Remarque
Note : Il s'agit d'une fonctionnalité disponible en avant-première (EA) qui n'est accessible que pour une diffusion limitée. Pour plus d'informations sur l'activation de la fonctionnalité, contactez votre représentant Cato Networks ou envoyez un email à ea@catonetworks.com.
Cet article liste des exemples de mappages entre les champs Cato et ceux du modèle d'information commun (CIM) de Splunk pour les modèles de données pris en charge. Utilisez cette référence pour comprendre comment les données Cato sont normalisées pour les recherches, tableaux de bord et détections dans Splunk.
Pour plus d'informations, voir Configuration du module complémentaire technologique Cato pour l'intégration Splunk (EA)
|
Champ Cato |
Champ CIM |
Source |
Description Splunk CIM |
|
action |
action |
Événements / Flux |
L'action prise par l'appareil réseau |
|
application_name |
application |
Événements / Flux |
Le protocole d'application du trafic |
|
dest_ip |
dest |
Événements / Flux |
L'adresse IP de la destination |
|
port_de_destination |
port_de_destination |
Événements / Flux |
Le port de destination du trafic réseau |
|
direction |
direction |
Événements / Flux |
La direction du trafic réseau, comme entrant ou sortant |
|
aval |
octets_entrant |
Flux |
Le nombre d'octets reçus (entrant) |
|
durée |
durée |
Flux |
La durée en secondes pour l'achèvement de l'événement réseau |
|
ip_protocole |
transport |
Flux |
Le protocole OSI couche 4 (Transport), comme TCP ou UDP |
|
IPv4 |
protocole |
Événements / Flux |
Le protocole OSI couche 3 (Réseau), comme IPv4 ou IPv6 |
|
nom_pop |
dvc |
Événements / Flux |
L'appareil qui a signalé l'événement de trafic |
|
src_ip |
src |
Événements / Flux |
L'adresse IP de l'appareil qui a origine l'événement réseau |
|
port_src |
port_src |
Événements / Flux |
Le port source du trafic réseau |
|
direction_du_trafic |
direction |
Flux |
La direction du trafic réseau, tel qu'entrant ou sortant |
|
montant |
octets_sortants |
Flux |
Le nombre d'octets envoyés (sortants) |
|
nom_utilisateur |
utilisateur |
Événements / Flux |
L'utilisateur qui a demandé le flux de trafic |
|
Statique : "Cato Networks" |
fournisseur |
Événements / Flux |
Le fournisseur du produit générant l'événement réseau |
|
Statique : "Cato SASE" |
produit_fournisseur |
Événements / Flux |
Le nom du produit de l'appareil réseau du fournisseur |
|
aval + montant |
octets |
Flux |
Le nombre total d'octets transférés (entrant et sortant) |
|
Champ Cato |
Champ CIM |
Source |
Description Splunk CIM |
|---|---|---|---|
|
action |
action |
Événements |
L'action prise par le système de prévention des intrusions |
|
application_name |
application |
Événements |
Le protocole d'application du trafic |
|
pays_de_destination |
pays_de_destination |
Événements |
Le pays associé à l'adresse IP de destination |
|
dest_ip |
dest |
Événements |
L'adresse IP de la destination |
|
port_de_destination |
port_de_destination |
Événements |
Le port de destination du trafic réseau |
|
nom_site_de_destination |
zone_de_destination |
Événements |
Le nom de la zone de destination |
|
nom_pop |
dvc |
Événements |
Le dispositif qui a détecté l'événement d'intrusion |
|
pays_source |
pays_source |
Événements |
Le pays associé à l'adresse IP source |
|
src_ip |
src |
Événements |
L'adresse IP de l'appareil qui a origine l'événement d'intrusion |
|
port_src |
port_src |
Événements |
Le port source du trafic réseau |
|
nom_site_source |
zone_source |
Événements |
Le nom de la zone source |
|
nom_de_la_menace |
signature |
Événements |
Le nom de l'intrusion détectée sur le client (le src), tel que PlugAndPlay_BO et le trafic a été refusé |
|
threat_type |
catégorie |
Événements |
La catégorie de l'intrusion détectée sur le client (le src), telle que violation de politique d'extrusion |
|
url |
url |
Événements |
L'URL associée à l'événement d'intrusion |
|
user_name |
utilisateur |
Événements |
L'utilisateur impliqué dans l'événement de détection d'intrusion |
|
signature_id |
signature_id |
