이것들은 Cato 관리 애플리케이션(CMA)의 이벤트 필드에 대한 설명입니다. 이벤트 필드는 자주 업데이트되며, 이벤트 필드의 전체 목록은 EventFieldName에 대한 Cato GraphQL API Reference를 참조하십시오.
이벤트 데이터를 위한 Cato API를 사용하는 고객은 Cato GraphQL API 스키마의 잠재적인 중단 변경 및 종료(EoL) 공지를 위해 Cato API Potentially Breaking Changes and EoL를 참조하십시오. 업데이트 및 변경 사항에 대한 이메일 알림을 자동으로 받으려면 기사를 따르기를 권장합니다.
| 이름 | 설명 |
|---|---|
| 작업 |
이벤트 유형과 관련된 작업 예시:
|
| Active Directory 이름 | 소켓 뒤 디바이스와 관련된 Active Directory 사용자 인식 이름 |
| API 키 이름 | Cato 관리 애플리케이션에서 공용 API 키에 대해 정의된 이름 |
| 애플리케이션 | 정책에서 사용되는 애플리케이션 예시: Facebook, CNN |
| 인증 유형 | 이벤트와 연결된 인증 방법 예시: MFA 또는 비밀번호 |
| BGP Cato ASN | Cato BGP 피어에 대한 BGP ASN (로컬 연결) |
| BGP Cato IP | Cato BGP 피어에 대한 BGP IP 주소 (로컬 연결) |
| BGP 오류 코드 | BGP 연결 해제 이벤트에 대한 오류 메시지 |
| BGP 피어 ASN | BGP 피어에 대한 BGP ASN (원격 연결) |
| BGP 피어 설명 | BGP 이벤트에 대한 설명, Cato 관리 애플리케이션에서 BGP 이웃 설명 |
| BGP 피어 IP | BGP 피어에 대한 BGP IP 주소 (원격 연결) |
| BGP 경로 CIDR | BGP 경로에 대한 CIDR |
| BGP 하위 오류 코드 | BGP 연결 해제 이벤트와 연결된 오류 메시지 |
| 카테고리 | 기본 시스템 Cato 카테고리 |
| Cato 애플리케이션 | 이 트래픽 흐름과 관련된 애플리케이션 데이터 |
| 인증서 만료 날짜 | 클라이언트 인증서의 만료 날짜 |
| 클라이언트 클래스 | 이 트래픽을 생성하는 프로세스 유형 |
| 클라이언트 버전 | 소켓 또는 Cato 클라이언트에 대한 버전 번호 |
| 협업자 | SaaS 보안 API에 대해, 파일을 받은 사용자 이메일 주소 |
| 구성된 호스트 이름 | 정적 IP 주소를 가진 호스트에 대해 Cato 관리 애플리케이션에서 구성된 이름 |
| 혼잡 알고리즘 | 이벤트의 트래픽에 대한 TCP 혼잡 제어 알고리즘. 가능한 값: CUBIC, NewReno, BBR |
| 커넥터 이름 | SaaS 보안 API를 위한, 커넥터 이름 |
| 커넥터 유형 | SaaS 보안 API를 위한, 커넥터용 SaaS 앱 |
| 위험 수준 | XDR 이벤트에 대해, 0 (위험/영향 없음) 에서 10 (매우 높은 위험/영향) |
| 사용자 정의 카테고리 | 계정에 대한 사용자 정의 카테고리 (리소스 > 카테고리) |
| 목적지 국가 | 인터넷 트래픽에 대해, 목적지 서버의 IP 주소 기반 위치 |
| 목적지 국가 코드 | 인터넷 트래픽에 대해, 목적지 호스트가 위치한 두 글자 국가 코드 (ISO 3166-1 alpha-2 기반) |
| 목적지 IP | 인터넷 트래픽에 대해, 목적지 서버의 IP 주소 |
