これらはCato管理画面 (CMA) のイベント項目の説明です。 イベント項目は頻繁に更新されています。イベント項目の全リストについては、EventFieldNameのCato GraphQL APIリファレンスを参照してください。
Cato API のイベントデータを使用する顧客向けに、Cato GraphQL API スキーマの変更や寿命終了 (EoL) の発表に関する通知については、Cato API Potentially Breaking Changes and EoLを参照してください。 フォローをクリックして、この記事の更新に対するメール通知を自動的に受け取るようにしてください。
| 名前 | 説明 |
|---|---|
| アクション |
イベントタイプに関連するアクション、例えば:
|
| アクティブディレクトリ名 | ソケットの背後にあるデバイスに関連付けられたアクティブディレクトリユーザーアウェアネス名 |
| APIキーネーム | Cato管理画面で公開APIキーに定義された名前 |
| アプリケーション | 異なるポリシーで使用されているアプリケーション、例: Facebook, CNN |
| 認証タイプ | このイベントに接続された認証方法、例: 2要素認証またはパスワード |
| BGP Cato ASN | Cato BGPピアのBGP ASN(ローカル接続) |
| BGP Cato IP | Cato BGPピアのBGP IPアドレス(ローカル接続) |
| BGPエラーコード | BGP切断イベントに関するエラーメッセージ |
| BGPピアASN | BGPピアのBGP ASN(リモート接続) |
| BGPピア説明 | BGPイベント用に、Cato管理画面からのBGPネイバーの説明 |
| BGPピアIP | BGPピアのBGP IPアドレス(リモート接続) |
| BGPルートCIDR | BGPルートのCIDR |
| BGPサブエラーコード | BGP切断イベントに関連付けられたエラーメッセージ |
| カテゴリ | デフォルトシステムCatoカテゴリ |
| フローで使用されているアプリケーション | このトラフィックフローに関連するアプリデータ |
| 証明書の有効期限 | クライアント証明書の有効期限 |
| クライアントクラス | このトラフィックを生成するプロセスのタイプ |
| クライアントバージョン | ソケットまたはCatoクライアントのバージョン番号 |
| Collaborators | For SaaS Security API, email addresses of the users that received the file |
| 設定済みホスト名 | Cato管理画面で静的IPアドレスを持つホストに設定された名前 |
| 輻輳アルゴリズム | イベントにおけるトラフィックのTCP輻輳制御アルゴリズム。 可能な値: CUBIC, NewReno, BBR |
| コネクタ名 | SaaSセキュリティAPIの場合、コネクタの名前 |
| コネクタタイプ | SaaSセキュリティAPIの場合、コネクタ用のSaaSアプリ |
| 重大度 | XDRイベントの場合、0(リスク/影響なし)から10(非常に高リスク/影響) |
| カスタムカテゴリ | アカウントのカスタムカテゴリ(リソース > カテゴリ) |
| 宛先国 | インターネットトラフィックの場合、宛先サーバーのIPアドレスに基づく所在地 |
| 宛先国コード | インターネットトラフィックの場合、ISO 3166-1 alpha-2に基づいて宛先ホストが所在する国の2文字国コード |
| 宛先IP | インターネットトラフィックの場合、宛先サーバーのIPアドレス |
| 宛先はサイトまたはSDPユーザー | WANトラフィックの場合、宛先タイプ: サイトまたはSDPユーザー |
| 宛先ポート | インターネットトラフィックの場合、宛先サーバーのポート番号 |
| 宛先サイト | WANトラフィックの場合、宛先サイトまたはSDPユーザーの名前 |
| デバイス名 | イベントに接続されたホストの名前 |
| デバイスプロファイル | このイベントに一致したプロファイル |
| ディレクトリホスト名 | LDAPイベントの場合、ホスト名 |
| ディレクトリIP | LDAPイベントの場合、ドメインコントローラのIPアドレス |
| ディレクトリ同期結果 | LDAPイベントの場合、ドメインコントローラとの同期の結果 |
| ディレクトリ同期タイプ | ドメインコントローラとの同期があったため生成されたLDAPイベント |
| 表示名 | ユーザーの名前 |
| DLPプロファイル | イベントに関連するDLPプロファイル |
