참고
참고: 이 기능은 제한된 릴리스에만 제공되는 Early Availability (EA) 기능입니다. 기능 활성화에 대한 자세한 내용은 Cato Networks 담당자에게 문의하거나 이메일을 ea@catonetworks.com로 보내십시오.
이 문서는 지원 데이터 모델을 위한 Cato 필드와 Splunk 커먼 정보 모델 (CIM) 필드 간의 예시 매핑을 나열합니다. Cato 데이터가 Splunk 검색, 대시보드 및 감지를 위해 어떻게 정규화되었는지를 이해하는 데 참조합니다.
자세한 정보는 Configuring the Cato Technology Add-on for Splunk Integration (EA)을 참조하세요
|
Cato 필드 |
CIM 필드 |
소스 |
Splunk CIM 설명 |
|
작업 |
작업 |
이벤트 / 플로우 |
네트워크 장치에 의해 수행된 작업 |
|
application_name |
앱 |
이벤트 / 플로우 |
트래픽의 애플리케이션 프로토콜 |
|
dest_ip |
dest |
이벤트 / 플로우 |
목적지 IP 주소 |
|
dest_port |
dest_port |
이벤트 / 플로우 |
네트워크 트래픽의 목적지 포트 |
|
direction |
direction |
이벤트 / 플로우 |
네트워크 트래픽의 방향, 예를 들어 인바운드 또는 아웃바운드 |
|
downstream |
bytes_in |
플로우 |
수신한 바이트 수 (인바운드) |
|
duration |
duration |
플로우 |
네트워크 이벤트 완료까지 걸리는 시간(초) |
|
ip_protocol |
전송 |
플로우 |
OSI 계층 4 (전송) 프로토콜, 예를 들어 TCP 또는 UDP |
|
Ipv4 |
프로토콜 |
이벤트 / 플로우 |
OSI 계층 3 (네트워크) 프로토콜, 예를 들어 IPv4 또는 IPv6 |
|
pop_name |
dvc |
이벤트 / 플로우 |
트래픽 이벤트를 보고한 장치 |
|
src_ip |
src |
이벤트 / 플로우 |
네트워크 이벤트를 발생시킨 장치의 IP 주소 |
|
src_port |
src_port |
이벤트 / 플로우 |
네트워크 트래픽의 소스 포트 |
|
traffic_direction |
방향 |
플로우 |
네트워크 트래픽의 방향, 예를 들어 인바운드 또는 아웃바운드 |
|
upstream |
bytes_out |
플로우 |
전송된 바이트 수 (아웃바운드) |
|
user_name |
사용자 |
이벤트 / 플로우 |
트래픽 흐름을 요청한 사용자 |
|
정적: "Cato Networks" |
벤더 |
이벤트 / 플로우 |
네트워크 이벤트를 생성하는 제품의 벤더 |
|
정적: "Cato SASE" |
vendor_product |
이벤트 / 플로우 |
벤더의 네트워크 장치 제품명 |
|
downstream + upstream |
bytes |
플로우 |
총 전송된 바이트 수 (In 및 Out) |
|
Cato 필드 |
CIM 필드 |
소스 |
설명 |
|---|---|---|---|
|
작업 |
작업 |
이벤트 |
침입 방지 시스템에 의해 수행된 작업 |
|
application_name |
앱 |
이벤트 |
트래픽의 애플리케이션 프로토콜 |
|
dest_country |
dest_country |
이벤트 |
목적지 IP 주소와 관련된 국가 |
|
dest_ip |
dest |
이벤트 |
목적지 IP 주소 |
|
dest_port |
dest_port |
이벤트 |
네트워크 트래픽의 목적지 포트 |
|
dest_site_name |
dest_zone |
이벤트 |
목적지 영역의 이름 |
|
pop_name |
dvc |
이벤트 |
침입 이벤트를 감지한 장치 |
|
src_country |
src_country |
이벤트 |
소스 IP 주소와 관련된 국가 |
|
src_ip |
src |
이벤트 |
침입 이벤트를 발생시킨 장치의 IP 주소 |
|
src_port |
src_port |
이벤트 |
네트워크 트래픽의 소스 포트 |
|
src_site_name |
src_zone |
이벤트 |
