Nota
Nota: Este é um recurso de Disponibilidade Antecipada (EA) que está disponível apenas para lançamento limitado. Para mais informações sobre como ativar o recurso, entre em contato com seu representante da Cato Networks ou envie um email para ea@catonetworks.com.
Este artigo lista exemplos de mapeamentos entre campos Cato e campos do Modelo de Informação Comum (CIM) do Splunk para os modelos de dados suportados. Use esta referência para entender como os dados Cato são normalizados para pesquisas, painéis e detecções no Splunk.
Para mais informações, continue lendo Configurar o Add-on de Tecnologia Cato para Integração Splunk (EA)
|
Campo Cato |
Campo CIM |
Fonte |
Descrição do CIM do Splunk |
|
ação |
ação |
Eventos / Fluxos |
A ação realizada pelo dispositivo de rede |
|
nome_aplicativo |
aplicativo |
Eventos / Fluxos |
O protocolo de aplicação do tráfego |
|
dest_ip |
dest |
Eventos / Fluxos |
O endereço IP do destino |
|
porta_destino |
porta_destino |
Eventos / Fluxos |
A porta de destino do tráfego de rede |
|
direção |
direção |
Eventos / Fluxos |
A direção do tráfego de rede, como entrada ou saída |
|
descendente |
bytes_recebidos |
Fluxos |
O número de bytes recebidos (entrada) |
|
duração |
duração |
Fluxos |
O tempo em segundos para a conclusão do evento de rede |
|
protocolo_ip |
transporte |
Fluxos |
O protocolo da camada 4 (Transporte) do OSI, como TCP ou UDP |
|
Ipv4 |
protocolo |
Eventos / Fluxos |
O protocolo da camada 3 (Rede) do OSI, como IPv4 ou IPv6 |
|
nome_pop |
dvc |
Eventos / Fluxos |
O dispositivo que reportou o evento de tráfego |
|
src_ip |
origem |
Eventos / Fluxos |
O endereço IP do dispositivo que originou o evento de rede |
|
porta_origem |
porta_origem |
Eventos / Fluxos |
A porta de origem do tráfego de rede |
|
direção_tráfego |
direção |
Fluxos |
A direção do tráfego de rede, como entrada ou saída |
|
ascendente |
bytes_enviados |
Fluxos |
O número de bytes enviados (saida) |
|
nome_usuário |
usuário |
Eventos / Fluxos |
O usuário que solicitou o fluxo de tráfego |
|
Estático: “Cato Networks” |
fornecedor |
Eventos / Fluxos |
O fornecedor do produto que gera o evento de rede |
|
Estático: “Cato SASE” |
produto_do_fornecedor |
Eventos / Fluxos |
O nome do produto do dispositivo de rede do fornecedor |
|
descendente + ascendente |
bytes |
Fluxos |
O número total de bytes transferidos (entrada e saída) |
|
Campo Cato |
Campo CIM |
Fonte |
Descrição do CIM do Splunk |
|---|---|---|---|
|
ação |
ação |
Eventos |
A ação realizada pelo sistema de prevenção de intrusão |
|
application_name |
Aplicativo |
Eventos |
O protocolo de aplicação do tráfego |
|
dest_country |
dest_country |
Eventos |
O país associado ao endereço IP de destino |
|
dest_ip |
dest |
Eventos |
O endereço IP do destino |
|
dest_port |
dest_port |
Eventos |
A porta de destino do tráfego de rede |
|
dest_site_name |
dest_zone |
Eventos |
O nome da zona de destino |
|
pop_name |
dvc |
Eventos |
O dispositivo que detectou o evento de intrusão |
|
src_country |
src_country |
Eventos |
O país associado ao endereço IP de origem |
|
src_ip |
src |
Eventos |
O endereço IP do dispositivo que originou o evento de intrusão |
|
src_port |
src_port |
Eventos |
A porta de origem do tráfego de rede |
|
src_site_name |
src_zone |
Eventos |
O nome da zona de origem |
|
threat_name |
assinatura |
Eventos |
O nome da intrusão detectada no cliente (a fonte), como PlugAndPlay_BO e o tráfego foi negado |
|
threat_type |
categoria |
Eventos |
A categoria da intrusão detectada no cliente (a fonte), como violação de política de extrusão |
|
url |
url |
Eventos |
A URL associada ao evento de intrusão |
|
user_name |
usuário |
