注意
注: これは限定リリースのみで利用可能な早期アクセス(EA)機能です。 この機能の有効化についての詳細は、ea@catonetworks.com宛にメールを送信するか、Cato Networksの担当者にお問い合わせください。
本記事は、Catoの項目とSplunk共通情報モデル(CIM)の項目間のサポートされたデータモデルに対応する例を示しています。 この参照情報を使用して、CatoデータがSplunkの検索、ダッシュボード、および検出でどのように正規化されるかを理解します。
詳細情報は、Splunk統合のためのCatoテクノロジーアドオンの設定 (EA)を参照してください。
|
Cato項目 |
CIM項目 |
ソース |
Splunk CIMの説明 |
|
アクション |
アクション |
イベント / フロー |
ネットワークデバイスによって取られたアクション |
|
アプリケーション名 |
アプリ |
イベント / フロー |
トラフィックのアプリケーションプロトコル |
|
宛先IP |
宛先 |
イベント / フロー |
宛先のIPアドレス |
|
宛先ポート |
宛先ポート |
イベント / フロー |
ネットワークトラフィックの宛先ポート |
|
方向 |
方向 |
イベント / フロー |
ネットワークトラフィックの方向(例:インバウンド/アウトバウンド) |
|
下り |
受信バイト数 |
フロー |
受信した(インバウンド)バイト数 |
|
期間 |
期間 |
フロー |
ネットワークイベント完了までの時間(秒) |
|
IPプロトコル |
トランスポート |
フロー |
OSIレイヤー4(トランスポート)プロトコル(例:TCPまたはUDP) |
|
IPv4 |
プロトコル |
イベント / フロー |
OSIレイヤー3(ネットワーク)プロトコル (例:IPv4またはIPv6) |
|
POP名 |
DVC |
イベント / フロー |
トラフィックイベントを報告したデバイス |
|
送信元IP |
送信元 |
イベント / フロー |
ネットワークイベントを起こしたデバイスのIPアドレス |
|
送信元ポート |
送信元ポート |
イベント / フロー |
ネットワークトラフィックの送信元ポート |
|
トラフィック方向 |
方向 |
フロー |
ネットワークトラフィックの方向(例:インバウンド/アウトバウンド) |
|
上り |
送信バイト数 |
フロー |
送信した(アウトバウンド)バイト数 |
|
ユーザー名 |
ユーザー |
イベント / フロー |
トラフィックフローを要求したユーザー |
|
固定: “Cato Networks” |
ベンダー |
イベント / フロー |
ネットワークイベントを生成する製品のベンダー |
|
固定: “Cato SASE” |
ベンダー製品 |
イベント / フロー |
ベンダーのネットワークデバイスの製品名 |
|
下り + 上り |
バイト数 |
フロー |
転送されたバイト数の合計(入出) |
|
Cato項目 |
CIM項目 |
ソース |
Splunk CIMの説明 |
|---|---|---|---|
|
アクション |
アクション |
イベント |
侵入防止システムによって取られたアクション |
|
アプリケーション名 |
アプリ |
イベント |
トラフィックのアプリケーションプロトコル |
|
宛先国 |
宛先国 |
イベント |
宛先のIPアドレスに関連付けられた国 |
|
宛先IP |
宛先 |
イベント |
宛先のIPアドレス |
|
宛先ポート |
宛先ポート |
イベント |
ネットワークトラフィックの宛先ポート |
|
宛先サイト名 |
宛先ゾーン |
イベント |
宛先ゾーンの名前 |
|
POP名 |
DVC |
イベント |
侵入イベントを検知したデバイス |
|
送信元国 |
送信元国 |
イベント |
送信元IPアドレスに関連付けられた国 |
|
送信元IP |
送信元 |
イベント |
侵入イベントを起こしたデバイスのIPアドレス |
|
送信元ポート |
送信元ポート |
イベント |
ネットワークトラフィックの送信元ポート |
|
送信元サイト名 |
送信元ゾーン |
イベント |
送信元ゾーンの名前 |
|
脅威名 |
署名 |
イベント |
このクライアント (src) に検出された侵入の名前。例: PlugAndPlay_BO。トラフィックは拒否されました。 |
|
脅威の種類 |
カテゴリ |
イベント |
このクライアント (src) で検出された侵入のカテゴリ。例: エクストリューション ポリシー違反 |
|
url |
url |
イベント |
侵入イベントに関連付けられた URL |
|
ユーザー名 |
ユーザー |
イベント |
侵入検知イベントに関連するユーザー |
|
シグネチャID |
シグネチャID |
イベント |
署名の ID またはバージョン |
|
条件: ここにマップされたすべてのイベントに対する “network” |
IDSの種類 |