| 목적지는 사이트 또는 SDP 사용자 | WAN 트래픽에 대해, 목적지 유형: 사이트 또는 SDP 사용자 |
| 목적지 포트 | 인터넷 트래픽에 대해, 목적지 서버의 포트 번호 |
| 목적지 사이트 | WAN 트래픽에 대해, 목적지 사이트 또는 SDP 사용자의 이름 |
| 장치 이름 | 이벤트와 연결된 호스트의 이름 |
| 장치 자세 프로필 | 이 이벤트와 일치하는 프로필 |
| 디렉터리 호스트 이름 | LDAP 이벤트에 대해, 호스트 이름 |
| 디렉터리 IP | LDAP 이벤트에 대해, 도메인 컨트롤러의 IP 주소 |
| 디렉터리 동기화 결과 | LDAP 이벤트에 대해, 도메인 컨트롤러와의 동기화 결과 |
| 디렉터리 동기화 유형 | 도메인 컨트롤러와 동기화가 있었기 때문에 생성된 LDAP 이벤트 |
| 표시 이름 | 사용자의 이름 |
| DLP 프로필 | 이벤트와 관련된 DLP 프로필 |
| DNS 보호 카테고리 | DNS 요청과 일치하는 Cato의 DNS 보호 유형 |
| DNS 쿼리 | DNS 요청에서 조회된 도메인 |
| 도메인 이름 | SSL SNI, HTTP 호스트 이름, DNS 이름 |
| 기간 Ms |
거래 또는 작전의 시작과 종료 사이의 밀리초 기간. 예를 들어, DNS 또는 HTTP 이벤트에서 요청과 대응 간의 시간 간격을 반영합니다. DNS 이벤트 하위 유형에 대해 |
| 송신 PoP 이름 |
NAT 또는 경로 지정 구성을 사용하여 네트워크 규칙에 정의된, 트래픽이 송신되는 PoP의 이름 사이트와 연결된 것과 다른 PoP에서 트래픽이 송신될 때만 필드가 표시됩니다 |
| 송신 사이트 | 백홀링 트래픽을 위한 송신 사이트의 이름 |
| 이벤트 수 | 1분 동안 여러 번 반복되는 이벤트 수 |
| 이벤트 메시지 |
이벤트에 대한 Cato 설명 BGP 경로 무시 작업에 대해:
|
| IPS 이벤트 유형 | 이벤트 유형: 연결성, 보안, 라우팅, 시스템, 소켓 관리, 또는 탐지 및 대응 |
| 파일 해시 | 안티멀웨어 이벤트의 경우, 관련 파일의 해시 |
| 파일 이름 |
관련 파일의 이름 참고: 감지 시점에 PoP가 실제 파일 이름을 캡처할 수 없는 경우 URL의 마지막 부분을 파일 이름으로 사용합니다, 예를 들어 다운로드 |
| 파일 크기 | 관련 파일의 크기 (바이트 단위) |
| 파일 유형 |
파일 콘텐츠 유형(예: 아카이브 또는 Microsoft Office) 파일 제어 규칙 추가의 경우, form_data는 HTTP 요청에서 일반적으로 사용되는 웹 양식을 통해 제출된 데이터의 일반적인 표현입니다(예: 다중 부분 양식 제출). 별개의 파일 유형을 나타내지 않습니다. |
| 플로우 기수 | 주어진 사건에 대한 플로우 수 |
| 전체 경로 URL | 앱 활동의 전체 경로 URL입니다. 애플리케이션 제어 정책이 앱 보안 이벤트에 이 필드가 나타나도록 활성화되어야 합니다. |
| 호스트 IP | 이벤트와 관련된 호스트의 IP 주소 |
| 호스트 MAC 주소 | 이번 이벤트의 호스트 MAC 주소 |
| HTTP 응답 코드 |
HTTP 상태 코드는 DNS 요청, DNS-over-HTTPS(DoH) 서버가 DoH를 사용한 경우 반환됩니다. DNS 및 앱 보안 이벤트의 하위 유형에 대해 |
| IP 프로토콜 | 이번 이벤트의 네트워크 프로토콜 |
| ISP 이름 |
