Примечание
Примечание: Это функция раннего доступа (EA), доступная только для ограниченного выпуска. Для получения дополнительной информации о включении функции, свяжитесь с вашим представителем Cato Networks или отправьте электронное письмо на ea@catonetworks.com.
Эта статья перечисляет примеры соответствий между полями Cato и Splunk Common Information Model (CIM) для поддерживаемых моделей данных. Используйте эту справку, чтобы понять, как данные Cato нормализуются для поиска, панелей управления и обнаружений в Splunk.
Для получения дополнительной информации смотрите Настройка дополнения Cato для интеграции с Splunk (EA)
|
Поле Cato |
Поле CIM |
Источник |
Описание Splunk CIM |
|
действие |
действие |
События / Потоки |
Действие, выполненное сетевым устройством |
|
имя_приложения |
приложение |
События / Потоки |
Протокол приложения трафика |
|
dest_ip |
dest |
События / Потоки |
IP-адрес назначения |
|
dest_port |
dest_port |
События / Потоки |
Порт назначения сетевого трафика |
|
направление |
направление |
События / Потоки |
Направление сетевого трафика, например входящий или исходящий |
|
вниз_stream |
байты_в |
Потоки |
Количество байтов, полученных (входящих) |
|
длительность |
длительность |
Потоки |
Время (в секундах) для завершения сетевого события |
|
ip_протокол |
транспорт |
Потоки |
Протокол транспортного уровня OSI 4, например, TCP или UDP |
|
IPv4 |
протокол |
События / Потоки |
Протокол сетевого уровня OSI 3, например, IPv4 или IPv6 |
|
pop_имя |
dvc |
События / Потоки |
Устройство, которое сообщил о сетевом событии |
|
src_ip |
src |
События / Потоки |
IP-адрес устройства, которое инициировало сетевое событие |
|
src_port |
src_port |
События / Потоки |
Исходящий порт сетевого трафика |
|
направление_трафика |
направление |
Потоки |
Направление сетевого трафика, например входящий или исходящий |
|
вниз_stream |
байты_в |
Потоки |
Количество байтов, отправленных (исходящих) |
|
имя_пользователя |
пользователь |
События / Потоки |
Пользователь, запросивший поток трафика |
|
Статический: "Cato Networks" |
поставщик |
События / Потоки |
Производитель продукта, генерирующего сетевое событие |
|
Статический: "Cato SASE" |
поставщик_продукта |
События / Потоки |
Название продукта сетевого устройства производителя |
|
вниз_stream + вверх_stream |
байты |
Потоки |
Общее количество переданных байтов (входящих и исходящих) |
|
Поле Cato |
Поле CIM |
Источник |
Описание Splunk CIM |
|---|---|---|---|
|
действие |
действие |
События |
Действие, выполненное системой предотвращения вторжений |
|
имя_приложения |
приложение |
События |
Протокол приложения трафика |
|
страна_назначения |
страна_назначения |
События |
Страна, связанная с IP-адресом назначения |
|
dest_ip |
dest |
События |
IP-адрес назначения |
|
dest_port |
dest_port |
События |
Порт назначения сетевого трафика |
|
имя_сайта_назначения |
зона_назначения |
События |
Имя зоны назначения |
|
pop_имя |
dvc |
События |
Устройство, которое обнаружило событие вторжения |
|
страна_источника |
страна_источника |
События |
Страна, связанная с IP-адресом источника |
|
src_ip |
src |
События |
IP-адрес устройства, которое инициировало событие вторжения |
|
src_port |
src_port |
События |
Исходный порт сетевого трафика |
|
имя_сайта_источника |
зона_источника |
События |
Имя зоны источника |
|
имя_угрозы |
подпись |
События |
Имя обнаруженного на клиенте (src) вторжения, например, PlugAndPlay_BO и трафик был заблокирован |
|
threat_type |
категория |
События |
Категория обнаруженного на клиенте (src) вторжения, например, нарушение политики развертывания |
|
url |
url |
События |
URL, связанный с событием вторжения |
|
user_name |
пользователь |
События |
Пользователь, участвовавший в событии обнаружения вторжения |
|
signature_id |
signature_id |
