Ce sont des descriptions des champs d'événements pour l'application de gestion Cato (CMA). Les champs d'événements sont fréquemment mis à jour. Pour la liste complète des champs d'événements, veuillez vous référer à la Référence API GraphQL de Cato pour EventFieldName.
Pour les clients qui utilisent l’API Cato pour les données d’événement, consultez Cato API Potentially Breaking Changes and EoL pour les notifications sur les modifications potentiellement perturbatrices et les annonces de fin de vie (EoL) du schéma API GraphQL de Cato. Nous vous recommandons de suivre l'article pour recevoir automatiquement des notifications par email pour les mises à jour et les changements.
| Nom | Description |
|---|---|
| Action |
Action pertinente pour le type d'événement, par exemple :
|
| Nom Active Directory | Nom de la Sensibilisation de l'Utilisateur Active Directory associé à l'appareil derrière une prise |
| Nom de la Clé API | Nom défini pour la Clé API publique dans l'Application de gestion Cato |
| Application | Applications utilisées dans les différentes politiques, par exemple : Facebook, CNN |
| Type d'authentification | Méthode d'Authentification liée à cet événement, par exemple : MFA ou mot de passe |
| ASN de Cato BGP | L'ASN BGP pour le pair BGP Cato (connexion locale) |
| IP BGP de Cato | L'adresse IP BGP pour le pair BGP Cato (connexion locale) |
| Code d'erreur BGP | Message d'erreur pour l'événement de déconnexion BGP |
| ASN du pair BGP | L'ASN BGP pour le pair BGP (connexion distante) |
| Description du pair BGP | Pour les événements BGP, description du voisin BGP depuis l'Application de gestion Cato |
| Adresse IP du pair BGP | L'adresse IP BGP pour le pair BGP (connexion distante) |
| Route CIDR BGP | Le CIDR pour la route BGP |
| Code de sous-erreur BGP | Message d'erreur lié à l'événement de déconnexion BGP |
| Catégorie | Catégories Cato système par défaut |
| Nom de l'application Cato | Données de l'application liées à ce flux de trafic |
| Date d'expiration du certificat | Date d'expiration du certificat Client |
| Classe Client | Type de processus générant ce trafic |
| Version du client | Numéro de version pour le Socket ou Client Cato |
| Collaborators | Pour l'API de sécurité SaaS, adresses e-mail des utilisateurs ayant reçu le fichier |
| Nom de l'Hôte Configuré | Nom configuré dans l'Application de gestion Cato pour un hôte avec une adresse IP statique |
| Algorithme de Congestion | L'algorithme de contrôle de congestion TCP pour le trafic dans l'événement. Valeurs possibles : CUBIC, NewReno, BBR |
| Nom du Connecteur | Pour l'API de sécurité SaaS, nom du connecteur |
| Type de Connecteur | Pour l'API de sécurité SaaS, application SaaS pour le connecteur |
| Gravité | Pour les événements XDR, 0 (aucun risque/impact) à 10 (risque/impact très élevé) |
| Catégories personnalisées | Les Catégories Personnalisées pour votre compte (Ressources > Catégories) |
| Pays de Destination | Pour le trafic Internet, emplacement basé sur l'adresse IP du serveur de destination |
| Code Pays de Destination | Pour le trafic Internet, le code pays à deux lettres où l'hôte de destination est situé (basé sur ISO 3166-1 alpha-2) |
| IP de destination | Pour le trafic Internet, adresse IP du serveur de destination |
| La destination est Site ou Utilisateur SDP | Pour le trafic WAN, type de destination : site ou utilisateur SDP |
| Port Destination | Pour le trafic Internet, numéro de port pour le serveur de destination |
| Site de Destination | Pour le trafic WAN, le nom du site de destination ou de l'utilisateur SDP |
| Nom de l'Appareil | Nom de l'hôte connecté à l'événement |
| Profils de posture d'appareil | Profils correspondant à cet événement |
| Nom de l'Hôte du Répertoire | Pour les événements LDAP, le nom de l'hôte |
| IP du Répertoire | Pour les événements LDAP, adresse IP du Contrôleur de Domaine |
| Résultat de la Synchronisation du Répertoire | Pour les événements LDAP, résultat de la synchro avec le Contrôleur de Domaine |
| Type de Synchronisation du Répertoire | Événement LDAP généré car il y a eu une synchronisation avec le Contrôleur de Domaine |
| Nom d'Affichage | Le nom de l'utilisateur |
| Profils DLP | Profils DLP liés à l'événement |