이번 이벤트에 사용된 ISP IP 주소가 ISP에 의해 제공되지 않을 때, 이벤트 메시지는 IP 주소는 정적으로 할당됩니다 참고: 여러 활성 WAN 인터페이스를 사용하고 서로 다른 ISP를 사용하는 사이트의 경우, 트래픽 흐름의 라이프타임 동안 인터페이스가 변경될 수 있으므로 ISP 이름 값이 정확하지 않을 수 있습니다. |
| 링크 상태 - 혼잡 관 | 특정 링크의 혼잡을 측정하는 데이터 |
| 링크 상태 - 지터 | 특정 링크의 지터를 측정하는 데이터 |
| 링크 상태 - 지연 시간 | 특정 링크의 지연 시간을 측정하는 데이터 |
| 링크 상태 - 패킷 손실률 | 특정 링크의 패킷 손실률을 측정하는 데이터 |
| 링크 유형 | 이 연결의 링크 유형은 예를 들어 Cato 또는 Alt입니다. WAN |
| 로그인 유형 | 로그인 작업, 값은 관리자 로그인 또는 VPN 클라이언트(원격 액세스 또는 사이트 트래픽)입니다. |
| 일치하는 데이터 유형 | 이벤트와 관련된 일치하는 DLP 데이터 유형 |
| Mitre 공격 필드 |
관련 IPS 이벤트의 경우, 사이버 적수에 대한 종합적인 Mitre Att&ck 지식 베이스 기반의 데이터를 보여줍니다
|
| NAT 오류 | NAT와 관련된 연결 문제의 이유를 나타냅니다 |
| 네트워크 규칙 |
이 이벤트의 트래픽에 의해 일치된 네트워크 규칙의 이름 값이 0인 경우, 플로우에 패킷 손상 문제가 발생했거나, Socket WebUI에 액세스하는 등 시스템 플로우인 경우를 나타냅니다. |
| 사무실 모드 | 오피스 모드가 이 사용자에게 활성화되었는지 여부를 나타냅니다. |
| OnPrem SID | Microsoft의 Azure Active Directory(Azure AD)에서 사용자 개체에 할당된 고유 식별자로, 다양한 Azure 서비스 전반에 걸쳐 사용자를 명확하게 식별하고 관리하는 데 사용됩니다. |
| 운영 체제 유형 | 호스트 운영 체제 또는 터널 장치의 유형 |
| OS 버전 | 호스트 운영 체제 또는 터널 장치의 버전 번호 |
| PoP 이름 | 이 이벤트와 연결된 PoP 위치의 이름 |
| 공개 소스 IP |
PoP에 의해 트래픽이 송신된 공인 IP 주소. 인터넷 트래픽 백홀링을 라우팅 방법으로 사용하는 사이트의 경우, 이 필드는 사이트의 네이티브 범위에 대한 로컬 IP 주소를 표시합니다. PoP에서 인터넷으로 송신되지 않는 트래픽, 예: 내부 DNS 요청 및 FTP 트래픽에 대해 필드가 표시되지 않습니다. |
| QoS 우선순위 | 트래픽에 의해 일치한 네트워크 규칙에서 정의된 QoS 우선순위 값 |
| QoS 보고 시간 | QoS 이벤트가 시작된 시간입니다. QoS 이벤트가 종료되면 이벤트가 생성됩니다. |
| 기록 유형 |
쿼리 유형 (예: DNS 쿼리: A, AAAA, MX 또는 PTR) DNS 및 앱 보안 이벤트 하위 유형의 경우 |
| 등록 코드 | ZTNA 사용자가 인증할 때 처음 사용되는 등록 코드 (코드는 부분적으로 난독화되었습니다) |
| 관련 앱 |
이 이벤트의 애플리케이션 식별 과정의 일환으로, 트래픽 흐름에서 식별된 애플리케이션 목록입니다. 이 프로세스는 플로우의 다양한 단계에서 트래픽을 분석하여 모든 프로토콜, 서비스 및 애플리케이션에 대한 정보를 수집하여 애플리케이션의 정확한 최종 결정을 내립니다. 이 필드는 프로세스의 단계 전반에 걸쳐 식별된 앱을 표시하여 앱 식별에 대한 컨텍스트를 제공합니다. |
| 요청 방법 | HTTP 요청 방법 (예: GET, POST) |
| 요청 크기 |