Eventos |
O usuário envolvido no evento de detecção de intrusão |
|
signature_id |
signature_id |
Eventos |
O ID ou a versão da assinatura |
|
Condicional: “rede” para todos os eventos mapeados aqui |
ids_type |
Eventos |
O tipo de IDS que gerou o evento, como baseado em rede ou baseado em host |
|
Ipv4 |
protocolo |
Eventos |
O protocolo da camada 3 (Rede) do modelo OSI |
|
Estático: “Cato Networks” |
fornecedor |
Eventos |
O fornecedor do produto que gera o evento de detecção de intrusão |
|
Estático: “Cato SASE” |
vendor_product |
Eventos |
O nome do produto do software de detecção de intrusão do fornecedor |
|
Campo Cato |
Campo CIM |
Fonte |
Descrição CIM do Splunk |
|---|---|---|---|
|
ação |
ação |
Eventos |
A ação realizada pelo servidor DNS ou dispositivo de segurança |
|
application_name |
Aplicativo |
Eventos |
A aplicação que iniciou a consulta DNS |
|
dest_ip |
dest |
Eventos |
O endereço IP do servidor DNS |
|
dns_query |
consulta |
Eventos |
O nome do domínio que foi consultado |
|
dns_record_type |
record_type |
Eventos |
O tipo de registro de recursos DNS, como A, AAAA, CNAME, PTR |
|
pop_name |
dvc |
Eventos |
O dispositivo que processou a consulta DNS |
|
src_ip |
src |
Eventos |
O endereço IP do dispositivo que originou a consulta DNS |
|
user_name |
usuário |
Eventos |
O usuário que iniciou a consulta DNS |
|
Ipv4 |
protocolo |
Eventos |
O protocolo da camada 3 (Rede) do modelo OSI |
|
Estático: “Cato Networks” |
fornecedor |
Eventos |
O fornecedor do produto que gera o evento DNS |
|
Estático: “Cato SASE” |
vendor_product |
Eventos |
O nome do produto do software de segurança DNS do fornecedor |
|
Campo Cato |
Campo CIM |
Fonte |
Descrição CIM do Splunk |
|---|---|---|---|
|
ação |
ação |
Eventos |
A ação realizada pelo proxy da web ou dispositivo de segurança |
|
application_name |
Aplicativo |
Eventos |
A aplicação que gerou o tráfego da web |
|
categorias |
categoria |
Eventos |
A categoria da solicitação da web, como motores de busca, notícias ou compras |
|
dest_ip |
dest |
Eventos |
O endereço IP do servidor web |
|
dest_port |
dest_port |
Eventos |
A porta de destino do tráfego da rede |
|
http_request_method |
http_method |
Eventos |
O método HTTP utilizado na solicitação da web |
|
http_response_code |
status |
Eventos |
O código de status da resposta HTTP |
|
ip_protocol |
transporte |
Eventos |
O protocolo da camada 4 (Transporte) do OSI |
|
pop_name |
dvc |
Eventos |
O dispositivo que processou a solicitação da web |
|
referer_url |
http_referrer |
Eventos |
O referenciador HTTP utilizado na solicitação da web |
|
request_size |
bytes_in |
Eventos |
O número de bytes recebidos pelo servidor web |
|
response_size |
bytes_out |
Eventos |
O número de bytes enviados pelo servidor web |
|
src_ip |
src |
Eventos |
O endereço IP do cliente que acessou o servidor web |
|
src_port |
src_port |
Eventos |
A porta de origem do tráfego da rede |
|
transaction_size |
bytes |
Eventos |
O total de bytes transferidos |
|
url |
url |
Eventos |
O URL da solicitação da web |
|
user_agent |
http_user_agent |
Eventos |
A string do navegador do cliente |
|
user_name |
usuário |
Eventos |
O usuário que acessou o servidor web |
|
Ipv4 |
protocolo |
Eventos |
Protocolo da camada 3 (Rede) do OSI |
|
N/A |
cookie |
Eventos |
O arquivo de cookie registrado no evento |
|
Estático: “Cato Networks” |
fornecedor |
Eventos |
O fornecedor do produto que gerou o evento da web |
|
Estático: “Cato SASE” |
vendor_product |
Eventos |
O nome do produto de software de segurança da web do fornecedor |
|
Campo Cato |
Campo CIM |
Fonte |
Descrição Splunk CIM |
|---|---|---|---|
|
ação |
ação |
Eventos |
