Estas são descrições de campos de eventos para o Aplicativo de Gerenciamento Cato (CMA). Os campos de evento são frequentemente atualizados, para a lista completa de campos de evento, consulte a Referência da API GraphQL Cato para EventFieldName.
Para clientes que utilizam a API Cato para dados de eventos, veja Mudanças Potencialmente Disruptivas na API Cato e Fim de Vida para notificações sobre mudanças potencialmente disruptivas e anúncios de fim de vida (EoL) para o esquema da API GraphQL Cato. Recomendamos que você siga o artigo para receber automaticamente notificações por email sobre atualizações e mudanças.
| Nome | Descrição |
|---|---|
| Ação |
Ação que é relevante para o tipo de evento, por exemplo:
|
| Nome do Diretório Ativo | Nome de Consciência de Usuário do Diretório Ativo associado ao dispositivo por trás de um socket |
| Nome da Chave API | Nome definido para a chave API pública no Aplicativo de Gerenciamento Cato |
| Aplicação | Aplicações que são usadas nas diferentes políticas, por exemplo: Facebook, CNN |
| Tipo de Autenticação | Método de Autenticação que está conectado a este evento, por exemplo: MFA ou senha |
| ASN da Cato BGP | O ASN BGP para o par BGP da Cato (conexão local) |
| IP BGP da Cato | O endereço IP BGP para o par BGP da Cato (conexão local) |
| Código de Erro BGP | Mensagem de erro para o evento de desconexão do BGP |
| ASN do Par BGP | O ASN BGP para o par BGP (conexão remota) |
| Descrição do Par BGP | Para eventos BGP, descrição do vizinho BGP do Aplicativo de Gerenciamento Cato |
| IP do Par BGP | O endereço IP BGP para o par BGP (conexão remota) |
| CIDR da Rota BGP | O CIDR para a rota BGP |
| Código de Suberro BGP | Mensagem de erro que está conectada ao evento de desconexão do BGP |
| Categoria | Categorias padrão do sistema Cato |
| Aplicativo Cato | Dados do aplicativo relacionados a este fluxo de tráfego |
| Data de Expiração do Certificado | Data de expiração para certificado do cliente |
| Classe do Cliente | Tipo de processo que gera este tráfego |
| Versão do Cliente | Número da versão para o Socket ou Cliente Cato |
| Colaboradores | Para API de Segurança SaaS, endereços de email dos usuários que receberam o arquivo |
| Nome do Host Configurado | Nome configurado no Aplicativo de Gerenciamento Cato para um host com um endereço IP estático |
| Algoritmo de Congestionamento | O algoritmo de controle de congestionamento TCP para o tráfego no evento. Valores possíveis: CUBIC, NewReno, BBR |
| Nome do Conector | Para API de Segurança SaaS, nome do conector |
| Tipo de Conector | Para API de Segurança SaaS, aplicativo SaaS para o conector |
| Criticidade | Para eventos XDR, 0 (sem risco/impacto) a 10 (risco/impacto muito alto) |
| Categorias Personalizadas | As Categorias Personalizadas para sua conta (Recursos > Categorias) |
| País de Destino | Para tráfego de Internet, localização baseada no endereço IP do servidor de destino |
| Código do País de Destino | Para tráfego de Internet, o código do país de duas letras onde o host de destino está localizado (com base no ISO 3166-1 alpha-2) |
| IP de Destino | Para tráfego de Internet, endereço IP do servidor de destino |
| Destino é Site ou Usuário SDP | Para tráfego WAN, tipo de destino: site ou usuário SDP |
| Porta de Destino | Para tráfego de Internet, número da porta para o servidor de destino |
| Site de Destino | Para tráfego WAN, o nome do site de destino ou usuário SDP |
| Nome do Dispositivo | Nome do host conectado ao evento |
| Perfis de Postura de Dispositivo | Perfis que corresponderam a este evento |
| Nome do Host do Diretório | Para eventos LDAP, o nome do host |
| IP do Diretório | Para eventos LDAP, endereço IP do Controlador de Domínio |
| Resultado da Sincronização do Diretório | Para eventos LDAP, resultado da sincronização com o Controlador de Domínio |
| Tipo de Sincronização do Diretório | Evento LDAP gerado porque houve uma sincronização com o Controlador de Domínio |
| Nome exibido | O nome do usuário |
| Perfis de DLP | Perfis de DLP relacionados ao evento |