Événements |
L'ID ou la version de la signature |
|
Conditionnel : « réseau » pour tous les événements cartographiés ici |
ids_type |
Événements |
Le type d'IDS qui a généré l'événement, tel que basé sur le réseau ou l'hôte |
|
Ipv4 |
protocole |
Événements |
Le protocole OSI couche 3 (Réseau) |
|
Statique : « Cato Networks » |
fournisseur |
Événements |
Le fournisseur du produit générant l'événement de détection d'intrusion |
|
Statique : « Cato SASE » |
vendor_product |
Événements |
Le nom du produit du logiciel de détection d'intrusion du fournisseur |
|
Champ Cato |
Champ CIM |
Source |
Description Splunk CIM |
|---|---|---|---|
|
action |
action |
Événements |
L'action prise par le serveur DNS ou le dispositif de sécurité |
|
application_name |
application |
Événements |
L'application qui a initié la requête DNS |
|
dest_ip |
dest |
Événements |
L'adresse IP du serveur DNS |
|
dns_query |
query |
Événements |
Le nom de domaine qui a été interrogé |
|
dns_record_type |
record_type |
Événements |
Le type de ressource d'enregistrement DNS, tel que A, AAAA, CNAME, PTR |
|
pop_name |
dvc |
Événements |
Le dispositif qui a traité la requête DNS |
|
src_ip |
src |
Événements |
L'adresse IP de l'appareil qui a initié la requête DNS |
|
user_name |
utilisateur |
Événements |
L'utilisateur qui a initié la requête DNS |
|
Ipv4 |
protocole |
Événements |
Le protocole OSI couche 3 (Réseau) |
|
Statique : « Cato Networks » |
fournisseur |
Événements |
Le fournisseur du produit générant l'événement DNS |
|
Statique : « Cato SASE » |
vendor_product |
Événements |
Le nom du produit du logiciel de sécurité DNS du fournisseur |
|
Champ Cato |
Champ CIM |
Source |
Description Splunk CIM |
|---|---|---|---|
|
action |
action |
Événements |
L'action prise par le proxy web ou le dispositif de sécurité |
|
application_name |
application |
Événements |
L'application qui a généré le trafic web |
|
catégories |
catégorie |
Événements |
La catégorie de la requête web, telle que moteurs de recherche, actualités, ou shopping |
|
dest_ip |
dest |
Événements |
L'adresse IP du serveur web |
|
dest_port |
dest_port |
Événements |
Le port de destination du trafic réseau |
|
http_request_method |
http_method |
Événements |
La méthode HTTP utilisée dans la requête web |
|
http_response_code |
statut |
Événements |
Le code de statut de la réponse HTTP |
|
ip_protocol |
transport |
Événements |
Le protocole OSI couche 4 (Transport) |
|
pop_name |
dvc |
Événements |
Le dispositif qui a traité la requête web |
|
referer_url |
http_referrer |
Événements |
Le référent HTTP utilisé dans la requête web |
|
request_size |
bytes_in |
Événements |
Le nombre d'octets reçus par le serveur web |
|
response_size |
bytes_out |
Événements |
Le nombre d'octets envoyés par le serveur web |
|
src_ip |
src |
Événements |
L’adresse IP du client qui a accédé au serveur web |
|
src_port |
src_port |
Événements |
Le port source du trafic réseau |
|
transaction_size |
octets |
Événements |
Le nombre total d’octets transférés |
|
url |
url |
Événements |
L’URL de la requête web |
|
user_agent |
http_user_agent |
Événements |
La chaîne de l’agent utilisateur du client |
|
user_name |
utilisateur |
Événements |
L’utilisateur qui a accédé au serveur web |
|
Ipv4 |
protocole |
Événements |
Le protocole de couche 3 OSI (réseau) |
|
N/A |
cookie |
Événements |
Le fichier cookie enregistré dans l’événement |
|
Statique: "Cato Networks" |
fournisseur |
Événements |
Le fournisseur du produit générant l’événement web |
|
Statique: "Cato SASE" |
vendor_product |
Événements |
Le nom du produit du logiciel de sécurité web du fournisseur |
|
Champ Cato |
Champ CIM |
Source |
Description Splunk CIM |
|---|---|---|---|
|
action |
action |
Événements |
L’action entreprise par le système d’authentification |
|
application_name |
application |
Événements |
L’application à laquelle on a accédé |
|
auth_method |
authentication_method |
Événements |
La méthode d’authentification utilisée, comme LDAP, RADIUS ou locale |
|
dest_ip |
