Анализирование событий в вашей сети

Страница События показывает все события, которые происходят в вашем аккаунте, например, когда сайты и удаленные пользователи подключаются к Cato Cloud, а также блокируют действия файервола или двигателя безопасности.

Обзор

События Cato предоставляют подробные данные о трафике и активности по вашей учетной записи. Каждое событие фиксирует информацию о том, что произошло в окружении, например, попытка соединения, действие безопасности или активность, связанная с конфигурацией, включая контекст, необходимый для понимания произошедшего и как Cato обработал это.

Используйте страницу События в Приложении Управления Cato (CMA) для расследования трафика, мониторинга активности учетных записей, проверки поведения политики и устранения проблем с работой. Вы можете сузить данные о событиях по диапазону времени, типу события, значениям полей, пресетам, настраиваемым фильтрам или поиску на естественном языке, чтобы сосредоточиться на событиях, которые имеют отношение к конкретному сетевому или вопросу безопасности.

Для дополнительного анализа, центрального мониторинга или срока хранения, вы можете:

Данные о событиях хранятся в Озере данных Cato. Для получения дополнительной информации смотрите Руководство по Озеро данных Cato.

Примечание

Примечания:

  • После генерации события, данные для этого события отображаются на странице События обычно в течение 5 минут. Однако возможно, что некоторые события будут задержаны до 30 минут.
  • Изменения в именах сущностей (например, в правилах политики) могут занять до 24 часов, чтобы отразиться в соответствующих полях событий.

Просмотр полей событий с помощью быстрого просмотра

Быстрый просмотр — это опция, которая отображает меньше полей для каждого События, чтобы улучшить производительность страницы. Она включена по умолчанию и отображает поля, которые чаще всего требуются для анализа. Она значительно улучшает производительность страницы Событий, а также производительность экспорта, когда вы выбираете опцию экспорта Быстрого просмотра.

Любые поля, которые выбраны вручную или упомянуты в фильтре, также отображаются, когда Быстрый просмотр включен.

Вы можете отключить Быстрый просмотр в любое время для загрузки всех полей, однако это может повлиять на производительность.

Поля, включенные в быстрый просмотр

Следующие поля отображаются для каждого события, когда Быстрый просмотр включен. Список полей основан на данных о использовании клиентов.

  • Всегда включено
  • Категория активности приложения
  • Приложение
  • Активность приложения
  • Риск приложения
  • Метод Аутентификации
  • Код ошибки отключения BGP
  • Метод обхода
  • Причина обхода
  • Категория
  • Приложение Cato
  • Имя сертификата клиента
  • Класс клиента
  • Версия клиента
  • Настроенное имя хоста
  • Тип разъема
  • Пользовательская категория
  • Страна назначения
  • IP-адрес назначения
  • Назначение — сайт или пользователь SDP
  • Порт назначения
  • Сайт назначения
  • Сертификат устройства
  • Имя устройства
  • Тип ОС устройства
  • Профили состояния устройства
  • IP-адрес справочника
  • Результат синхронизации справочника
  • Профили DLP
  • Категория защиты DNS
  • Запрос DNS
  • Имя домена
  • Исходящее имя Pop
  • Тип события
  • сообщение о событии
  • Причина отказа
  • Хеш файла
  • Тип файла
  • Полный путь URL
  • Роль HA
  • IP-адрес хоста
  • MAC-адрес хоста
  • Идентификатор интерфейса
  • IP протокол
  • Разрешенное Приложение
  • Имя провайдера интернет-услуг
  • Доступ к ЛВС
  • Здоровье ссылки - Потеря пакета
  • Тип ссылки
  • Вошедший пользователь
  • Тип Входа
  • Сетевое правило
  • Тип операционной системы
  • Имя Pop
  • Общедоступный IP-адрес источника
  • Приоритет QoS
  • Справочный URL
  • Связанные приложения
  • Уровень риска
  • Правило
  • ID правила
  • Имя учетной записи SAM
  • Серьезность
  • ID подписи
  • Сброс сокета
  • Страна источника
  • IP адрес источника
  • Источник — сайт или пользователь SDP
  • IP адрес провайдера
  • Исходный порт
  • Исходный сайт
  • Раздельный Туннель
  • Статус
  • Имя подсети
  • Подтип
  • Ускорение TCP
  • Имя угрозы
  • Тип угрозы
  • Вердикт потока
  • Время
  • Ошибка сертификата TLS
  • Описание ошибки TLS
  • Тип ошибки TLS
  • Имя правила TLS
  • Направление трафика
  • Доверенные сети
  • Протокол туннеля
  • URL
  • Пользовательский Браузер
  • Отображать имя пользователя
  • Электронная почта пользователя
  • Имя пользователя
  • User Principal Name
  • Имя домена Windows

Просмотр страницы событий

Вы можете просматривать события для всей учетной записи на странице Домашняя > События.