| Categoria de Proteção DNS | Tipo de Proteção DNS da Cato que correspondeu à solicitação DNS |
| Consulta DNS | Domínio consultado na solicitação DNS |
| Nome do Domínio | SSL SNI, nome do host HTTP, nome DNS |
| Duração Ms |
Duração em milissegundos entre o início e o fim de uma transação ou operação. Por exemplo, em eventos DNS ou HTTP, isto reflete o tempo entre a solicitação e a resposta correspondente. Para subtipos de eventos DNS |
| Nome do PoP de Saída |
Nome do PoP de onde o tráfego sai, conforme definido em uma Regra de Rede usando uma configuração NAT ou Rota via O campo é exibido apenas quando o tráfego sai de um PoP diferente daquele ao qual o site está conectado |
| Site de Saída | Nome do site de saída para tráfego de backhauling |
| Contagem de Eventos | Contagem para eventos que são repetidos várias vezes durante um minuto |
| Mensagem de Evento |
Descrição da Cato do evento Para ação ignorar rota de BGP:
|
| Tipo de Evento | Tipo de evento: Conectividade, Segurança, Roteamento, Sistema, Gerenciamento de Sockets ou Detecção e Resposta |
| Hash do Arquivo | Para eventos anti-malware, hash do arquivo relevante |
| Nome do Arquivo |
Nome do arquivo relevante Nota: Se o PoP não puder capturar o nome do arquivo real no momento da detecção, então ele usa a última parte do URL para o nome do arquivo, como Download |
| Tamanho do Arquivo | Tamanho (em bytes) do arquivo relevante |
| Tipo de Arquivo |
Tipo de conteúdo do arquivo (como Arquivo ou Microsoft Office) Para Regras de Controle de Arquivos, form_data é uma representação genérica de dados enviados através de um formulário web, comumente usado em solicitações HTTP (por exemplo, envios de formulários multipartes). Não indica um tipo de arquivo distinto. |
| Cardinalidade dos Fluxos | Número de Fluxos para um dado incidente |
| URL Completo | URL completo da atividade do aplicativo. Controle de Aplicativos deve estar ativado para que este campo apareça em eventos de Segurança de Aplicativos. |
| IP do Host | Endereço IP do host relacionado ao evento |
| Endereço MAC do Host | Endereço MAC do host para este evento |
| Código de Resposta HTTP |
Código de status HTTP retornado (por exemplo, para solicitação DNS, servidor DNS-over-HTTPS (DoH) quando DoH é usado) Para subtipos de eventos de Segurança de Aplicativos e DNS |
| Protocolo IP | Protocolo de rede para este evento |
| Nome do ISP |
O ISP usado para este evento Quando o Endereço IP não é fornecido pelo ISP, então a mensagem do evento é Endereços IP são atribuídos estaticamente Nota: Para sites com múltiplas interfaces WAN ativas que usam diferentes ISPs, o valor de Nome do ISP pode não ser preciso porque as interfaces podem mudar ao longo do tempo do fluxo de tráfego |
| É Congestionada a Saúde do Link | Dados que medem o congestionamento para um link específico |
| Variação na Saúde do Link | Dados que medem a variação para um link específico |
| Latência na Saúde do Link | Dados que medem a latência para um link específico |
| Perda de Pacotes na Saúde do Link | Dados que medem a perda de pacotes para um link específico |
| Tipo de Link | Tipo de link para esta conexão, por exemplo: Cato, ou Alt. WAN |
| Tipo de Login | Ação de login, valores são: Admin Login ou cliente VPN (acesso remoto ou tráfego do site) |
| Tipos de Dados Correspondentes | DLP tipos de dados correspondentes relacionados ao evento |
| Campos de Ataque Mitre |
Para eventos IPS relevantes, mostra dados baseados na abrangente base de conhecimento de Mitre Att&ck de ciber-adversários
|
| Erro de NAT | Indica o motivo dos problemas de conectividade relacionados ao NAT |
| Regra de Rede |
Nome da Regra de Rede correspondido pelo tráfego neste evento Um valor de 0 indica que o fluxo experimentou problemas de corrupção de pacotes ou foi um fluxo de sistema, como o acesso à Interface Web do Socket. |
| Modo de Escritório | Indica se o modo office está ativado para este usuário |
| SID Local | Identificador único atribuído a um objeto de usuário no Azure Active Directory da Microsoft, usado para identificar e gerenciar distintamente o usuário em vários serviços do Azure. |