dest |
Événements |
L’adresse IP du serveur d’authentification |
|
failure_reason |
reason_id |
Événements |
La raison de l’échec de l’authentification |
|
pop_name |
dvc |
Événements |
L’appareil qui a procédé à la demande d’authentification |
|
src_ip |
src |
Événements |
L’adresse IP de l’appareil qui a initié la tentative d’authentification |
|
user_agent |
user_agent |
Événements |
La chaîne de l'agent utilisateur du client |
|
user_name |
src_user |
Événements |
L’utilisateur qui a initié la tentative d’authentification |
|
user_name |
utilisateur |
Événements |
L’utilisateur qui a tenté de s’authentifier |
|
Statique: "Cato Networks" |
fournisseur |
Événements |
Le fournisseur du produit générant l’événement d’authentification |
|
Statique: "Cato SASE" |
vendor_product |
Événements |
Le nom du produit du système d’authentification du fournisseur |
|
Champ Cato |
Champ CIM |
Source |
Description Splunk CIM |
|---|---|---|---|
|
action |
action |
Événements |
L’action entreprise par le système de détection de logiciels malveillants |
|
application_name |
application |
Événements |
L’application impliquée dans l’événement de logiciels malveillants |
|
dest_ip |
dest |
Événements |
L’adresse IP de la destination |
|
file_hash |
file_hash |
Événements |
Le hash du fichier impliqué dans l’événement de logiciels malveillants |
|
file_name |
file_name |
Événements |
Le nom du fichier impliqué dans l’événement de logiciels malveillants |
|
file_size |
file_size |
Événements |
La taille du fichier impliqué dans l’événement de logiciels malveillants |
|
full_path_url |
file_path |
Événements |
Le chemin du fichier impliqué dans l’événement de logiciels malveillants |
|
pop_name |
dvc |
Événements |
L’appareil qui a détecté les logiciels malveillants |
|
src_ip |
src |
Événements |
L’adresse IP de l’appareil où les logiciels malveillants ont été détectés |
|
threat_name |
signature |
Événements |
Le nom de l’infection par logiciels malveillants détectée sur le client (la source) |
|
threat_type |
Catégorie |
Événements |
La catégorie des logiciels malveillants détectés sur le client (la source) |
|
user_name |
Utilisateur |
Événements |
L'utilisateur impliqué dans l'événement de logiciels malveillants |
|
Statique : "Cato Networks" |
Fournisseur |
Événements |
Le fournisseur du produit générant l'événement de logiciels malveillants |
|
Statique : "Cato SASE" |
vendor_product |
Événements |
Le nom du produit du logiciel de détection des logiciels malveillants du fournisseur |
|
Champ Cato |
Champ CIM |
Source |
Description CIM Splunk |
|---|---|---|---|
|
Action |
Action |
Événements |
L'action effectuée sur la ressource |
|
admin_email |
src_user_email |
Événements |
L'adresse e-mail de l'utilisateur qui a initié la modification |
|
event_sub_type |
commande |
Événements |
La commande qui a initié le changement |
|
pop_name |
dvc |
Événements |
L'appareil où la modification a été observée |
|
user_id |
object_id |
Événements |
L'ID de l'objet qui a été modifié |
|
user_name |
Utilisateur interne |
Événements |
L'objet qui a été modifié |
|
user_name |
src_user |
Événements |
L'utilisateur qui a initié la modification |
|
user_name |
utilisateur |
Événements |
L'utilisateur qui a effectué le changement |
|
Conditionnel : “utilisateur” ou “admin” |
object_category |
Événements |
La catégorie de l'objet qui a été modifiée |
|
Statique : “AAA” |
type_de_changement |
Événements |
Le type de modification, tel que le système de fichiers ou AAA (authentification, autorisation et comptabilité). |
|
Statique : “Application de gestion Cato” |
dest |
Événements |
La destination de la modification |
|
Statique : “Cato Networks” |
fournisseur |
Événements |
Le fournisseur du produit générant l'événement de changement |
|
Statique : “Cato SASE” |
vendor_product |
Événements |
Le nom du produit du système de gestion du changement du fournisseur |
|
Statique : “succès” |
statut |
Événements |
Le statut de la modification |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.