바이트로 요청 패킷 크기 (예: DNS 요청 패킷) DNS와 앱 보안 이벤트 하위 유형에 대해 |
| 대응 크기 |
바이트 단위의 DNS 대응 패킷 크기 (즉, DNS 대응 패킷) DNS 및 앱 보안 이벤트 하위 유형 동안 |
| 위험 수준 |
호스트 또는 네트워크에 대한 위협의 전체 영향을 나타내는 IPS 이벤트: 위험 수준 낮음 - 네트워크에 대한 최소 위험, 예를 들어 애드웨어와 같은 경우 위험 수준 중간 - 네트워크의 중간 위험, 예를 들어 네트워크 스캔과 같은 경우 위험 수준 높음 - 네트워크의 현저한 위험, 예를 들어 스파이웨어 또는 웜과 같은 경우 |
| DNS 정책 | 트래픽에 일치한 방화벽 규칙의 이름 |
| DNS 정책 ID | 이벤트와 관련된 보안 규칙의 고유 Cato ID |
| SAM 계정 이름 | Windows 2000 이전 버전에서 사용되었던 로그온 이름, Windows Active Directory 내에서 사용됨 |
| 심각도 | 보안 규칙에 대해 정의된 심각도 |
| 채널 공유 범위 | 파일의 공유 옵션 (예: SharePoint) |
| 시그니처 ID | IPS 및 SAM에 대해, IPS 시그니처의 ID |
| 소켓 인터페이스 ID | 소켓 인터페이스의 고유 Cato ID |
| 소켓 인터페이스 이름 | 소켓 포트(인터페이스)에 대한 Cato 관리 애플리케이션의 이름 |
| 소켓 새로운 버전 | 소켓 업그레이드 이벤트의 경우, 새로운 버전의 버전 번호 |
| 소켓 이전 버전 | 소켓 업그레이드 이벤트의 경우, 이전 버전의 버전 번호 |
| 소켓 재설정 | 소켓 재설정 이벤트의 경우, 하드웨어 또는 소프트웨어 재설정을 나타냅니다 |
| 소켓 역할 | 소켓 고가용성 이벤트의 경우, 소켓이 기본인지 보조인지 나타냅니다 |
| 소스 국가 | 클라이언트와 사이트에 대해, 터널 외부 공용 IP 주소의 물리적 위치 (공용 IP 주소를 통해 탐지됨) |
| 출처 국가 코드 | 소스 호스트가 위치한 국가의 국가 코드 (공용 IP 주소를 통해 감지됨) |
| 소스 IP | Cato가 호스트 또는 클라이언트에 할당하는 IP 주소 |
| 소스 ISP IP | Cato 클라우드를 연결하는 터널 밖의 ISP IP 주소 |
| 소스는 사이트 또는 SDP 사용자입니다 | WAN 트래픽의 경우, 소스 유형: 사이트 또는 SDP 사용자 |
| 소스 | 모든 트래픽에 대해, 소스 사이트 또는 SDP 사용자의 이름 |
| 소스 포트 | 클라이언트, 사이트 또는 호스트의 네트워크 연결에 대한 내부 포트 번호 |
| 출처 사이트 | 모든 트래픽에 대해, 소스 사이트 또는 SDP 사용자의 이름 |
| 서브넷 이름 | Cato 관리 애플리케이션에 정의된 서브넷의 이름 |
| 서브-유형 | 이벤트 유형에 대한 서브유형, 예를 들어 인터넷 방화벽, SDP 활동, 앱 보안 |
| 대상 기수 | 이 이벤트와 관련된 대상(서버)의 수 |
| TCP 가속화 |
이벤트의 트래픽이 TCP 가속됨을 보여줍니다. 값은 1 (가속됨)과 0 (가속되지 않음)입니다. 이 필드는 TCP 기반 트래픽 플로우에만 표시됩니다. |
| 위협 이름 |
안티멀웨어 이벤트에 대한 경우, 악성 소프트웨어 이름 IPS 이벤트에 대해서는 트래픽이 차단된 이유를 설명합니다 |
| 위협 참조 | 의심스러운 파일에 대한 안티멀웨어 위협 데이터베이스 링크 |
| 위협 유형 | 악성 소프트웨어 이벤트의 유형 |
| 위협 판결 |
안티멀웨어 스캔의 결과