События |
ID или версия сигнатуры |
|
Условие: "сеть" для всех событий, отображаемых здесь |
ids_type |
События |
Тип IDS, который сгенерировал событие, например, основанный на сети или хосте |
|
IPv4 |
протокол |
События |
Протокол уровня 3 (Сеть) OSI |
|
Статично: "Cato Networks" |
производитель |
События |
Производитель продукта, который создает событие обнаружения вторжения |
|
Статично: "Cato SASE" |
vendor_product |
События |
Имя продукта производителя программного обеспечения обнаружения вторжений |
|
Cato Поле |
CIM Поле |
Источник |
Описание Splunk CIM |
|---|---|---|---|
|
действие |
действие |
События |
Действие, предпринятое сервером DNS или устройством безопасности |
|
application_name |
приложение |
События |
Приложение, которое инициировало запрос DNS |
|
dest_ip |
dest |
События |
IP-адрес сервера DNS |
|
dns_query |
query |
События |
Доменное имя, которое было запрошено |
|
dns_record_type |
record_type |
События |
Тип ресурсной записи DNS, например A, AAAA, CNAME, PTR |
|
pop_name |
dvc |
События |
Устройство, которое обработало запрос DNS |
|
src_ip |
src |
События |
IP-адрес устройства, которое инициировало запрос DNS |
|
user_name |
пользователь |
События |
Пользователь, который инициировал запрос DNS |
|
IPv4 |
протокол |
События |
Протокол уровня 3 (Сеть) OSI |
|
Статично: "Cato Networks" |
производитель |
События |
Производитель продукта, который создает событие DNS |
|
Статично: "Cato SASE" |
vendor_product |
События |
Имя продукта производителя программного обеспечения безопасности DNS |
|
Cato Поле |
CIM Поле |
Источник |
Описание Splunk CIM |
|---|---|---|---|
|
действие |
действие |
События |
Действие, предпринятое веб-прокси или устройством безопасности |
|
application_name |
приложение |
События |
Приложение, которое создало веб-трафик |
|
категории |
категория |
События |
Категория веб-запроса, например поисковые системы, новости или покупки |
|
dest_ip |
dest |
События |
IP-адрес веб-сервера |
|
dest_port |
dest_port |
События |
Порт назначения сетевого трафика |
|
http_request_method |
http_method |
События |
HTTP-метод, использованный в веб-запросе |
|
http_response_code |
статус |
События |
Код состояния HTTP-ответа |
|
ip_protocol |
транспорт |
События |
Протокол уровня 4 (Транспорт) OSI |
|
pop_name |
dvc |
События |
Устройство, которое обработало веб-запрос |
|
referer_url |
http_referrer |
События |
HTTP-реферер, использованный в веб-запросе |
|
request_size |
bytes_in |
События |
Количество байт, полученных веб-сервером |
|
response_size |
bytes_out |
События |
Количество байт, отправленных веб-сервером |
|
src_ip |
src |
События |
IP-адрес клиента, который получил доступ к веб-серверу |
|
src_port |
src_port |
События |
Исходный порт сетевого трафика |
|
transaction_size |
bytes |
События |
Общее количество переданных байт |
|
url |
url |
События |
URL веб-запроса |
|
user_agent |
http_user_agent |
События |
Строка браузера клиента |
|
user_name |
пользователь |
События |
Пользователь, который получил доступ к веб-серверу |
|
Ipv4 |
протокол |
События |
Протокол слоя 3 (Сеть) модели OSI |
|
Н/Д |
cookie |
События |
Файл cookie, записанный в событии |
|
Static: "Cato Networks" |
производитель |
События |
Производитель продукта, создающего веб-событие |
|
Static: "Cato SASE" |
vendor_product |
События |
Имя продукта программного обеспечения для веб-безопасности производителя |
|
Поле Cato |
Поле CIM |
Источник |
Описание Splunk CIM |
|---|---|---|---|
|
действие |
действие |
События |
Действие, предпринятое системой аутентификации |
|
application_name |
приложение |
События |
Приложение, к которому был получен доступ |
|
auth_method |
authentication_method |
События |
Метод Аутентификации, использованный, например, LDAP, RADIUS или локально |
|
dest_ip |
dest |