| Catégorie de Protection DNS | Type de Protection DNS de Cato qui a correspondu à la demande DNS |
| Requête DNS | Domaine consulté dans la demande DNS |
| Nom de Domaine | SSL SNI, nom d'hôte HTTP, nom DNS |
| Durée en Ms |
Durée en millisecondes entre le début et la fin d'une transaction ou opération. Par exemple, dans les événements DNS ou HTTP, cela reflète le temps entre la demande et la réponse correspondante. Pour les sous-types d'événements DNS |
| Nom de l'Egress PoP |
Nom du PoP d'où le trafic sort, tel que défini dans une Règle Réseau utilisant une configuration NAT ou Routage via Le champ n'est affiché que lorsque le trafic sort d'un PoP autre que celui auquel le site est connecté |
| Site Sortant | Nom du site sortant pour le trafic de backhauling |
| Nombre d'Événements | Nombre pour les événements qui se répètent plusieurs fois en une minute |
| Message d'Événement |
Description de l'événement de Cato Pour l'action BGP route ignore :
|
| Type d'événement | Type d'événement : Connectivité, Sécurité, Routage, Système, Gestion des Prises, ou Détection et Réponse |
| Hachage du fichier | Pour les événements anti-malware, hachage du fichier pertinent |
| Nom du fichier |
Nom du fichier pertinent Note : Si le PoP ne peut pas capturer le nom du fichier réel au moment de la détection, il utilise alors la dernière partie de l'URL pour le nom du fichier, tel que Téléchargement. |
| Taille du fichier | Taille (en octets) du fichier pertinent |
| Type de fichier |
Type de contenu du fichier (comme Archive ou Microsoft Office) Pour les règles de Contrôle de fichier, form_data est une représentation générique des données soumises via un formulaire web, couramment utilisées dans les requêtes HTTP (par exemple, soumissions de formulaire multipart). Cela n'indique pas un type de fichier distinct. |
| Cardinalité des flux | Nombre de flux pour un incident donné |
| URL Complète | URL complète pour l'activité de l'application. Contrôle d'Application doit être activé pour que ce champ apparaisse dans les événements de Sécurité des applications. |
| Adresse IP de l'hôte | Adresse IP de l'hôte liée à l'événement |
| Adresse MAC de l'hôte | Adresse MAC de l'hôte pour cet événement |
| Code de Réponse HTTP |
Code de statut HTTP retourné (par exemple pour une requête DNS, serveur DNS-over-HTTPS (DoH) lorsque DoH est utilisé) Pour les sous-types d'événements DNS et Sécurité des applications |
| Protocole IP | Protocole réseau pour cet événement |
| Nom du FAI |
L'ISP utilisé pour cet événement Lorsqu'une adresse IP n'est pas fournie par le FAI, le message de l'événement est Les adresses IP sont assignées statiquement. Note : Pour les sites avec plusieurs interfaces WAN actives utilisant différents ISP, la valeur Nom du FAI pourrait ne pas être exacte car les interfaces peuvent changer au cours de la durée de vie du flux de trafic. |
| La santé du lien est congestionnée | Données qui mesurent la congestion pour un lien spécifique |
| La santé du lien Gigue | Données qui mesurent la gigue pour un lien spécifique |
| La santé du lien Latence | Données qui mesurent la latence pour un lien spécifique |
| La santé du lien Perte de Paquets | Données qui mesurent la perte de paquets pour un lien spécifique |
| Type de lien | Type de lien pour cette connexion, par exemple : Cato, ou Alt. WAN |
| Type de connexion | Action de connexion, les valeurs sont : Connexion Admin ou Client VPN (accès distant ou trafic du site) |
| Types de données correspondantes | Types de données DLP correspondants liés à l'événement |
| Champs d'attaque Mitre |
Pour les événements IPS pertinents, affiche les données basées sur la base de connaissances Mitre Att&ck complète des adversaires cybernétiques
|
| Erreur NAT | Indique la raison des problèmes de connectivité liés au NAT |
| Règle Réseau |
Nom de la Règle Réseau correspondante au trafic dans cet Événement Une valeur de 0 indique que le flux a rencontré des problèmes de corruption de paquets ou était un flux système tel que l'accès à l'Interface Web du Socket. |
| Mode Bureau | Indique si le mode Office est activé pour cet utilisateur |
| OnPrem SID | Identifiant unique attribué à un objet utilisateur dans Azure Active Directory de Microsoft (Azure AD), utilisé pour identifier et gérer distinctement l'utilisateur dans divers services Azure. |