イベント |
イベントを生成した IDS タイプ。例: ネットワーク型またはホスト型 |
|
IPv4 |
プロトコル |
イベント |
OSI レイヤ3 (ネットワーク) プロトコル |
|
固定: 「Cato Networks」 |
ベンダー |
イベント |
侵入検知イベントを生成する製品のベンダー |
|
固定: 「Cato SASE」 |
ベンダー製品 |
イベント |
ベンダーの侵入検知ソフトウェア製品名 |
|
Cato 項目 |
CIM 項目 |
ソース |
Splunk CIM 説明 |
|---|---|---|---|
|
アクション |
アクション |
イベント |
DNS サーバーまたはセキュリティ デバイスによって行われたアクション |
|
アプリケーション名 |
アプリ |
イベント |
DNS クエリを開始したアプリケーション |
|
宛先IP |
宛先 |
イベント |
DNS サーバーの IP アドレス |
|
DNSクエリ |
クエリ |
イベント |
クエリされたドメイン名 |
|
DNSレコードタイプ |
レコードタイプ |
イベント |
DNS リソースレコードタイプ。例: A、AAAA、CNAME、PTR |
|
POP名 |
DVC |
イベント |
DNS クエリを処理したデバイス |
|
送信元IP |
送信元 |
イベント |
DNS クエリを開始したデバイスの IP アドレス |
|
ユーザー名 |
ユーザー |
イベント |
DNS クエリを開始したユーザー |
|
IPv4 |
プロトコル |
イベント |
OSI レイヤ3 (ネットワーク) プロトコル |
|
固定: 「Cato Networks」 |
ベンダー |
イベント |
DNS イベントを生成する製品のベンダー |
|
固定: 「Cato SASE」 |
ベンダー製品 |
イベント |
ベンダーの DNS セキュリティソフトウェア製品名 |
|
Cato 項目 |
CIM 項目 |
ソース |
Splunk CIM 説明 |
|---|---|---|---|
|
アクション |
アクション |
イベント |
ウェブ プロキシまたはセキュリティ デバイスによって行われたアクション |
|
アプリケーション名 |
アプリ |
イベント |
ウェブ トラフィックを生成したアプリケーション |
|
カテゴリ |
カテゴリ |
イベント |
ウェブリクエストのカテゴリ。例: 検索エンジン、ニュース、またはショッピング |
|
宛先IP |
宛先 |
イベント |
ウェブ サーバーの IP アドレス |
|
宛先ポート |
宛先ポート |
イベント |
ネットワーク トラフィックの宛先ポート |
|
HTTPリクエストメソッド |
HTTPメソッド |
イベント |
ウェブ リクエストで使用される HTTP メソッド |
|
HTTPレスポンスコード |
ステータス |
イベント |
HTTP レスポンスのステータス コード |
|
IPプロトコル |
トランスポート |
イベント |
OSI レイヤ4 (トランスポート) プロトコル |
|
POP名 |
DVC |
イベント |
ウェブ リクエストを処理したデバイス |
|
リファラーURL |
HTTPリファラー |
イベント |
ウェブリクエストで使用される HTTP 参照元 |
|
リクエストサイズ |
受信バイト数 |
イベント |
ウェブサーバーによって受信されたバイト数 |
|
レスポンスサイズ |
送信バイト数 |
イベント |
ウェブサーバーによって送信されたバイト数 |
|
送信元IP |
src |
イベント |
ウェブサーバにアクセスしたクライアントのIPアドレス |
|
src_port |
src_port |
イベント |
ネットワークトラフィックの送信元ポート |
|
transaction_size |
bytes |
イベント |
転送されたバイトの合計数 |
|
url |
url |
イベント |
ウェブリクエストのURL |
|
user_agent |
http_user_agent |
イベント |
クライアントのユーザーエージェント文字列 |
|
user_name |
ユーザー |
イベント |
ウェブサーバーにアクセスしたユーザー |
|
Ipv4 |
プロトコル |
イベント |
OSI層3(ネットワーク)プロトコル |
|
該当なし |
cookie |
イベント |
イベントで記録されたクッキーファイル |
|
Static: “Cato Networks” |
ベンダー |
イベント |
ウェブイベントを生成する製品のベンダー |
|
Static: “Cato SASE” |
vendor_product |
イベント |
ベンダーのウェブセキュリティソフトウェアの製品名 |
|
Cato Field |
CIM Field |
ソース |
説明 |
|---|---|---|---|
|
アクション |
アクション |
イベント |
認証システムによって行われたアクション |
