráfico WAN, el nombre del sitio de destino o usuario SDP |
| Nombre del Dispositivo | Nombre del host conectado al evento |
| Perfiles de Postura de Dispositivo | Perfiles que coincidieron con este evento |
| Nombre del Host del Directorio | Para eventos LDAP, el nombre del host |
| IP del Directorio | Para eventos LDAP, dirección IP del controlador de dominio |
| Resultado de Sincronización de Directorio | Para eventos LDAP, resultado de la sincronización con el controlador de dominio |
| Tipo de Sincronización de Directorio | Evento LDAP generado porque hubo una sincronización con el controlador de dominio |
| Nombre para mostrar | El nombre del usuario |
| Perfiles DLP | Perfiles DLP relacionados con el evento |
| Categoría de Protección DNS | Tipo de Protección DNS de Cato que coincidió con la solicitud DNS |
| Consulta DNS | Dominio consultado en la solicitud DNS |
| Nombre de Dominio | SNI de SSL, nombre del host HTTP, nombre DNS |
| Duración Ms |
Duración en milisegundos entre el inicio y el final de una transacción u operación. Por ejemplo, en eventos DNS o HTTP, esto refleja el tiempo entre la solicitud y la respuesta correspondiente. Para subtipos de evento DNS |
| Nombre de Salida PoP |
Nombre del PoP por el que el tráfico sale, según se define en una Regla de Red usando una configuración de NAT o Enrutar vía El campo se muestra solo cuando el tráfico sale de un PoP distinto del que está conectado el sitio |
| Sitio de Salida | Nombre del sitio de salida para tráfico de Backhauling |
| Recuento de Eventos | Recuento de eventos que se repiten múltiples veces durante un minuto |
| Mensaje de Evento |
Descripción de Cato del evento Para la acción de ignorar ruta BGP:
|
| Tipo de evento | Tipo de evento: Conectividad, Seguridad, Enrutamiento, Sistema, Gestión de Sockets, o Detección y Respuesta |
| Hash del archivo | Para eventos anti-malware, hash del archivo relevante |
| Nombre de Archivo |
Nombre del archivo relevante Nota: Si el PoP no puede capturar el Nombre de Archivo, utiliza la última parte de la URL para el Nombre de Archivo, como Descargar. |
| Tamaño de Archivo | Tamaño (en bytes) del archivo relevante |
| Tipo de Archivo |
Tipo de contenido de archivo (como Archivo o Microsoft Office) Para Reglas de Control de Archivos, form_data es una representación genérica de datos enviados a través de un formulario web, comúnmente utilizada en solicitudes HTTP (por ejemplo, envíos de formularios multipartes). No indica un tipo de archivo distinto. |
| Cardinalidad de Flujos | Número de flujos para un incidente dado |
| URL Completa | URL completa para actividad de la aplicación. Control de Aplicaciones debe estar habilitado para que este campo aparezca en los eventos de Seguridad de Aplicaciones. |
| Dirección IP del Host | Dirección IP del host relacionado con el evento |
| Dirección MAC del Host | Dirección MAC del host para este evento |
| Código de Respuesta HTTP |
Código de estado HTTP devuelto (por ejemplo, para solicitud DNS, servidor DNS-over-HTTPS (DoH) cuando se utiliza DoH) Para subtipos de eventos de DNS y Seguridad de Aplicaciones |
| Protocolo IP | Protocolo de red para este evento |
| Nombre del Proveedor de Servicios de Internet (ISP) |
El ISP utilizado para este evento Cuando el ISP no proporciona la dirección IP, el mensaje del evento es Las Direcciones IP se asignan estáticamente. Nota: Para sitios con múltiples interfaces WAN activas que utilizan diferentes ISP, el valor del Nombre del Proveedor de Servicios de Internet (ISP) podría no ser preciso porque las interfaces pueden cambiar durante el ciclo de vida del flujo de tráfico. |
| Salud del Enlace está Congestionada | Datos que miden la congestión para un enlace específico |
| Fluctuación de la Salud del Enlace | Datos que miden la fluctuación para un enlace específico |
| Latencia de la Salud del Enlace | Datos que miden la latencia para un enlace específico |
| Pérdida de Paquetes de la Salud del Enlace | Datos que miden la pérdida de paquetes para un enlace específico |
| Tipo de Enlace | Tipo de enlace para esta conexión, por ejemplo: Cato, o Alt. WAN |
| Tipo de Inicio de Sesión | Acción de inicio de sesión, los valores son: Inicio de Sesión de Administrador o Cliente VPN (acceso remoto o tráfico del sitio) |
| Tipos de Datos Coincidentes | Tipos de datos DLP coincidentes relacionados con el evento |
| Campos de Ataque Mitre |
Para eventos IPS relevantes, muestra datos basados en la Base de Conocimientos Mitre Att&ck de adversarios cibernéticos.