| Type d'OS | Type de système d'exploitation de l'hôte, ou appareil tunnel |
| Version du système d'exploitation | Numéro de version du système d'exploitation de l'hôte, ou appareil tunnel |
| Nom du PoP | Nom de l'emplacement PoP qui est connecté à cet Événement |
| Source IP Publique |
L'adresse IP publique attribuée par le PoP d’où le trafic est sorti. Pour les sites utilisant Internet Traffic Backauling comme méthode de routage, ce champ affiche l'adresse IP locale de la plage native pour le site. Le champ n'est pas affiché pour le trafic qui ne sort pas du PoP vers Internet, tel que les requêtes DNS internes et le trafic FTP. |
| Priorité QoS | La valeur de priorité QoS définie dans la Règle Réseau correspondante au Trafic |
| Temps Rapporté QoS | Pour QOS, l'heure à laquelle cet événement QOS a commencé. L'Événement est généré lorsque l'Événement QoS se termine. |
| Types d'enregistrement |
Type de requête (c'est-à-dire requête DNS : A, AAAA, MX, ou PTR) Pour les sous-types d'événements de sécurité des applications et DNS |
| Code d'Enregistrement | Code d'enregistrement utilisé la première fois qu'un utilisateur ZTNA authentifie (le code est partiellement obfusqué) |
| Applications Liées |
Une liste d'applications identifiées dans le flux de traffic pour cet événement, dans le cadre du processus d'identification des applications. Ce processus analyse le Trafic à différentes étapes du flux, collectant des informations sur tous les Protocoles, Services et Applications pour déterminer avec précision l'application finale. Ce champ fournit le contexte pour l'identification de l'application en montrant les applications identifiées tout au long des étapes du processus. |
| Méthode de Requête | Méthode de requête HTTPS (c'est à dire GET, POST) |
| Taille de la requête |
Taille du paquet de requête en octets (par exemple, paquet de requête DNS) Pour les sous-types d'événement de Sécurité DNS et d'Application |
| Taille de Réponse |
Taille du paquet de réponse en octets (c-à-d. paquet de réponse DNS) Pour les sous-types d'événement de DNS et Sécurité des applications |
| Niveau de Risque |
Événement IPS indiquant l'impact global d'une menace pour l'hôte ou le réseau: Niveau de risque faible – risque minimal pour le réseau, tel que les publicitaires Niveau de risque moyen – risque moyen pour le réseau, tel que les analyses de réseau Niveau de risque élevé – risque significatif pour le réseau, tel que les logiciels espions ou les vers |
| Règle | Nom de la règle de pare-feu correspondant au trafic dans cet événement |
| ID de Règle | ID Cato unique pour la règle de sécurité liée à l'événement |
| Nom du compte SAM | Nom de connexion utilisé dans les versions de Windows antérieures à Windows 2000, utilisé au sein d'un Active Directory Windows |
| Gravité | Gravité définie pour la règle de sécurité |
| Portée du partage | Options de partage pour le fichier (tel que SharePoint) |
| ID de signature | Pour IPS et SAM, ID de la signature IPS |
| ID de l'interface de Socket | ID Cato unique pour l'interface de Socket |
| Nom de l'interface de Socket | Nom dans l'Application de gestion Cato pour le port de Socket (interface) |
| Nouvelle Version de Socket | Pour les événements de mise à niveau de Socket, le numéro de version pour la nouvelle version |
| Ancienne Version de Socket | Pour les événements de mise à niveau de Socket, numéro de version pour la version précédente |
| Réinitialisation de Socket | Pour les événements de réinitialisation de Socket, indique une réinitialisation matérielle ou logicielle |
| Rôle de Socket | Pour les événements de haute disponibilité de Socket, indique si le Socket est primaire ou secondaire |
| Pays source | Pour les clients et les sites, l'emplacement physique de l'adresse IP publique qui est en dehors du tunnel (détecté via l'adresse IP publique) |
| Code du pays source | Code pays du pays où se trouve l'hôte source (détecté via l'adresse IP publique) |
| Adresse IP source | L'adresse IP que Cato attribue à l'hôte ou au Client |
| Adresse IP du fournisseur d'accès Internet source | L'adresse IP du fournisseur d'accès Internet qui est en dehors du tunnel connectant le Cloud Cato |
| La source est le Site ou l'Utilisateur SDP | Pour le trafic WAN, type de source : site ou utilisateur SDP |