|
application_name |
アプリ |
イベント |
アクセスされたアプリケーション |
|
auth_method |
authentication_method |
イベント |
使用される認証方法(例:LDAP、RADIUS、ローカル) |
|
dest_ip |
dest |
イベント |
認証サーバーのIPアドレス |
|
failure_reason |
reason_id |
イベント |
認証失敗の理由 |
|
pop_name |
dvc |
イベント |
認証リクエストを処理したデバイス |
|
src_ip |
src |
イベント |
認証試行を開始したデバイスのIPアドレス |
|
user_agent |
user_agent |
イベント |
クライアントのユーザーエージェント文字列 |
|
user_name |
src_user |
イベント |
認証試行を開始したユーザー |
|
user_name |
ユーザー |
イベント |
認証を試みたユーザー |
|
Static: “Cato Networks” |
ベンダー |
イベント |
認証イベントを生成する製品のベンダー |
|
Static: “Cato SASE” |
vendor_product |
イベント |
ベンダーの認証システムの製品名 |
|
Cato Field |
CIM Field |
ソース |
説明 |
|---|---|---|---|
|
アクション |
アクション |
イベント |
マルウェア検出システムによって行われたアクション |
|
application_name |
アプリ |
イベント |
マルウェアイベントに関連するアプリケーション |
|
dest_ip |
dest |
イベント |
宛先のIPアドレス |
|
file_hash |
file_hash |
イベント |
マルウェアイベントに関与したファイルのハッシュ |
|
file_name |
file_name |
イベント |
マルウェアイベントに関連するファイルの名前 |
|
file_size |
file_size |
イベント |
マルウェアイベントに関与したファイルのサイズ |
|
full_path_url |
file_path |
イベント |
マルウェアイベントに関与したファイルのパス |
|
pop_name |
dvc |
イベント |
マルウェアを検出したデバイス |
|
src_ip |
src |
イベント |
マルウェアが検出されたデバイスのIPアドレス |
|
threat_name |
署名 |
イベント |
クライアント(src)で検出されたマルウェア感染の名前 |
|
threat_type |
カテゴリ |
イベント |
クライアント (src) で検出されたマルウェアのカテゴリ |
|
user_name |
ユーザー |
イベント |
マルウェアイベントに関与したユーザー |
|
Static: \"Cato Networks\" |
ベンダー |
イベント |
マルウェアイベントを生成する製品のベンダー |
|
Static: \"Cato SASE\" |
vendor_product |
イベント |
ベンダーのマルウェア検出ソフトウェアの製品名 |
|
Cato 項目 |
CIM 項目 |
ソース |
Splunk CIM 説明 |
|---|---|---|---|
|
アクション |
アクション |
イベント |
リソースで行われたアクション |
|
admin_email |
src_user_email |
イベント |
変更を開始したユーザーのメールアドレス |
|
イベントサブタイプ |
コマンド |
イベント |
変更を開始したコマンド |
|
POP名 |
DVC |
イベント |
変更が観測されたデバイス |
|
ユーザーID |
オブジェクトID |
イベント |
変更されたオブジェクトのID |
|
ユーザー名 |
オブジェクト |
イベント |
変更されたオブジェクト |
|
ユーザー名 |
送信元ユーザー |
イベント |
変更を開始したユーザー |
|
ユーザー名 |
ユーザー |
イベント |
変更を実行したユーザー |
|
条件: “ユーザー”または“管理者” |
オブジェクトカテゴリ |
イベント |
変更されたオブジェクトのカテゴリ |
|
静的: “AAA” |
変更タイプ |
イベント |
変更のタイプとして、ファイルシステムまたはAAA(認証、認可、会計)。 |
|
静的: “Cato管理画面” |
宛先 |
イベント |
変更の宛先 |
|
静的: “Cato Networks” |
ベンダー |
イベント |
変更イベントを生成する製品のベンダー |
|
静的: “Cato SASE” |
ベンダー製品 |
イベント |
ベンダーの変更管理システムの製品名 |
|
静的: “成功” |
ステータス |
イベント |
変更のステータス |
0件のコメント
サインインしてコメントを残してください。