События |
IP-адрес сервера аутентификации |
|
failure_reason |
reason_id |
События |
Причина сбоя аутентификации |
|
pop_name |
dvc |
События |
Устройство, которое обработало запрос на аутентификацию |
|
src_ip |
src |
События |
IP-адрес устройства, которое инициировало попытку аутентификации |
|
user_agent |
user_agent |
События |
Строка браузера клиента |
|
user_name |
src_user |
События |
Пользователь, который инициировал попытку аутентификации |
|
user_name |
пользователь |
События |
Пользователь, который попытался аутентифицироваться |
|
Static: "Cato Networks" |
производитель |
События |
Производитель продукта, создающего событие аутентификации |
|
Static: "Cato SASE" |
vendor_product |
События |
Имя продукта системы аутентификации производителя |
|
Поле Cato |
Поле CIM |
Источник |
Описание Splunk CIM |
|---|---|---|---|
|
действие |
действие |
События |
Действие, предпринятое системой обнаружения вредоносных программ |
|
application_name |
приложение |
События |
Приложение, вовлеченное в событие с вредоносными программами |
|
dest_ip |
dest |
События |
IP-адрес назначения |
|
file_hash |
file_hash |
События |
Хэш файла, вовлеченного в событие с вредоносными программами |
|
file_name |
file_name |
События |
Имя файла, вовлеченного в событие с вредоносными программами |
|
file_size |
file_size |
События |
Размер файла, вовлеченного в событие с вредоносными программами |
|
full_path_url |
file_path |
События |
Путь файла, вовлеченного в событие с вредоносными программами |
|
pop_name |
dvc |
События |
Устройство, которое обнаружило вредоносные программы |
|
src_ip |
src |
События |
IP-адрес устройства, где были обнаружены вредоносные программы |
|
threat_name |
сигнатура |
События |
Имя вредоносного заражения, обнаруженного на клиенте (src) |
|
threat_type |
Категория |
События |
Категория вредоносных программ, обнаруженных на клиенте (вкл. src) |
|
имя_пользователя |
Пользователь |
События |
Пользователь, участвующий в событии с вредоносными программами |
|
Static: “Cato Networks” |
Производитель |
События |
Производитель продукта, генерирующего событие с вредоносными программами |
|
Static: “Cato SASE” |
продукт_поставщика |
События |
Название продукта софта обнаружения вредоносных программ от производителя |
|
Cato Field |
Поле CIM |
Источник |
Описание Splunk CIM |
|---|---|---|---|
|
Действие |
Действие |
События |
Действие, выполненное на ресурсе |
|
администратор_электронная_почта |
электронная_почта_пользователя_источника |
События |
Адрес электронной почты пользователя, инициировавшего изменение |
|
подтип_события |
команда |
События |
Команда, инициировавшая изменение |
|
имя_по_по |
устройство |
События |
Устройство, на котором было замечено изменение |
|
id_пользователя |
id_объекта |
События |
ID объекта, который был изменён |
|
имя_пользователя |
объект |
События |
Объект, который был изменён |
|
имя_пользователя |
пользователь_источника |
События |
Пользователь, инициировавший изменение |
|
имя_пользователя |
пользователь |
События |
Пользователь, осуществивший изменение |
|
Условно: "пользователь" или "администратор" |
категория_объекта |
События |
Категория объекта, который был изменён |
|
Статическое: "AAA" |
тип_изменения |
События |
Тип изменения, такой как файловая система или AAA (аутентификация, авторизация и учёт). |
|
Статическое: "Приложение Управления Cato" |
место_назначения |
События |
Назначение изменения |
|
Статическое: "Cato Networks" |
производитель |
События |
Производитель продукта, генерирующего событие изменения |
|
Статическое: "Cato SASE" |
продукт_поставщика |
События |
Название продукта в системе управления изменениями производителя |
|
Статическое: "успех" |
статус |
События |
Статус изменения |
0 комментариев
Войдите в службу, чтобы оставить комментарий.