| Source | Pour tout le trafic, le nom du site source ou utilisateur SDP |
| Port source | Le numéro de port interne pour le Client, le site ou l'hôte pour la connexion réseau |
| Site Source | Pour tout le trafic, le nom du site source ou utilisateur SDP |
| Nom du sous-réseau | Nom du sous-réseau défini dans l'Application de gestion Cato |
| Sous-Type | Sous-type pour un type d'événement, tel que Pare-feu Internet, Activité SDP, Sécurité des applications |
| Cardinalité des Cibles | Nombre de cibles (serveurs) associées à cet événement |
| Accélération TCP |
Indique si le trafic dans l'événement était accéléré par TCP. Les valeurs sont 1 (accéléré) et 0 (non accéléré) Le champ n'apparaît que pour les flux de trafic basés sur TCP |
| Nom de la Menace |
Pour les événements anti-malware, nom des logiciels malveillants Pour les événements IPS, explique la raison pour laquelle le trafic a été bloqué |
| Référence de la Menace | Lien vers la base de données des menaces anti-malware pour le fichier suspect |
| Type de Menace | Type d'événement lié aux logiciels malveillants |
| Verdict de la Menace |
Résultat de l'analyse anti-malware
|
| Temps | Horodatage pour cet événement (format epoch Linux) |
| Description de l'Erreur TLS |
Explication de l'erreur TLS dans cet événement, les valeurs sont : fermer la notification, message inattendu, mauvais enregistrement mac, échec de la décompression, échec de la poignée de main, pas de certificat, mauvais certificat, certificat non supporté, certificat révoqué, certificat expiré, certificat inconnu, paramètre illégal, déchiffrement échoué, débordement de l'enregistrement, CA inconnu, accès refusé, erreur de décodage, erreur de décryptage, restriction d'exportation, version de protocole, sécurité insuffisante, erreur interne, utilisateur annulé, pas de renégociation, identité PSK inconnue, inconnue Pour des explications de ces erreurs, voir ce document |
| Type d'Erreur TLS |
Le type d'erreur TLS pour cet événement, les valeurs sont :
|
| Inspection TLS |
Indique si le trafic dans l'événement était TLS. Les valeurs sont 1 (inspecté) et 0 (non inspecté) Le champ apparaît uniquement pour les flux de trafic TLS |
| Nom de la Règle TLS | Lorsque le trafic dans l'événement a été inspecté par TLS, ce champ montre le nom de la règle correspondante au trafic (uniquement lorsque le trafic correspond à une règle autre que les règles par défaut) |
| Version TLS | Numéro de version du protocole TLS pour cet événement |
| Sens du Trafic | Direction du trafic réseau pour cet événement, les valeurs sont entrant ou sortant |
| Taille de la Transaction |
Taille totale de la transaction en octets, incluant à la fois la demande et la réponse Pour les sous-types d'événement de Sécurité des Applications et DNS |
| Protocole de Tunnel | Protocole pour la connexion du tunnel |
| Heure de Fin de Mise à Niveau | Heure de fin de mise à niveau du Socket (format epoch Linux) |
| Mise à Niveau Initiée Par | Indique si la mise à niveau du Socket a eu lieu pendant la fenêtre de maintenance ou a été initiée par le Support (la valeur est Admin Cato) |
| Heure de Début de Mise à Niveau | Heure de début de mise à niveau du Socket (format epoch Linux) |
| URL | Pour le trafic Internet, URL pour l'événement |
| Agent Utilisateur |
L'agent utilisateur utilisé lors de la connexion tel qu'il apparaît dans le champ de l'Agent Utilisateur dans l'en-tête HTTP pour le trafic. Ce champ n'est rempli que lorsque le point de présence extrait sa valeur des requêtes HTTP, ce qui se produit actuellement dans les cas suivants :
Ce sont des exemples de valeurs d'agent utilisateur :
|
| Méthode de Sensibilisation de l'Utilisateur | Méthode utilisée pour obtenir l'identité avec Sensibilisation de l'utilisateur (tel qu'Agent d'Identité) |
| Email de l'Utilisateur | Adresse e-mail pour l'utilisateur |
| Nom d'Utilisateur | Utilisateur ayant généré l'événement |
| ID de l'Objet Utilisateur | Identifiant unique assigné à un objet utilisateur dans Azure Active Directory, utilisé pour identifier de manière distincte et gérer les comptes utilisateur |
| User Principal Name | Nom de connexion pour un utilisateur dans un environnement Microsoft Active Directory, formaté comme une adresse e-mail (par exemple, utilisateur@domaine.com), utilisé pour la connexion |