| Tipo de Sistema Operacional | Tipo de sistema operacional host ou dispositivo de túnel |
| Versão do Sistema Operacional | Número da versão do sistema operacional host ou dispositivo de túnel |
| Nome do PoP | Nome da localização do PoP que está conectado a este evento |
| IP de Origem Pública |
O endereço IP público atribuído pelo PoP de onde o tráfego egressou. Para sites que estão usando Internet Traffic Backhauling como método de roteamento, este campo mostra o IP Local da Faixa Nativa para o site. O campo não é mostrado para tráfego que não sai do PoP para a Internet, como consultas DNS internas e tráfego FTP. |
| Prioridade QoS | O valor da prioridade QoS definido na Regra de Rede correspondido pelo tráfego |
| Tempo QoS informado | Para QoS, o tempo em que este evento de QoS começou. O evento é gerado quando o evento QoS termina. |
| Tipos de Registro |
Tipo de consulta (por exemplo, consulta DNS: A, AAAA, MX ou PTR) Para sub-tipos de eventos de Segurança DNS e Aplicativos |
| Código de Registro | Código de Registro usado na primeira vez que um usuário ZTNA se autentica (o código é parcialmente ofuscado) |
| Aplicativos Relacionados |
Uma lista de aplicações identificadas no fluxo de tráfego para este evento, como parte do processo de identificação de aplicativos. Este processo analisa o tráfego em diferentes estágios do fluxo, coletando informações sobre todos os protocolos, serviços e aplicativos para fazer uma determinação final precisa da aplicação. Este campo fornece contexto para a identificação do aplicativo mostrando os aplicativos identificados ao longo dos estágios do processo. |
| Método de Requisição | Método de requisição HTTP (ou seja, GET, POST). |
| Tamanho da Solicitação |
Tamanho do pacote de solicitação em bytes (ou seja, pacote de solicitação DNS) Para subtipos de eventos de Segurança de App e DNS |
| Tamanho da Resposta |
Tamanho do pacote de resposta em bytes (ex.: pacote de resposta DNS) Para subtipos de eventos de Segurança de Aplicativos e DNS |
| Nível de Risco |
Evento IPS indicando o impacto geral de uma ameaça para o host ou rede: Nível de Risco baixo – risco mínimo para a rede, como adware Nível de Risco médio – risco médio para a rede, como varreduras de rede Nível de Risco alto – risco significativo para a rede, como spyware ou worms |
| Regra | Nome da Regra de Firewall correspondente ao tráfego neste evento |
| ID da Regra | ID Cato único para a regra de segurança relacionada ao evento |
| Nome da Conta SAM | Nome de logon usado em versões do Windows anteriores ao Windows 2000, utilizado dentro de um Active Directory do Windows |
| Severidade | Severidade definida para a regra de segurança |
| Escopo de Compartilhamento | Opções de Compartilhamento para o arquivo (como SharePoint) |
| ID da Assinatura | Para IPS e SAM, ID da assinatura IPS |
| ID da Interface de Soquete | ID Cato único para a interface do soquete |
| Nome da Interface de Soquete | Nome na Aplicação de Gerenciamento da Cato para a porta do Socket (interface) |
| Nova Versão do Socket | Para eventos de atualização de Socket, o número da nova versão |
| Versão Antiga do Socket | Para eventos de atualização de Socket, número da versão anterior |
| Redefinição de Soquete | Para eventos de redefinição de soquete, indica uma redefinição de hardware ou software |
| Função do Soquete | Para eventos de alta disponibilidade de soquete, indica se o Socket é primário ou secundário |
| País de Origem | Para Clientes e sites, a localização física para o endereço IP público que está fora do túnel (detectado via endereço IP público) |
| Código do País de Origem | Código do país em que o host de origem está localizado (detectado via endereço IP público) |
| IP de Origem | O endereço IP que a Cato atribui ao host ou Cliente |
| IP do Provedor de Serviços de Internet de Origem | O endereço IP do Provedor de Serviços de Internet que está fora do túnel que conecta a Cato Cloud |
| Fonte é Site ou Usuário SDP | Para tráfego WAN, tipo de fonte: site ou usuário SDP |