| DNSの保護カテゴリ | CatoのDNSリクエストに一致したDNS保護の種類 |
| DNSクエリ | DNSリクエストでクエリされたドメイン |
| ドメイン名 | SSL SNI, HTTPホスト名, DNS名 |
| 期間ミリ秒 |
トランザクションまたは操作の開始と終了間のミリ秒単位の期間。 例えば、DNSまたはHTTPイベントでは、要求と対応する応答間の時間を反映しています。 DNSイベントサブタイプのために |
| 出力PoP名 |
ネットワークルールでNATまたはルート経由の設定を使用して定義された、トラフィックが出力されるPoPの名前 フィールドは、トラフィックがサイトに接続されているPoP以外から出力される場合のみ表示されます |
| 出力サイト | バックホーリングトラフィックのための出力サイトの名前 |
| イベント数 | 1分間に複数回繰り返されるイベントの数 |
| イベントメッセージ |
Catoによるイベントの説明 BGPルート無視アクションの場合:
|
| イベントタイプ | イベントのタイプ: 接続性、セキュリティ、ルーティング、システム、ソケット管理、または検出と対応 |
| ファイルハッシュ | マルウェア対策イベントの場合、関連ファイルのハッシュ |
| ファイル名 |
関連ファイルの名前 注: 検出時にPoPが実際のファイル名を取得できない場合、ファイル名としてURLの最後の部分を使用します。例えば、ダウンロード |
| ファイルサイズ | 関連ファイルのサイズ(バイト単位) |
| ファイルタイプ |
ファイルのコンテンツタイプ(アーカイブやMicrosoft Officeなど) ファイル制御ルールにおいて、form_dataはウェブフォームを通じて送信されるデータの一般的な表現であり、HTTPリクエストでよく使用されます(例: マルチパートフォーム送信)。 特定のファイルタイプを示すものではありません。 |
| フローのカーディナリティ | 特定のインシデントにおけるフローの数 |
| フローのフルパスURL | アプリ活動のフルパスURL アプリケーション制御 を有効にすると、この項目がアプリケーションセキュリティイベントに表示されます。 |
| ホストIP | イベントに関連するホストのIPアドレス |
| ホストのMACアドレス | このイベントに関連するホストのMACアドレス |
| HTTPレスポンスコード |
返されたHTTPステータスコード(例: DNSリクエスト処理時のDoHサーバーでのコード) DNSとアプリケーションセキュリティイベントのサブタイプ |
| IPプロトコル | このイベントのネットワークプロトコル |
| ISP 名 |
このイベントで使用されたISP IPアドレスがISPによって提供されていない場合、イベントメッセージは IPアドレスは静的に割り当てられます と表示されます。 注: 複数のアクティブなWANインターフェースを使用しているサイトでは、ISP名の値が正確でない可能性があります。インターフェースはトラフィックフローのライフタイム中に変わるためです。 |
| リンクの健全性は輻輳しています | 特定のリンクの輻輳を測定するデータ |
| リンクの健全性ジッター | 特定のリンクのジッターを測定するデータ |
| リンクの健全性レイテンシー | 特定のリンクのレイテンシーを測定するデータ |
| リンクの健全性パケットロス | 特定のリンクのパケットロスを測定するデータ |
| リンクタイプ | この接続のリンクタイプ、例えば: Cato または Alt. WAN |
| ログインタイプ | ログインアクション、値は: 管理者ログイン または VPNクライアント(リモートアクセスまたはサイトトラフィック) |
| 一致したデータの種類 | イベントに関連する一致したDLPデータの種類 |
| Mitre攻撃項目 |
関連するIPSイベントについて、包括的なMitre Att&ckナレッジベースに基づいたデータを表示します
|
| NATエラー | NATに関連する接続性の問題の理由を示します |
| ネットワークルール |
このイベントでトラフィックによって一致したネットワークルールの名前 値が0の場合、それはフローがパケット腐敗の問題を経験したか、またはソケットWebUIへのアクセスのようなシステムフローであったことを示します。 |
| オフィスモード | オフィスモードがこのユーザーに対して有効であるかどうかを示します |
| オンプレミス SID | MicrosoftのAzure Active Directory (Azure AD)におけるユーザーオブジェクトに割り当てられるユニーク識別子であり、さまざまなAzureサービスを通じてユーザーを明確に識別し、管理するために使用されます。 |