|
| 시간 | 이 이벤트에 대한 시간 스탬프 (Linux epoch 형식) |
| TLS 오류 설명 |
이 이벤트의 TLS 오류에 대한 설명, 값은 다음과 같습니다: 닫기 알림, 예기치 않은 메시지, 잘못된 기록 mac, 압축 실패, 핸드셰이크 실패, 인증서 없음, 잘못된 인증서, 지원되지 않는 인증서, 인증서 취소됨, 인증서 만료됨, 인증서 알 수 없음, 불법 매개변수, 암호 해독 실패, 기록 오버플로우, 알 수 없는 CA, 액세스 거부됨, 디코드 오류, 암호 해독 오류, 내보내기 제한, 프로토콜 버전, 보안 불충분, 내부 오류, 사용자 취소됨, 재협상 없음, 알 수 없는 PSK ID, 알 수 없음 이 오류에 대한 설명은 이 문서를 참조하십시오. |
| TLS 오류 유형 |
이 이벤트에 대한 TLS 오류 유형, 값은 다음과 같습니다:
|
| TLS 검사 |
이벤트의 트래픽이 TLS인지 보여줍니다. 값은 1 (검사됨)과 0 (검사되지 않음)입니다. 이 필드는 TLS 트래픽 플로우에만 표시됩니다. |
| TLS 규칙 이름 | 이벤트에서 트래픽이 TLS 검사될 때, 이 필드는 트래픽과 일치하는 규칙의 이름을 보여줍니다 (트래픽이 기본 규칙 외의 규칙과 일치하는 경우에만) |
| TLS 버전 | 이 이벤트에 대한 TLS 프로토콜 버전 번호 |
| 트래픽 방향 | 이 이벤트에 대한 네트워크 트래픽의 방향, 값은 인바운드 또는 아웃바운드 |
| 트랜잭션 크기 |
요청과 응답을 포함하여 총 트랜잭션 크기(바이트 단위) DNS 및 App 보안 이벤트 서브유형에 대해 |
| 터널 프로토콜 | 터널 연결에 대한 프로토콜 |
| 업그레이드 종료 시간 | 소켓 업그레이드 종료 시간 (Linux epoch 형식) |
| 업그레이드 시작한 사람 | 소켓 업그레이드가 유지 보수 기간 동안 발생했는지 또는 지원에 의해 시작되었는지 표시합니다 (값은 Cato Admin) |
| 업그레이드 시작 시간 | 소켓 업그레이드 시작 시간 (Linux epoch 형식) |
| URL | 인터넷 트래픽의 경우, 이벤트에 대한 URL |
| 브라우저별 로그인 현황 |
트래픽에 대한 HTTP 헤더의 User Agent 필드에 나타나는 로그인에 사용된 User Agent. 이 필드는 HTTP 요청에서 값이 추출되면만 채워지며, 현재 발생하는 예시는 다음과 같습니다:
이들은 사용자 에이전트 값의 예시입니다:
|
| 사용자 인식 방법 | 사용자 인식을 통한 신원 확보에 사용된 방법 (예: 아이덴티티 에이전트) |
| 사용자 이메일 | 사용자 이메일 주소 |
| 사용자 이름 | 이벤트를 생성한 사용자 |
| 사용자 객체 ID | Azure Active Directory 내 사용자 객체에 할당된 고유 식별자로 사용자 계정을 명확히 식별하고 관리하는 데 사용됩니다 |
| 사용자 계정 이름 | Microsoft Active Directory 환경에서 사용되는 사용자 로그인 이름, 이메일 주소 형식으로 제공되며 (예: user@domain.com) 로그인 목적으로 사용됩니다 |
| 사용자 참조 ID | 차단/프롬프트 페이지의 경우 잘못된 카테고리를 보고하기 위한 참조 ID |
| 사용자 SID | Windows 장치 시스템에서 사용자에게 할당된 고유 식별자로 권한 및 접근 권한을 관리하기 위해 사용됩니다 |
| Windows 도메인 이름 | LDAP 동기화 이벤트에 대한 AD 도메인 이름 |