Элементы на странице событий

Следующее изображение и таблица объясняют элементы страницы События с вкладкой События:

events_elements_on_page.jpg
Элемент Имя Описание
1 Выбрать меню пресетов Падающее меню с вариантами фильтра пресета для отображения событий в общих сценариях, а также любых пользовательских пресетов, которые вы сохранили вручную.
2 Полоса фильтров событий Показаны фильтры, которые применяются к событиям. Нажмите Add2.png (Добавить), чтобы вручную настроить параметры фильтра.
3 Обновить Обновляет данные для событий на странице (занимает около 5 секунд на обновление).
4 Диапазон времени

Выберите диапазон времени для событий, которые отображаются на странице.

По умолчанию диапазон времени составляет последние 2 дня, что показывает события за предыдущие 48 часов. Для получения дополнительной информации см. Установка фильтра диапазона времени.

Примечание: Максимальный временной диапазон для страницы События составляет 31 день.
5 Меню экспорта событий Экспортирует события в текущем фильтре в файл. Вы можете экспортировать все поля (столбцы) или только выбранные.
6 Добавить в пользовательские пресеты Добавьте текущий фильтр в ваши пользовательские пресеты, чтобы вы могли легко использовать фильтр снова.
7 Поиск на естественном языке Отфильтруйте список событий, используя фильтры естественного языка. 
8 Переключение ручного фильтра После использования поиска на естественном языке эта кнопка переключает обратно к параметрам ручного фильтра.
9 Хронология событий Показывает количество отфильтрованных событий. Каждый тип события представлен разными цветами.
10 Общее количество событий Показывает общее количество событий для текущего диапазона времени и настроек фильтра.
11 Быстрые фильтры типа событий Нажмите на тип события, чтобы скрыть события данного типа. Например, когда вы нажимаете Сеть, сетевые события не отображаются на странице.
12 Вкладки просмотра данных по событиям

Выберите вкладку, чтобы выбрать просмотр данных по событиям.

  • События: Показывает все данные о событиях в сжатой строке. Когда вы расширяете строку, каждый элемент данных отображается на отдельной линии.
  • Умный просмотр: Показывает данные о событиях в легкочитаемом формате, предоставляющем быстрые инсайты. Когда вы расширяете строку, данные отображаются так же, как на вкладке «События».

  • Основные распределения: Показывает процент событий согласно этим диаграммам:

    • Распределение типов событий - Показывает общее количество событий и процент для каждого типа событий.
    • Топ событий подключения - Показывает топ действия для событий подключения.
    • Топ событий безопасности - Показывает топ действия для событий безопасности.
    • Топ источников сайтов и пользователей SDP - Показывает топ источники трафика от сайтов и имен пользователей SDP.
    • Топ источников IP - Показывает топ источники трафика на основе IP-адресов.
    • Топ целевых имен хостов - Показывает целевой трафик (назначение) на основе имени хоста.
    • Наиболее часто проверяемые файлы или топ проверяемых - Показывает топ имена файлов проверенных движками защиты от угроз.
13 Поля событий

Все поля, которые находятся в исходных данных для отфильтрованных событий. Вы можете легко добавить или исключить поле в фильтре.

Показывает уникальность (различные значения) событий, которые соответствуют каждой категории поля. Когда вы расширяете категорию, она показывает общее количество событий для каждого типа события.
14 Время и исходные данные для события Показывает временной штамп, когда событие было сгенерировано, и исходные данные для каждого поля в событии. Вы также можете добавить поля как новые столбцы в эту таблицу.
15 Быстрый просмотр Быстрый просмотр включен по умолчанию, отображает все поля, которые обычно требуются для анализа каждого события. Это значительно улучшает производительность страницы. Это также улучшает производительность экспорта, когда вы выбираете опцию экспорта быстрого просмотра.

Понимание типов событий

Это типы событий на странице События:

  • Соединение - События, связанные с соединением для LAN мониторинга, площадок и VPN Клиентов в учетной записи
    • События соединения связаны с проблемами соединения площадки, например качество связи, связанное с потерей пакетов
  • Обнаружение и реакция - События, связанные с историями XOps
    • События обнаружения и реагирования связаны с новыми и обновленными историями XOps, сгенерированными политикой реагирования.
  • Позиция - События, связанные с проверками позы
    • События позы связаны с изменениями оценок позы и новыми проверками.
  • Маршрутизация - Маршрутизация и события BGP.
    • События маршрутизации связаны с состоянием сеансов BGP и маршрутов.
  • Безопасность - События, генерируемые движками Защиты от угроз и Файервола
    • События безопасности связаны с потенциальными проблемами безопасности и могут помочь вам настроить правила для файервола
  • Управление сокетами - События, связанные с Сокетами, такие как обновления прошивки
    • События управления сокетами связаны с успешным обновлением Сокета до новейшей версии
  • Система - События, связанные с LDAP, Осведомленность Пользователя, лицензией и учетными записями
    • Системные события связаны со статусом синхронизации Служб каталогов

Фильтрация и сортировка событий

Вы можете фильтровать события, чтобы помочь вам быстро найти соответствующую информацию.