| OS タイプ | ホストオペレーティングシステム、またはトンネルデバイスのタイプ |
| OS バージョン | ホストオペレーティングシステム、またはトンネルデバイスのバージョン番号 |
| PoP 名 | このイベントに接続されているPoPロケーションの名前 |
| 送信元IP |
トラフィックが出力されたPoPにより割り当てられた公開IPアドレス。 インターネットトラフィックバックホールをルーティング方法として使用しているサイトの場合、このフィールドはサイトのネイティブ範囲のローカルIPアドレスを表示します。 内部DNSリクエストやFTPトラフィックなど、PoPからインターネットに出力されないトラフィックにはフィールドは表示されません。 |
| QoS優先度 | トラフィックに一致したネットワークルールに定義されたQoS優先度値 |
| QoS報告された時間 | QoSに対して、このQoSイベントが開始された時間。 イベントはQoSイベントが終了したときに生成されます。 |
| レコードタイプ |
クエリのタイプ(例:DNSクエリ:A、AAAA、MX、またはPTR) DNSおよびアプリケーションセキュリティイベントのサブタイプに関して |
| 登録コード | ZTNAユーザーが初めて認証する際に使用される登録コード(コードは部分的に曖昧化されています) |
| 関連アプリケーション |
このイベントのためにトラフィックフローで特定されたアプリケーションのリスト、アプリケーション識別プロセスの一部として。 このプロセスは、フローの異なるステージでトラフィックを分析し、すべてのプロトコル、サービス、アプリケーションについての情報を集めてアプリケーションの正確な最終判断をします。 このフィールドは、プロセスのステージを通じて特定されたアプリを表示することでアプリ識別のコンテキストを提供します。 |
| リクエストメソッド | HTTPプロトコルリクエストメソッド(例えば、GET、POST) |
| リクエストサイズ |
リクエストパケットサイズ(バイト単位)(例:DNSリクエストパケット) DNSおよびアプリセキュリティイベントのサブタイプに対して |
| 対応サイズ |
対応パケットサイズ(バイト単位)(例:DNS対応パケット) DNSおよびアプリケーションセキュリティイベントサブタイプのために |
| リスクレベル |
ホストまたはネットワークに対する脅威の全体的な影響を示すIPSイベント: リスクレベル低 - ネットワークへの最小リスク、広告ウェアなど リスクレベル中 - ネットワークへの中程度のリスク、ネットワークスキャンなど リスクレベル高 - ネットワークへの重大なリスク、スパイウェアまたはワームなど |
| DNSポリシー | このイベントでトラフィックと一致したファイアウォールルールの名前 |
| ルールID | イベントに関連するセキュリティルールのユニークなCato ID |
| SAMアカウント名 | Windows Active Directoryで使用されるWindows 2000より前のバージョンのログオン名 |
| セベリティ | セキュリティルールに定義されたセベリティ |
| 共有スコープ | ファイルの共有オプション(SharePointなど) |
| シグネチャーID | IPSとSAMの場合、IPSシグネチャーのID |
| ソケットインタフェースID | ソケットインタフェースのユニークなCato ID |
| ソケットインタフェース名 | Cato Management Application内部のソケットポート(インターフェース)の名前 |
| ソケットの新しいバージョン | ソケットアップグレードイベントの場合、新しいバージョンの番号 |
| ソケットの旧バージョン | ソケットアップグレードイベントの場合、以前のバージョンの番号 |
| ソケットリセット | ソケットリセットイベントの場合、ハードウェアまたはソフトウェアのリセットを示す |
| ソケットロール | ソケット高可用性イベントの場合、ソケットがプライマリかセカンダリかを示す |
| 送信元国 | クライアントとサイトに対して、公衆IPアドレスによって検出されたトンネル外の物理位置 |
| ソース国コード | 公衆IPアドレスによって検出された送信元ホストが所在する国の国コード |
| 送信元IP | ホストまたはクライアントにCatoが割り当てたIPアドレス |
| 送信元ISP IP | Cato Cloudに接続するトンネルの外にあるISP IPアドレス |
| ソースはサイトまたはSDPユーザー | WANトラフィックの場合、送信元タイプ: サイトまたはSDPユーザー |