|
| Error NAT | Indica la razón de los problemas de conectividad relacionados con NAT |
| Regla de Red |
Nombre de la Regla de Red igualada por el tráfico en este evento Un valor de 0 indica que el flujo experimentó problemas de corrupción de paquetes, o fue un flujo del sistema como acceder al Interfaz Web del Socket |
| Modo de Oficina | Indica si el modo oficina está habilitado para este usuario |
| SID OnPrem | Identificador único asignado a un objeto de usuario en el Directorio Activo de Microsoft Azure (Azure AD), utilizado para identificar y gestionar distintivamente al usuario a través de varios servicios de Azure |
| Tipo de sistema operativo | Tipo de sistema operativo del host, o dispositivo túnel |
| Versión del SO | Número de versión del sistema operativo del host, o dispositivo túnel |
| Nombre de PoP | Nombre de la ubicación PoP que está conectada a este evento |
| Fuente IP Pública |
La dirección IP pública asignada por el PoP desde el cual salió el tráfico. Para sitios que utilizan Internet Traffic Backhauling como método de enrutamiento, este campo muestra la dirección IP Local del Rango Nativo para el sitio. El campo no se muestra para el tráfico que no sale del PoP hacia Internet, como las solicitudes internas de DNS y el tráfico FTP. |
| Prioridad QoS | El valor de prioridad QoS definido en la Regla de Red igualada por el tráfico |
| Tiempo de reporte QoS | Para QoS, el tiempo en el que este evento de QoS comenzó. El evento se genera cuando el evento QoS termina. |
| Tipos de Registro |
Tipo de consulta (es decir, consulta DNS: A, AAAA, MX o PTR) Para sub-tipos de eventos de Seguridad de Aplicaciones y DNS |
| Código de Registro | Código de registro utilizado la primera vez que un usuario ZTNA se autentica (el código es parcialmente ofuscado) |
| Aplicaciones Relacionadas |
Una lista de aplicaciones identificadas en el flujo de tráfico para este evento, como parte del proceso de identificación de aplicaciones. Este proceso analiza el tráfico en diferentes etapas del flujo, recopilando información sobre todos los protocolos, servicios y aplicaciones para hacer una determinación final precisa de la aplicación. Este campo proporciona contexto para la identificación de aplicaciones mostrando las aplicaciones identificadas a lo largo de las etapas del proceso. |
| Método de Solicitud | Método de solicitud HTTP (por ejemplo, GET, POST) |
| Tamaño de la Solicitud |
Tamaño del paquete de solicitud en bytes (es decir, paquete de solicitud DNS) Para tipos de evento de subtipos de Seguridad de Aplicación y DNS |
| Tamaño de Respuesta |
Tamaño del paquete de respuesta en bytes (es decir, paquete de respuesta DNS) Para subtipos de eventos de DNS y Aplicación de Seguridad |
| Nivel de Riesgo |
Evento de IPS que indica el impacto global de una amenaza para el host o la red: Nivel de riesgo bajo - riesgo mínimo para la red, como el adware Nivel de riesgo medio - riesgo medio para la red, como los escaneos de red Nivel de riesgo alto - riesgo significativo para la red, como el spyware o gusanos |
| Regla | Nombre de la Regla de Firewall coincidente con el tráfico en este evento |
| ID de Regla | ID exclusivo de Cato para la regla de seguridad relacionada con el evento |
| Nombre de la Cuenta SAM | Nombre de inicio de sesión utilizado en versiones de Windows anteriores a Windows 2000, utilizado dentro de un Directorio Activo de Windows |
| Severidad | Severidad definida para la regla de seguridad |
| Ámbito de Compartición | Opciones de Compartición para el archivo (como SharePoint) |
| ID de firma | Para IPS y SAM, ID de la firma IPS |
| ID de Interfaz de Socket | ID exclusivo de Cato para la interfaz de Socket |
| Nombre de la Interfaz de Socket | Nombre en la Aplicación de Gestión de Cato para el puerto del Socket (interfaz) |
| Nueva Versión de Socket | Para eventos de actualización de Socket, el número de versión de la nueva versión |
| Versión Antigua de Socket | Para eventos de actualización de Socket, número de versión para la versión anterior |
| Restablecer Socket | Para eventos de restablecimiento de Socket, indica un restablecimiento de hardware o software |
| Rol de Socket | Para eventos de alta disponibilidad de Socket, indica si el Socket es primario o secundario |
| País de Origen | Para Clientes y sitios, la ubicación física para la dirección IP pública que está fuera del túnel (detectada a través de la dirección IP pública) |
| Código de país de origen | Código de país del país donde se encuentra el host de origen (detectado a través de la dirección IP pública) |