| ID de Référence Utilisateur | Pour la page Bloquer/Inviter, ID de référence pour signaler la catégorie incorrecte |
| SID de l'Utilisateur | Identifiant unique attribué à chaque utilisateur sur un système de périphérique Windows pour gérer les autorisations et les droits d'accès |
| Nom de Domaine Windows | Pour les événements de synchronisation LDAP, le nom du domaine AD |
| XFF | L'en-tête HTTP XFF indique l'adresse IP d'origine pour les connexions |
Voici une liste des sous-types d'événement :
-
Connectivité
- Clé API
- Application de gestion Cato
- PoP Modifié
- Politique de Connectivité Client
- Connecté
- Bail DHCP
- Déconnecté
- Surveillance du réseau local
- Last-Mile Quality
- Link-Aggregation
- Hors-Cloud Transport Connect
- Hors-Cloud Transport Disconnect
- Passive Connect
- Passive Disconnect
- Reconnected
- Recovery via Alt. WAN
- Code d'Enregistrement
- SDP Portal
- Socket Fail-Over
-
Détection et Réponse
- XDR Point de terminaison
- Réseau XDR
- XDR Threat
-
Routage
- Routage BGP
- BGP Session
- VPN Never-Off Bypass
-
Sécurité
- Connexion à l'application
- Sécurité des applications
- Protection DNS
- Protection des terminaux
- Alerte d'identité
- Pare-feu Internet
- IPS
- Pare-feu LAN
- Authentification Adresse MAC
- Misclassification
- Anti-malware NG
- RPF
- Anti Malware API de sécurité SaaS
- Protection des données API de sécurité SaaS
- Activité SDP
- Activité suspecte
- TLS
- Pare-feu WAN
-
Gestion des Sockets
- Réinitialisation du mot de passe Socket
- Mise à niveau des Sockets
- Interface Web du Socket
-
Système
- Échec de la connectivité aux services d'annuaire
- Services d'annuaire
- Utilisateurs multiples détectés
- LIMITE DE QUOTA
- Provisionnement SCIM
- Licence SDP
Voici les types de chaque champ et comment les utiliser pour les filtres manuels.
- Date et Heure - Valeurs pour les dates dans ce format
<year>-<month>-<day>T<hour>:<minute>:<second>.<millisecond>Z, par exemple2021-01-01T12:10:30.591Z - IP - Filtrer les adresses IP à l'aide de la notation CIDR :
[ip_address]/[prefix_length] - Mot-clé - Entrez des chaînes de texte, vous ne pouvez rechercher que les champs de mots-clés avec la valeur exacte
- Lien - Lien vers une référence externe
- Nombre - Entrez des nombres sous forme d'entiers
- Texte - Description de l'événement, ne peut pas être inclus dans un filtre
Les clients MDR (Détection et Réponse Gérée) de Cato Networks peuvent voir les événements pour les incidents de sécurité sur la page Événements. Le tableau suivant explique les champs d'événement pour ces incidents dans le sous-type d'événement MDR.
| Nom | Type | Description |
|---|---|---|
| Classe de Client | mot-clé | Type d'applications clientes qui s'exécutent sur le système d'exploitation qui a créé ce flux de réseau (par exemple, Chrome) |
| Cardinalité des Flux | nombre | Nombre de flux réseau inclus dans cet incident de sécurité |
| Agrégation d'Incident | nombre |
Une valeur vrai/faux qui indique si cet événement est :
|
| ID d'Incident | mot-clé | ID qui identifie cet incident de sécurité. Vous pouvez utiliser cet ID pour obtenir plus d'informations auprès de l'équipe MDR. |
| Cardinalité des Cibles | nombre | Nombre de serveurs inclus dans cet incident de sécurité |
Le service de Sécurité IoT/OT découvre et surveille les appareils connectés à votre réseau. Le tableau suivant explique les champs d'événements contenant des données liées à ce service.
| Nom | Description |
|---|---|
| Catégories de l'Appareil | Catégories générales auxquelles l'appareil lié à l'événement appartient |
| ID de l'Appareil | Identifiant Cato unique pour l'appareil lié à l'événement |
| Fabricant de l'Appareil | Entreprise qui a fabriqué l'appareil lié à l'événement |
| Modèle de l'Appareil | Nom du modèle de l'appareil lié à l'événement |
| Type d'OS de l'Appareil | Le système d'exploitation sur l'appareil lié à l'événement |
| Type d'Appareil | Type spécifique de l'appareil lié à l'événement. Il est possible que le Type d'Appareil inclue plusieurs modèles différents |
Pour en savoir plus sur les événements et les champs SDP, consultez Aperçu du Portail d'Accès du Navigateur - Sécurisation de l'Accès à Distance aux Applications.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.