| ソース | すべてのトラフィックの場合、送信元サイトまたはSDPユーザーの名前 |
| 送信元ポート | ネットワーク接続用のクライアント、サイト、またはホストの内部ポート番号 |
| 送信元サイト | すべてのトラフィックの場合、送信元サイトまたはSDPユーザーの名前 |
| サブネット名 | Cato管理画面で定義されたサブネットの名前 |
| サブタイプ | イベントタイプのサブタイプ、インターネットファイアウォールやSDPアクティビティ、アプリセキュリティなど |
| ターゲットのカーディナリティ | このイベントに関連するターゲット(サーバー)の数 |
| TCPアクセラレーション |
このイベントのトラフィックがTCPアクセラレートされているかどうかを表示します。 値は1(アクセラレーション済み)と0(未アクセラレーション)です フィールドはTCPベースのトラフィックフローに対してのみ表示されます |
| 脅威名 |
マルウェア対策イベントの場合、マルウェア名 IPSイベントの場合、トラフィックがブロックされた理由を説明します |
| 脅威リファレンス | 疑わしいファイルに対するマルウェア対策の脅威データベースへのリンク |
| 脅威の種類 | マルウェアイベントの種類 |
| 脅威判定 |
マルウェア対策スキャンの結果
|
| 時間 | このイベントのタイムスタンプ(Linuxエポック形式) |
| TLSエラーの説明 |
このイベントでのTLSエラーの説明、値は以下の通りです: クローズ通知、予期しないメッセージ、不良レコードMAC、デコンプレッションの失敗、ハンドシェイクの失敗、証明書なし、不良証明書、サポートされていない証明書、証明書の取り消し、証明書の期限切れ、不明な証明書、違法なパラメータ、復号の失敗、レコードオーバーフロー、不明なCA、アクセス拒否、デコードエラー、デクリプトエラー、エクスポート制限、プロトコルバージョン、セキュリティ不足、内部エラー、ユーザーキャンセル、再ネゴシエーションなし、不明なPSKアイデンティティ、不明 これらのエラーの説明については、このドキュメントを参照してください |
| TLSエラータイプ |
このイベントのTLSエラーのタイプ、値は以下の通りです:
|
| TLSインスペクション |
このイベントでトラフィックがTLSだったかどうかを表示します。 値は1(検査済み)と0(未検査)です フィールドはTLSトラフィックフローに対してのみ表示されます |
| TLSルール名 | このイベントでトラフィックがTLS検査され、トラフィックがデフォルトルール以外のルールと一致した場合、このフィールドに一致したルールの名前が表示されます |
| TLSバージョン | このイベントのTLSプロトコルのバージョン番号 |
| トラフィックの方向 | このイベントのネットワークトラフィックの方向、値はインバウンドまたはアウトバウンド |
| トランザクションサイズ |
リクエストとレスポンスの両方を含むバイト単位の総トランザクションサイズ DNSとアプリセキュリティイベントサブタイプ |
| トンネルプロトコル | トンネル接続のプロトコル |
| アップグレード終了時間 | ソケットアップグレード終了時間(Linuxエポック形式) |
| アップグレードの開始者 | Socketアップグレードがメンテナンスウィンドウ内で発生したか、サポートによって開始されたかを示します(値はCato Adminです) |
| アップグレード開始時間 | ソケットアップグレード開始時間(Linuxエポック形式) |
| URL | インターネットトラフィックの場合、イベントのURL |
| ユーザーエージェント |
トラフィックのHTTPヘッダーのユーザーエージェント項目に表示されるサインインで使用されたユーザーエージェント このフィールドはPOPがHTTPリクエストから値を抽出する際にのみ取得され、現在以下のケースで発生します:
これらはユーザーエージェント値の例です:
|
| ユーザー認識メソッド | ユーザー認識によるアイデンティティ取得に使用されるメソッド(Identity Agentなど) |
| ユーザーメールアドレス | ユーザーのメールアドレス |
| ユーザー名 | イベントを生成したユーザー |
| ユーザーオブジェクトID | Azure Active Directory内のユーザーオブジェクトに割り当てられた一意の識別子で、ユーザーアカウントを明確に識別および管理するために使用 |
| ユーザプリンシパル名 | Microsoft Active Directory環境で、メールアドレス形式 (例: user@domain.com) のサインイン用ログイン名 |