소스 영역의 이름 |
|
threat_name |
서명 |
이벤트 |
클라이언트에서 감지된 침입의 이름(출처), 예를 들어 PlugAndPlay_BO, 트래픽이 거부되었습니다 |
|
|
카테고리 |
이벤트 |
클라이언트에서 감지된 침입의 카테고리(출처), 예를 들어 누출 정책 위반 |
|
URL |
URL |
이벤트 |
침입 이벤트와 관련된 URL |
|
|
사용자 |
이벤트 |
침입 탐지 이벤트와 관련된 사용자 |
|
|
|
이벤트 |
서명의 ID 또는 버전 |
|
조건부: 이곳에 매핑된 모든 이벤트에 대해 '네트워크' |
|
이벤트 |
이벤트를 생성한 IDS의 유형, 예를 들어 네트워크 기반 또는 호스트 기반 |
|
IPv4 |
프로토콜 |
이벤트 |
OSI 계층 3 (네트워크) 프로토콜 |
|
정적: "Cato Networks" |
벤더 |
이벤트 |
침입 탐지 이벤트를 생성하는 제품의 벤더 |
|
정적: "Cato SASE" |
|
이벤트 |
벤더의 침입 탐지 소프트웨어의 제품 이름 |
|
Cato 필드 |
CIM 필드 |
소스 |
Splunk CIM 설명 |
|---|---|---|---|
|
작업 |
작업 |
이벤트 |
DNS 서버나 보안 장치에 의해 수행된 작업 |
|
|
앱 |
이벤트 |
DNS 쿼리를 시작한 애플리케이션 |
|
|
|
이벤트 |
DNS 서버의 IP 주소 |
|
|
|
이벤트 |
쿼리된 도메인 이름 |
|
|
|
이벤트 |
DNS 자원 레코드 유형, 예를 들어 A, AAAA, CNAME, PTR |
|
|
|
이벤트 |
DNS 쿼리를 처리한 장치 |
|
|
|
이벤트 |
DNS 쿼리를 시작한 장치의 IP 주소 |
|
|
사용자 |
이벤트 |
DNS 쿼리를 시작한 사용자 |
|
IPv4 |
프로토콜 |
이벤트 |
OSI 계층 3 (네트워크) 프로토콜 |
|
정적: "Cato Networks" |
벤더 |
이벤트 |
DNS 이벤트를 생성하는 제품의 벤더 |
|
정적: "Cato SASE" |
|
이벤트 |
벤더의 DNS 보안 소프트웨어의 제품 이름 |
|
Cato 필드 |
CIM 필드 |
소스 |
Splunk CIM 설명 |
|---|---|---|---|
|
작업 |
작업 |
이벤트 |
웹 프록시 또는 보안 장치에 의해 수행된 작업 |
|
|
앱 |
이벤트 |
웹 트래픽을 생성한 애플리케이션 |
|
카테고리 |
카테고리 |
이벤트 |
웹 요청의 카테고리, 예를 들어 검색 엔진, 뉴스 또는 쇼핑 |
|
|
|
이벤트 |
웹 서버의 IP 주소 |
|
|
|
이벤트 |
네트워크 트래픽의 목적지 포트 |
|
|
|
이벤트 |
웹 요청에서 사용된 HTTP 방법 |
|
|
상태 |
이벤트 |
HTTP 응답 상태 코드 |
|
|
전송 |
이벤트 |
OSI 계층 4 (전송) 프로토콜 |
|
|
|
이벤트 |
웹 요청을 처리한 장치 |
|
|
|
이벤트 |
웹 요청에서 사용된 HTTP 참조 URL |
|
|
|
이벤트 |
웹 서버가 수신한 바이트 수 |
|
|
|
이벤트 |
웹 서버에서 전송한 바이트 수 |
|
|
src |
이벤트 |
웹 서버에 액세스한 클라이언트의 IP 주소 |
|
src_port |
src_port |
이벤트 |
네트워크 트래픽의 소스 포트 |
|
transaction_size |
바이트 |
이벤트 |
전송된 총 바이트 수 |
|
url |
url |
이벤트 |
웹 요청의 URL |
|
user_agent |
http_user_agent |
이벤트 |
클라이언트의 사용자 에이전트 문자열 |
|
user_name |
사용자 |
이벤트 |
웹 서버에 액세스한 사용자 |
|
Ipv4 |
프로토콜 |
이벤트 |
OSI 계층 3 (네트워크) 프로토콜 |
|
해당 없음 |
쿠키 |
이벤트 |
이벤트에 기록된 쿠키 파일 |
|
Static: “Cato Networks” |
벤더 |
이벤트 |
웹 이벤트를 생성하는 제품의 벤더 |
|
Static: “Cato SASE” |
vendor_product |
이벤트 |
벤더의 웹 보안 소프트웨어의 제품명 |
|
Cato 필드 |
CIM 필드 |
소스 |
설명 |