A ação tomada pelo sistema de autenticação |
|
application_name |
app |
Eventos |
A aplicação que foi acessada |
|
auth_method |
authentication_method |
Eventos |
O método de autenticação utilizado, como LDAP, RADIUS ou local |
|
dest_ip |
dest |
Eventos |
O endereço IP do servidor de autenticação |
|
failure_reason |
reason_id |
Eventos |
O motivo da falha de autenticação |
|
pop_name |
dvc |
Eventos |
O dispositivo que processou a solicitação de autenticação |
|
src_ip |
src |
Eventos |
O endereço IP do dispositivo que iniciou a tentativa de autenticação |
|
user_agent |
user_agent |
Eventos |
A string do navegador do cliente |
|
user_name |
src_user |
Eventos |
O usuário que iniciou a tentativa de autenticação |
|
user_name |
usuário |
Eventos |
O usuário que tentou autenticar |
|
Estático: “Cato Networks” |
fornecedor |
Eventos |
O fornecedor do produto que gerou o evento de autenticação |
|
Estático: “Cato SASE” |
vendor_product |
Eventos |
O nome do produto do sistema de autenticação do fornecedor |
|
Campo Cato |
Campo CIM |
Fonte |
Descrição do CIM Splunk |
|---|---|---|---|
|
Ação |
Ação |
Eventos |
A ação tomada pelo sistema de detecção de malware |
|
application_name |
aplicativo |
Eventos |
A aplicação envolvida no evento de malware |
|
dest_ip |
dest |
Eventos |
O endereço IP do destino |
|
file_hash |
file_hash |
Eventos |
O hash do arquivo envolvido no evento de malware |
|
file_name |
file_name |
Eventos |
O nome do arquivo envolvido no evento de malware |
|
file_size |
file_size |
Eventos |
O tamanho do arquivo envolvido no evento de malware |
|
full_path_url |
file_path |
Eventos |
O caminho do arquivo envolvido no evento de malware |
|
pop_name |
dvc |
Eventos |
O dispositivo que detectou o malware |
|
src_ip |
src |
Eventos |
O endereço IP do dispositivo onde o malware foi detectado |
|
threat_name |
assinatura |
Eventos |
O nome da infecção de malware detectada no cliente (o src) |
|
threat_type |
categoria |
Eventos |
A categoria do malware detectado no cliente (o src) |
|
user_name |
usuário |
Eventos |
O usuário envolvido no evento de malware |
|
Estático: "Cato Networks" |
fornecedor |
Eventos |
O fornecedor do produto que gera o evento de malware |
|
Estático: "Cato SASE" |
vendor_product |
Eventos |
O nome do produto do software de detecção de malware do fornecedor |
|
Campo Cato |
Campo CIM |
Fonte |
Descrição do CIM Splunk |
|---|---|---|---|
|
ação |
ação |
Eventos |
A ação realizada no recurso |
|
admin_email |
src_user_email |
Eventos |
O endereço de e-mail do usuário que iniciou a alteração |
|
event_sub_type |
comando |
Eventos |
O comando que iniciou a mudança |
|
pop_name |
dvc |
Eventos |
O dispositivo onde a mudança foi observada |
|
user_id |
object_id |
Eventos |
O ID do objeto que foi alterado |
|
user_name |
Objeto |
Eventos |
O objeto que foi alterado |
|
user_name |
src_user |
Eventos |
O usuário que iniciou a mudança |
|
user_name |
Usuário |
Eventos |
O usuário que efetuou a mudança |
|
Condicional: “usuário” ou “administrador” |
object_category |
Eventos |
A categoria do objeto que foi alterada |
|
Estático: “AAA” |
change_type |
Eventos |
O tipo de mudança, como sistema de arquivos ou AAA (autenticação, autorização e contabilização). |
|
Estático: “Aplicativo de Gerenciamento Cato” |
dest |
Eventos |
O destino da mudança |
|
Estático: “Cato Networks” |
fornecedor |
Eventos |
O fornecedor do produto que gera o evento de mudança |
|
Estático: “Cato SASE” |
vendor_product |
Eventos |
O nome do produto do sistema de gerenciamento de mudanças do fornecedor |
|
Estático: “sucesso” |
status |
Eventos |
O status da mudança |
0 comentário
Por favor, entre para comentar.