| IP de Origen | La dirección IP que Cato asigna al host o Cliente |
| IP del Proveedor de Servicios de Internet (ISP) de Origen | La dirección IP del ISP que está fuera del túnel que conecta la nube de Cato |
| Fuente es Sitio o Usuario SDP | Para tráfico WAN, tipo de fuente: sitio o usuario SDP |
| Fuente | Para todo el tráfico, el nombre del sitio de origen o usuario SDP |
| Puerto Origen | El número de puerto interno para el Cliente, sitio o host para la conexión de red |
| Sitio de Origen | Para todo el tráfico, el nombre del sitio de origen o usuario SDP |
| Nombre de Subred | Nombre de la subred que se define en la Aplicación de Gestión de Cato |
| Sub-Tipo | Subtipo para un Tipo de Evento, como Firewall de Internet, Actividad de SDP, Seguridad de Aplicaciones |
| Cardinalidad de Destinos | Número de objetivos (servidores) asociados con este evento |
| Aceleración TCP |
Muestra si el tráfico en el evento fue acelerado por TCP. Los valores son 1 (acelerado) y 0 (no acelerado) El campo aparece solo para flujos de tráfico basados en TCP |
| Nombre de la Amenaza |
Para eventos anti-malware, nombre del malware Para eventos IPS, explica la razón por la cual el tráfico fue bloqueado |
| Referencia de la Amenaza | Enlace a la base de datos de amenazas anti-malware para el archivo sospechoso |
| Tipo de Amenaza | Tipo de evento de malware |
| Veredicto de la Amenaza |
Resultado del escaneo anti-malware
|
| Tiempo | Sello de tiempo para este evento (formato Linux epoch) |
| Descripción del Error TLS |
Explicación del error TLS en este evento, los valores son: notificación de cierre, mensaje inesperado, MAC de registro incorrecto, fallo de descompresión, fallo de enlace de manos, sin certificado, certificado incorrecto, certificado no soportado, certificado revocado, certificado expirado, certificado desconocido, parámetro ilegal, falla de descifrado, desbordamiento de registro, CA desconocida, acceso denegado, error de decodificación, error de descifrado, restricción de exportación, versión de protocolo, seguridad insuficiente, error interno, usuario cancelado, sin renegociación, identidad PSK desconocida, desconocido Para explicaciones de estos errores, consulte este documento |
| Tipo de Error TLS |
El tipo de error TLS para este evento, los valores son:
|
| Inspección TLS |
Muestra si el tráfico en el evento fue TLS. Los valores son 1 (inspeccionado) y 0 (no inspeccionado) El campo aparece solo para flujos de tráfico TLS |
| Nombre de la Regla TLS | Cuando el tráfico en el evento fue inspeccionado por TLS, este campo muestra el nombre de la regla coincidente con el tráfico (solo cuando el tráfico coincide con una regla que no sea reglas predeterminadas) |
| Versión TLS | Número de versión del protocolo TLS para este evento |
| Dirección del Tráfico | Dirección del tráfico de red para este evento, los valores son entrante o saliente |
| Tamaño de la Transacción |
Tamaño total de la transacción en bytes, incluyendo tanto la petición como la respuesta Para subtipos de eventos de Seguridad DNS y de Aplicación |
| Protocolo de Túnel | Protocolo para la conexión del túnel |
| Hora de Fin de Actualización | Hora de fin de actualización de Socket (formato Linux epoch) |
| Actualización Iniciada Por | Indica si la actualización de Socket ocurrió durante la ventana de mantenimiento o fue iniciada por Soporte (el valor es Cato Admin) |
| Hora de Inicio de Actualización | Hora de inicio de actualización de Socket (formato Linux epoch) |
| URL | Para tráfico de Internet, URL para el evento |
| Agente de Usuario |
El agente de usuario usado en el inicio de sesión tal como aparece en el campo de Agente de Usuario en el encabezado HTTP para el tráfico. Este campo solo se completa cuando el pop extrae su valor de solicitudes HTTP, lo que ocurre actualmente en los siguientes casos:
Estos son ejemplos de valores de agente de usuario:
|
| Método de Conciencia del Usuario | Método usado para obtener la identidad con Conciencia del Usuario (como Agente de Identidad) |
| Correo electrónico del usuario | Dirección de correo electrónico para el usuario |
| Nombre de Usuario | Usuario que generó el evento |
| ID de Objeto de Usuario | Identificador único asignado a un objeto de usuario dentro de Azure Active Directory, utilizado para identificar y gestionar cuentas de usuario de manera distinta |
| Nombre principal del usuario | Nombre de inicio de sesión para un usuario en un entorno de Microsoft Active Directory, formateado como una dirección de correo electrónico (p.ej., usuario@dominio.com), y utilizado para propósitos de inicio de sesión |