|---|---|---|---|
|
작업 |
작업 |
이벤트 |
인증 시스템에 의해 수행된 작업 |
|
application_name |
앱 |
이벤트 |
액세스된 애플리케이션 |
|
auth_method |
authentication_method |
이벤트 |
사용된 인증 방법(LDAP, RADIUS 또는 로컬) |
|
dest_ip |
dest |
이벤트 |
인증 서버의 IP 주소 |
|
failure_reason |
reason_id |
이벤트 |
인증 실패의 이유 |
|
pop_name |
dvc |
이벤트 |
인증 요청을 처리한 장치 |
|
src_ip |
src |
이벤트 |
인증 시도를 시작한 장치의 IP 주소 |
|
user_agent |
user_agent |
이벤트 |
클라이언트의 사용자 에이전트 문자열 |
|
user_name |
src_user |
이벤트 |
인증 시도를 시작한 사용자 |
|
user_name |
사용자 |
이벤트 |
인증을 시도한 사용자 |
|
Static: “Cato Networks” |
벤더 |
이벤트 |
인증 이벤트를 생성하는 제품의 벤더 |
|
Static: “Cato SASE” |
vendor_product |
이벤트 |
벤더의 인증 시스템의 제품명 |
|
Cato 필드 |
CIM 필드 |
소스 |
설명 |
|---|---|---|---|
|
작업 |
작업 |
이벤트 |
악성 소프트웨어 감지 시스템에 의해 수행된 작업 |
|
application_name |
앱 |
이벤트 |
말웨어 이벤트에 관련된 애플리케이션 |
|
dest_ip |
dest |
이벤트 |
목적지의 IP 주소 |
|
file_hash |
file_hash |
이벤트 |
말웨어 이벤트에 포함된 파일의 해시 |
|
file_name |
file_name |
이벤트 |
말웨어 이벤트에 포함된 파일의 이름 |
|
file_size |
file_size |
이벤트 |
말웨어 이벤트에 포함된 파일의 크기 |
|
full_path_url |
file_path |
이벤트 |
말웨어 이벤트에 포함된 파일의 경로 |
|
pop_name |
dvc |
이벤트 |
말웨어를 감지한 장치 |
|
src_ip |
src |
이벤트 |
말웨어가 감지된 장치의 IP 주소 |
|
threat_name |
서명 |
이벤트 |
클라이언트(src)에서 감지된 악성 소프트웨어 감염의 이름 |
|
threat_type |
카테고리 |
이벤트 |
클라이언트에서 감지된 악성 소프트웨어의 카테고리 (src) |
|
|
사용자 |
이벤트 |
악성 소프트웨어 이벤트와 관련된 사용자 |
|
Static: "Cato Networks" |
벤더 |
이벤트 |
악성 소프트웨어 이벤트를 생성하는 제품의 벤더 |
|
Static: "Cato SASE" |
|
이벤트 |
벤더의 악성 소프트웨어 감지 소프트웨어의 제품 이름 |
|
Cato 필드 |
CIM 필드 |
소스 |
Splunk CIM 설명 |
|---|---|---|---|
|
작업 |
작업 |
이벤트 |
자원에 대해 수행된 작업 |
|
|
|
이벤트 |
변경을 시작한 사용자의 이메일 주소 |
|
|
|
이벤트 |
변경을 시작한 명령 |
|
|
|
이벤트 |
변경이 관찰된 장치 |
|
|
|
이벤트 |
변경된 객체의 ID |
|
|
내부 |
이벤트 |
변경된 객체 |
|
|
|
이벤트 |
변경을 시작한 사용자 |
|
|
사용자 |
이벤트 |
변경을 수행한 사용자 |
|
조건: "사용자" 또는 "관리자" |
|
이벤트 |
변경된 객체의 카테고리 |
|
정적: "AAA" |
|
이벤트 |
변경 유형 예: 파일 시스템 또는 AAA (인증, 권한 부여 및 회계). |
|
정적: "Cato 관리 애플리케이션" |
|
이벤트 |
변경의 목적지 |
|
정적: "Cato Networks" |
벤더 |
이벤트 |
변경 이벤트를 생성하는 제품의 벤더 |
|
정적: "Cato SASE" |
|
이벤트 |
벤더의 변경 관리 시스템의 제품 이름 |
|
정적: "성공" |
상태 |
이벤트 |
변경의 상태 |
댓글 0개
댓글을 남기려면 로그인하세요.