| Fonte | Para todo o tráfego, o nome do site de origem ou usuário SDP |
| Porta de Origem | O número da porta interna do Cliente, site ou host para a conexão de rede |
| Site de Origem | Para todo o tráfego, o nome do site de origem ou usuário SDP |
| Nome da Sub-rede | Nome da sub-rede definida no Aplicativo de Gerenciamento da Cato |
| Sub-Tipo | Subtipo para um Tipo de Evento, como Firewall da Internet, Atividade SDP, Segurança de Aplicativos |
| Cardinalidade dos Alvos | Número de alvos (servidores) associados a este evento |
| Aceleração TCP |
Mostra se o tráfego no evento foi acelerado por TCP. Os valores são 1 (acelerado) e 0 (não acelerado) O campo aparece apenas para fluxos de tráfego baseados em TCP |
| Nome da Ameaça |
Para eventos de anti-malware, nome do malware Para eventos de IPS, explica o motivo pelo qual o tráfego foi bloqueado |
| Referência da Ameaça | Link para o banco de dados de ameaça de anti-malware para o arquivo suspeito |
| Tipo de Ameaça | Tipo de evento de malware |
| Veredito de Ameaça |
Resultado da varredura anti-malware
|
| Tempo | Carimbo de tempo para este evento (formato de época Linux) |
| Descrição do Erro TLS |
Explicação do erro TLS neste evento, os valores são: notificação de fechamento, mensagem inesperada, mac de registro ruim, falha de descompressão, falha de handshake, nenhum certificado, certificado ruim, certificado não suportado, certificado revogado, certificado expirado, certificado desconhecido, parâmetro ilegal, falha de decriptação, estouro de registro, CA desconhecido, acesso negado, erro de decodificação, erro de decriptação, restrição de exportação, versão do protocolo, segurança insuficiente, erro interno, cancelado pelo usuário, sem renegociação, identidade PSK desconhecida, desconhecido Para explicações destes erros, consulte este documento |
| Tipo de Erro TLS |
O tipo de erro TLS para este evento, os valores são:
|
| Inspeção TLS |
Mostra se o tráfego no evento foi TLS. Os valores são 1 (inspecionado) e 0 (não inspecionado) O campo aparece apenas para fluxos de tráfego TLS |
| Nome da Regra TLS | Quando o tráfego no evento foi inspecionado TLS, este campo mostra o nome da regra correspondente ao tráfego (somente quando o tráfego corresponde a uma regra diferente das regras padrão) |
| Versão TLS | Número da versão do protocolo TLS para este evento |
| Direção do Tráfego | Direção do tráfego de rede para este evento, os valores são entrada ou saída |
| Tamanho da Transação |
Tamanho total da transação em bytes, incluindo tanto a solicitação quanto a resposta Para sub-tipos de eventos de DNS e Segurança de Apps |
| Protocolo do Túnel | Protocolo para a conexão do túnel |
| Hora de Fim da Atualização | Hora de término da atualização de soquete (formato época Linux) |
| Atualização Iniciada Por | Indica se a atualização do Socket ocorreu durante a janela de manutenção ou foi iniciada pelo Suporte (valor é Adm Cato) |
| Hora de Início da Atualização | Hora de início da atualização do soquete (formato época Linux) |
| URL | Para o tráfego da Internet, URL para o evento |
| Navegador |
O navegador usado no login conforme aparece no campo Navegador no cabeçalho HTTP para o tráfego. Este campo só é preenchido quando o pop extrai seu valor de solicitações HTTP, o que atualmente ocorre nos seguintes casos:
Estes são exemplos de valores de navegador:
|
| Método de Consciência do Usuário | Método usado para obter identidade com Consciência do Usuário (como Agente de Identidade) |
| E-mail do Usuário | Endereço de e-mail para o usuário |
| Nome de Usuário | Usuário que gerou o evento |
| ID do Objeto do Usuário | Identificador único atribuído a um objeto de usuário no Azure Active Directory, usado para identificar e gerenciar contas de usuário distintamente |
| User Principal Name | Nome de login para um usuário em um ambiente Microsoft Active Directory, formatado como um endereço de e-mail (ex.: user@domain.com), e usado para fins de entrada |
| ID de Referência do Usuário | Para Página de Bloqueio/Solicitação, referência de ID para relatar a categoria incorreta |