| XFF | XFF HTTP 헤더는 연결의 원래 IP 주소를 나타냅니다 |
다음은 이벤트 하위 유형의 목록입니다:
-
연결성
- API 키
- Cato 관리 애플리케이션
- 변경된 PoP
- 클라이언트 연결 정책
- 연결됨
- DHCP 임대
- 연결 해제됨
- LAN 모니터링
- Last-Mile Quality
- Link-Aggregation
- 클라우드 외부 전송 연결
- 클라우드 외부 전송 연결 해제
- 수동 연결
- 수동 연결 해제
- 재연결됨
- Recovery via Alt. WAN
- 등록 코드
- SDP 포털
- Socket Fail-Over
-
탐지 및 대응
- XDR 엔드포인트
- XDR 네트워크
- XDR 위협
-
라우팅
- BGP 라우팅
- BGP 세션
- VPN Never-Off Bypass
-
보안
- 애플리케이션 로그인
- 앱 보안
- DNS 보호
- 엔드포인트 보호
- 신원 경고
- 인터넷 방화벽
- IPS
- LAN 방화벽
- MAC 주소 인증
- Misclassification
- NG 안티멀웨어
- RPF
- SaaS 보안 API 악성코드 방지
- SaaS 보안 API 데이터 보호
- SDP 활동
- 의심스러운 활동
- TLS
- WAN 방화벽
-
소켓 관리
- Socket Password Reset
- Socket Upgrade
- Socket WebUI Access
-
시스템
- DC 연결 실패
- 디렉토리 서비스
- Multiple Users Detected
- 제한 초과
- SCIM 프로비저닝 규칙
- SDP 라이선스
각 필드의 유형과 수동 필터에 사용법
Cato Networks의 MDR (Managed Detection and Response) 고객은 이벤트 페이지에서 보안 사건에 대한 이벤트를 볼 수 있습니다. 다음 표는 이벤트 하위 유형 MDR의 사건에 대한 이벤트 필드를 설명합니다.
| 이름 | 유형 | 설명 |
|---|---|---|
| 클라이언트 클래스 | 키워드 | 이 네트워크 흐름을 생성한 운영 체제에서 실행되는 클라이언트 애플리케이션의 유형 (예: Chrome) |
| 플로우 기수 | number | 이 보안 사건에 포함된 네트워크 흐름의 수 |
| 사건 집계 | number |
이 이벤트가 다음과 같은지 여부를 나타내는 참/거짓 값입니다.
|
| 사건 ID | 키워드 | 이 보안 사건을 식별하는 ID입니다. 이 ID를 사용하여 MDR 팀과 추가 정보를 확인할 수 있습니다. |
| 대상 기수 | number | 이 보안 사건에 포함된 서버의 수 |
IoT/OT 보안 서비스는 네트워크에 연결된 장치를 발견하고 모니터링합니다. 다음 테이블은 이 서비스와 관련된 데이터를 포함하는 이벤트 필드를 설명합니다.
| 이름 | 설명 |
|---|---|
| 장치 카테고리 | 이벤트와 관련된 장치가 속한 일반 카테고리 |
| 장치 ID | 이벤트와 관련된 장치에 대한 고유 Cato 식별자 |
| 장치 제조업체 | 이벤트와 관련된 장치를 제조한 회사 |
| 장치 모델 | 이벤트와 관련된 장치의 모델 이름 |
| 장치 OS 유형 | 이벤트와 관련된 장치의 운영 체제 |
| 장치 유형 | 이벤트와 관련된 구체적인 장치 유형. 장치 유형에 여러 다른 모델이 포함될 수 있습니다. |
SDP 이벤트 및 필드에 대한 자세한 내용은 브라우저를 통한 내부 앱 접근 개요 - 애플리케이션에 대한 원격 접근 보안을 참조하세요.
댓글 0개
댓글을 남기려면 로그인하세요.