Фильтрация событий с использованием поиска на естественном языке

Вы можете легко искать события, используя повседневный язык, чтобы углубиться и идентифицировать соответствующие данные на странице. Для получения более подробной информации см. Использование поиска на естественном языке.

Фильтрация событий с использованием существующих или пользовательских фильтров

Вы можете использовать предустановленные фильтры Cato или создать пользовательские фильтры, чтобы помочь вам найти соответствующие события. Для подробной информации см. Фильтрация данных на странице.

Добавление значений событий в фильтр событий

Левая часть страницы События показывает поля и значения, которые включены в события (элемент 5 в предыдущем примере). Вы можете легко добавить значение поля в фильтр событий, чтобы подробно изучить и выявить соответствующие события.

Следующая таблица объясняет кнопки в полях событий:

Элемент Описание
Add_button.png
 Добавляет поле в раздел Выбранные Поля, и страница показывает данные событий только для этих полей. Нажмите X в верхней части столбца, чтобы удалить его.
Include_button.png
 Добавляет конкретное значение для поля в фильтр. Страница События автоматически обновляется и показывает события, соответствующие новому фильтру.
Exclude_button.png
 Добавляет исключение для этого конкретного значения поля в фильтр. Страница События автоматически обновляется и показывает события, которые НЕ соответствуют этому значению.

Кроме того, вы можете добавить новый столбец, который показывает данные событий для конкретного поля. Следующая таблица объясняет кнопки в полях событий:

Чтобы добавить значение события в фильтр:

  1. На странице События нажмите поле, чтобы развернуть значения.

    EventValue.png

  2. Для конкретного значения нажмите кнопку, чтобы добавить значение или исключение в фильтр.

    Страница События обновляется и показывает события, которые соответствуют новому фильтру. Значение поля показывает количество соответствующих событий.

Экспорт событий в файл

Вы можете экспортировать данные событий со страницы События в файл для дополнительного анализа. You can export up to 250,000 events at one time to a file. Все события в текущем фильтре и диапазоне времени включены в экспорт. Вы можете использовать следующие три варианта, чтобы контролировать, какие поля событий включены в экспорт:

  • Все поля: Включить все поля для каждого события в экспорте. 
  • Выбранные поля: Включать только поля, которые вы добавили в экспорт. 
  • Быстрый просмотр: Когда включен Быстрый просмотр, включаются только поля Быстрого просмотра, а также любые поля, добавленные вручную или явно указанные в фильтре. Эта опция предназначена для улучшения производительности экспорта.

Примечание

Примечания:

  • Только у администраторов CMA с ролью Редактор есть разрешение на экспорт в файл CSV. Чтобы узнать больше о настройке ролей администраторов, см. Управление администраторами.
  • Иногда попытка экспорта событий не удается, потому что запрос занимает слишком много времени и превышает время ожидания. Вы можете сократить временной интервал фильтра событий или использовать опцию экспорта Быстрый просмотр, а затем попробовать снова.
  • Количество событий на странице События может быть округлено. Например, страница События показывает 2K событий, а фактическое число событий - 1952.
  • После экспорта событий колонка events_count в CSV файле может показать несколько событий для каждой строки, это происходит, когда одно и то же событие произошло более одного раза за интервал времени в одну минуту. Количество в этой колонке может показывать другое число, чем общее количество экспортированных событий. Чтобы показать общее количество экспортированных событий, используйте СУММУ колонки events_count.

Чтобы экспортировать события в CSV-файл:

  1. (Необязательно) Нажмите Добавить для полей, которые вы экспортируете.
  2. На странице События нажмите Экспорт Событий.

  3. Выберите область экспорта: Все поля в событиях, Выбранные поля в фильтре или поля, включенные в Быстрый просмотр.

    • Все поля в событиях
    • Выбранные поля в фильтре
    • Поля, включенные в Быстрый просмотр
  4. Нажмите ОК. События экспортируются в CSV-файл, и файл скачивается в соответствии с настройками вашего браузера Интернет.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 10 из 10

0 комментариев