| SID do Usuário | Identificador único atribuído a cada usuário em um sistema de dispositivo Windows para gerenciar permissões e direitos de acesso |
| Nome do Domínio do Windows | Para eventos de sincronização LDAP, o nome do domínio do AD |
| XFF | Cabeçalho HTTP XFF indica o endereço IP original para as conexões |
Esta é uma lista dos subtipos de evento:
-
Conectividade
- Chave API
- Aplicativo de Gerenciamento Cato
- PoP Alterado
- Política de Acesso do Cliente
- Conectado
- Concessão DHCP
- Desconectado
- Monitoramento LAN
- Qualidade da Última Milha
- Agregação de Link
- Conectar Transporte Fora da Nuvem
- Desconectar Transporte Fora da Nuvem
- Conexão Passiva
- Desconexão Passiva
- Reconectado
- Recuperação via Alt. WAN
- Código de Registro
- Portal SDP
- Falha no Socket
-
Detecção e Resposta
- Ponto Final XDR
- Rede XDR
- Ameaça XDR
-
Roteamento
- Roteamento BGP
- Sessão BGP
- Ignorar VPN Nunca-Desligar
-
Segurança
- Login de Aplicação
- Segurança de Aplicativos
- Proteção DNS
- Proteção de Endpoint
- Alerta de Identidade
- Firewall de Internet
- IPS
- Firewall LAN
- Autenticação de Endereço MAC
- Misclassificação
- Anti-Malware NG
- RPF
- API de Segurança SaaS Proteção Anti-Malware
- API de Segurança SaaS Proteção de Dados
- Atividade SDP
- Atividade Suspeita
- TLS
- Firewall WAN
-
Gerenciamento de Sockets
- Redefinição de Senha do Socket
- Atualização de Socket
- Acesso à Interface Web do Socket
-
Sistema
- Falha de Conectividade do DC
- Serviços de Diretório
- Múltiplos Usuários Detectados
- LIMITE DE COTA
- Provisionamento SCIM
- Licença SDP
Estes são os tipos de cada campo e como usá-los para filtros manuais.
- Data e Hora - Valores para datas neste formato
<year>-<month>-<day>T<hour>:<minute>:<second>.<millisecond>Z, por exemplo2021-01-01T12:10:30.591Z - IP - Filtrar por endereços IP usando a notação CIDR:
[ip_address]/[prefix_length] - Palavra-chave - Digite cadeias de texto, você só pode procurar por campos de Palavra-chave com o valor exato
- Link - Link para uma referência externa
- Número - Digite números inteiros
- Texto - Descrição do evento, não pode ser incluído em um filtro
Os clientes MDR (Managed Detection and Response) da Cato Networks podem visualizar os eventos para incidentes de segurança na página de Eventos. A tabela a seguir explica os campos dos eventos para esses incidentes no subtipo de evento MDR.
| Nome | Tipo | Descrição |
|---|---|---|
| Classe do Cliente | palavra-chave | Tipo de aplicações cliente que rodam no sistema operacional que criou este fluxo de rede (por exemplo, Chrome) |
| Cardinalidade dos Fluxos | número | Número de fluxos de rede que foram incluídos neste incidente de segurança |
| Agregação de Incidente | número |
Um valor verdadeiro/falso que indica se este evento é:
|
| ID do Incidente | palavra-chave | ID que identifica este incidente de segurança. Você pode usar este ID para obter mais informações com a equipe MDR. |
| Cardinalidade dos Alvos | número | Número de servidores que foram incluídos neste incidente de segurança |
O serviço de Segurança IoT/OT descobre e monitora dispositivos conectados à sua rede. A tabela a seguir explica os campos de eventos contendo dados relacionados a este serviço.
| Nome | Descrição |
|---|---|
| Categorias de Dispositivos | Categorias gerais às quais o dispositivo relacionado ao evento pertence |
| ID do Dispositivo | Identificador Cato exclusivo para o dispositivo relacionado ao evento |
| Fabricante do Dispositivo | Empresa que fabricou o dispositivo relacionado ao evento |
| Modelo do Dispositivo | Nome do modelo do dispositivo relacionado ao evento |
| Tipo de SO do Dispositivo | O sistema operacional do dispositivo relacionado ao evento |
| Tipo de Dispositivo | Tipo específico de dispositivo relacionado ao evento. É possível que o Tipo de Dispositivo inclua vários modelos diferentes |
Para mais informações sobre os eventos e campos do SDP, consulte Visão Geral do Portal de Acesso ao Navegador - Protegendo o Acesso Remoto às Aplicações.
0 comentário
Por favor, entre para comentar.