| ユーザーリファレンスID | アーカイブページ用、カテゴリ不一致を報告するためのリファレンスID |
| ユーザーSID | 各ユーザーにWindowsデバイスシステムで割り当てられた一意の識別子で、権限とアクセス権を管理するために使用される |
| Windowsドメイン名 | LDAP同期イベント用の、ADドメインの名前 |
| XFF | XFF HTTPヘッダーは接続の元のIPアドレスを示します。 |
これはイベントサブタイプのリストです:
-
接続性
- APIキー
- Cato管理アプリケーション
- PoPの変更
- クライアント接続ポリシー
- 接続済み
- DHCPリース
- 切断
- LANモニタリング
- Last-Mile Quality
- Link-Aggregation
- Off-Cloud Transport Connect
- Off-Cloud Transport Disconnect
- Passive Connect
- Passive Disconnect
- Reconnected
- Recovery via Alt. WAN
- 登録コード
- SDPポータル
- Socket Fail-Over
-
検出と対応
- XDRエンドポイント
- XDRネットワーク
- XDR脅威
-
ルーティング
- BGPルーティング
- BGPセッション
- VPN Never-Off Bypass
-
セキュリティ
- Application Sign in
- アプリケーションセキュリティ
- DNSの保護
- エンドポイント保護
- アイデンティティアラート
- インターネットファイアウォール
- IPS
- LAN ファイアウォール
- MAC アドレス認証
- Misclassification
- 次世代アンチマルウェア
- RPF
- SaaSセキュリティAPIマルウェア対策
- SaaSセキュリティAPIデータ保護
- SDPアクティビティ
- 不審な活動
- TLS
- WANファイアウォール
-
ソケット管理
- Socket Password Reset
- ソケットアップグレード
- ソケットWebUIアクセス
-
システム
- DC接続の失敗
- ディレクトリサービス
- Multiple Users Detected
- QUOTA LIMIT
- SCIMプロビジョニング
- SDPライセンス
これらは各フィールドのタイプと手動フィルターの使用方法です。
Cato NetworksのMDR(Managed Detection and Response)顧客はイベントページでセキュリティインシデントのイベントを閲覧できます。 以下のテーブルは、イベントサブタイプMDRにおけるこれらのインシデントのイベントフィールドを説明します。
| 名前 | タイプ | 説明 |
|---|---|---|
| クライアント クラス | キーワード | OSを実行するクライアントアプリケーションのタイプ(例えば、Chrome) |
| フローのカーディナリティ | 数 | このセキュリティインシデントに含まれるネットワークフローの数 |
| インシデント集計 | 数 |
このイベントが次のいずれかであることを示す真/偽値:
|
| インシデントID | キーワード | このセキュリティインシデントを識別するID。 このIDを使用して、MDRチームにより多くの情報を問い合わせることができます。 |
| ターゲット カーディナリティ | 数 | このセキュリティインシデントに含まれるサーバー数 |
IoT/OTセキュリティサービスは、ネットワークに接続されたデバイスを発見し、監視します。 以下のテーブルは、このサービスに関連するデータを含むイベント項目を説明します。
| 名前 | 説明 |
|---|---|
| デバイスカテゴリ | イベントに関連するデバイスの一般的なカテゴリー。 |
| デバイスID | イベントに関連するデバイスの一意のCato識別子 |
| デバイスメーカー | イベントに関連するデバイスを製造した会社 |
| デバイスモデル | イベントに関連するデバイスのモデル名 |
| デバイスOSタイプ | イベントに関連するデバイス上のオペレーティングシステム |
| デバイスタイプ | イベントに関連するデバイスの特定のタイプ。 デバイスタイプには複数の異なるモデルが含まれる可能性があります |
SDPイベントと項目の詳細については、Browser Access Portal Overview - Securing Remote Access to Applicationsをご覧ください。
0件のコメント
サインインしてコメントを残してください。