| ID de Referencia de Usuario | Para Página de Bloqueo/Aviso, ID de referencia para reportar la categoría incorrecta |
| SID de Usuario | Identificador único asignado a cada usuario en un sistema de dispositivos Windows para gestionar permisos y derechos de acceso |
| Nombre de Dominio de Windows | Para eventos de sincronización LDAP, el nombre del dominio AD |
| XFF | El encabezado HTTP XFF indica la dirección IP original para las conexiones |
Esta es una lista de los subtipos de evento:
-
Conectividad
- Clave API
- Aplicación de Gestión de Cato
- PoP Modificado
- Política de Acceso de Cliente
- Conectado
- Arrendamiento DHCP
- Desconectado
- Monitoreo de LAN
- Calidad de Última Milla
- Agregación de Enlaces
- Conexión de Transporte Fuera de la Nube
- Desconexión de Transporte Fuera de la Nube
- Conexión Pasiva
- Desconexión Pasiva
- Reconectado
- Recuperación vía Alt. WAN
- Código de Registro
- Portal SDP
- Conmutación por Error de Socket
-
Detección y respuesta
- Endpoint XDR
- Red XDR
- Amenaza XDR
-
Enrutamiento
- Enrutamiento BGP
- Sesión BGP
- Omision VPN Never-Off
-
Seguridad
- Inicio de sesión de Aplicación
- Seguridad de Aplicaciones
- Protección DNS
- Protección de Endpoints
- Alerta de Identidad
- Cortafuegos de Internet
- IPS
- Firewall LAN
- Autenticación de Dirección MAC
- Clasificación Incorrecta
- Anti-Malware de NG
- RPF
- Anti Malware de API de Seguridad SaaS
- Protección de Datos de API de Seguridad SaaS
- Actividad SDP
- Actividad Sospechosa
- TLS
- Cortafuegos WAN
-
Gestión de Sockets
- Restablecimiento de Contraseña de Socket
- Actualización de Socket
- Acceso a la Interfaz Web del Socket
-
Sistema
- Fallo de Conectividad con Servicios de Directorio
- Servicios de Directorio
- Múltiples Usuarios Detectados
- LÍMITE DE CUOTA
- Provisionamiento SCIM
- Licencia SDP
Estos son los tipos de cada campo y cómo usarlos para filtros manuales.
- Fecha y Hora - Valores para fechas en este formato
<año>-<mes>-<día>T<hora>:<minuto>:<segundo>.<milisegundo>Z, por ejemplo2021-01-01T12:10:30.591Z - IP - Filtrar direcciones IP usando la notación CIDR:
[ip_address]/[prefix_length] - Palabra clave - Ingrese cadenas de texto, solo puede buscar campos de Palabra Clave con el valor exacto
- Enlace - Enlace a una referencia externa
- Número - Ingrese números como enteros
- Texto - Descripción del Evento, no se puede incluir en un filtro
Los clientes MDR (Detección y Respuesta Gestionada) de Cato Networks pueden ver los eventos para incidentes de seguridad en la página de Eventos. La siguiente tabla explica los campos del evento para estos incidentes en el subtipo de evento MDR.
| Nombre | Tipo | Descripción |
|---|---|---|
| Clase de Cliente | palabra clave | Tipo de aplicaciones cliente que se ejecutan en el sistema operativo que creó este flujo de red (por ejemplo, Chrome) |
| Cardinalidad de Flujos | número | Número de flujos de red que se incluyeron en este incidente de seguridad |
| Agregación de Incidentes | número |
Un valor verdadero/falso que indica si este evento es:
|
| ID de Incidente | palabra clave | ID que identifica este incidente de seguridad. Puede utilizar este ID para hacer seguimiento para obtener más información con el equipo de MDR. |
| Cardinalidad de Destinos | número | Número de servidores que se incluyeron en este incidente de seguridad |
El servicio de Seguridad IoT/OT descubre y monitorea dispositivos conectados a su red. La siguiente tabla explica los campos de eventos que contienen datos relacionados con este servicio.
| Nombre | Descripción |
|---|---|
| Categorías de Dispositivos | Categorías generales a las que pertenece el dispositivo relacionado con el evento |
| ID del Dispositivo | Identificador único de Cato para el dispositivo relacionado con el evento |
| Fabricante del Dispositivo | Empresa que fabricó el dispositivo relacionado con el evento |
| Modelo del Dispositivo | Nombre del modelo del dispositivo relacionado con el evento |
| Tipo de Sistema Operativo del Dispositivo | El sistema operativo en el dispositivo relacionado con el evento |
| Tipo de Dispositivo | Tipo específico de dispositivo relacionado con el evento. Es posible que el Tipo de Dispositivo incluya múltiples modelos diferentes |
Para más sobre los eventos y campos de SDP, consulte Visión General del Portal de Acceso del Navegador - Asegurando el Acceso Remoto a Aplicaciones.
0 comentarios
Inicie sesión para dejar un comentario.