Это описания полей событий для Приложения Управления Cato (CMA). Поля событий часто обновляются. Для полного списка полей событий, пожалуйста, обратитесь к Cato GraphQL API Reference для EventFieldName.
Для клиентов, использующих API Cato для данных событий, см. возможные изменения и конец жизни (EoL) API Cato для уведомлений о возможных изменениях и объявлениях о конце жизни (EoL) схемы Cato GraphQL API. Мы рекомендуем вам следить за статьей, чтобы автоматически получать уведомления по электронной почте о обновлениях и изменениях.
| Имя | Описание |
|---|---|
| Действие |
Действие, относящееся к типу события, например:
|
| Имя каталога Active Directory | Имя, связанное с устройством позади сокета Active Directory Осведомленность Пользователя |
| Имя ключа API | Имя, определенное для публичного ключа API в Приложение Управления Cato |
| Приложение | Приложения, используемые в различных политиках развертывания, например: Facebook, CNN |
| Тип аутентификации | Метод аутентификации, подключенный к этому событию, например: MFA или пароль |
| Cato ASN BGP | BGP ASN для пиринга Cato BGP (локальное соединение) |
| IP Cato BGP | IP-адрес BGP для Cato BGP пира (локальное соединение) |
| Код ошибки BGP | Сообщение об ошибке для события отключения BGP |
| ASN пира BGP | BGP ASN для пира BGP (удаленное соединение) |
| Описание пира BGP | Для событий BGP, описание соседа BGP из Приложений Управления Cato |
| IP пира BGP | IP-адрес BGP для пира BGP (удаленное соединение) |
| CIDR маршрута BGP | CIDR для маршрута BGP |
| Код подошибки BGP | Сообщение об ошибке, связанное с событием отключения BGP |
| Категория | Системные категории Cato, заданные по умолчанию |
| Приложение Cato | Данные приложения, связанные с этим потоком трафика |
| Дата истечения срока сертификата | Дата истечения срока для клиентского сертификата |
| Класс клиента | Тип процесса, генерирующего этот трафик |
| Версия клиента | Номер версии для Socket или Клиента Cato |
| Collaborators | Для API безопасности SaaS, адреса электронной почты пользователей, которые получили файл |
| Настроенное имя хоста | Имя, настроенное в Приложении Управления Cato для хоста со статическим IP-адресом |
| Алгоритм перегрузки | Алгоритм управления перегрузкой TCP для трафика в событии. Возможные значения: CUBIC, NewReno, BBR |
| Имя API коннектора | Для API безопасности SaaS, название конечного коннектора |
| Тип коннектора | Для API безопасности SaaS, SaaS приложение для конечного коннектора |
| Критичность | Для событий XDR, 0 (нет риска/воздействия) до 10 (очень высокий риск/воздействие) |
| Пользовательские категории | Пользовательские категории для вашего аккаунта (Ресурсы > Категории) |
| Страна назначения | Для интернет-трафика, местоположение сервера назначения на основе IP-адреса |
| Код страны назначения | Для интернет-трафика, код страны из двух букв, где расположен хост назначения (на основе ISO 3166-1 alpha-2) |
| IP-адрес назначения | Для интернет-трафика, IP-адрес сервера назначения |
| Назначение - Сайт или Пользователь SDP | Для WAN трафика, тип назначения: сайт или пользователь SDP |
| Порт назначения | Для интернет-трафика, номер порта для сервера назначения |
| Сайт назначения | Для WAN трафика, имя сайта назначения или пользователя SDP |
| Имя устройства | Имя хоста, подключенного к событию |
| Профили состояния устройства | Профили, совпавшие с этим событием |
| Имя хоста каталога | Для LDAP событий, имя хоста |
| IP каталога | Для LDAP событий, IP-адрес контроллера домена |
| Результат синхронизации каталога | Для LDAP событий, результат синхронизации с контроллером домена |
| Тип синхронизации каталога | LDAP событие создано, потому что была синхронизация с контроллером домена |
| Отображаемое имя | Имя пользователя |
| Профили DLP | Профили DLP, связанные с событием |
| Категория защиты DNS | Тип защиты DNS Cato, соответствующий DNS-запросу |
| Запрос DNS | Домен, запрашиваемый в DNS-запросе |
| Имя домена | SSL SNI, имя HTTP хоста, DNS имя |
| Длительность мс |
Длительность в миллисекундах между началом и концом транзакции или операции. Например, в событиях DNS или HTTP, это отражает время между запросом и соответствующим ответом. Для подтипов событий DNS |
| Имя выходного PoP |
Имя PoP, откуда выходит трафик, как определено в сетевом правиле с использованием конфигурации NAT или Маршрут через Поле показывается только тогда, когда трафик выходит из PoP, отличного от того, к которому подключен сайт |
| Исходящий сайт | Имя исходящего сайта для обратного канала трафика |
| Количество событий | Количество событий, повторяющихся несколько раз в течение одной минуты |
| Сообщение о событии |
Описание события Cato Для действия игнорирования маршрута BGP:
|
| Тип события | Тип события: Соединение, Безопасность, Маршрутизация, Система, Управление Сокетами, или Обнаружение и Реакция |
| Хеш файла | Для антивирусных событий, хеш соответствующего файла |
| Имя файла |
Имя соответствующего файла Примечание: Если PoP не может захватить фактическое имя файла на момент обнаружения, то используется последняя часть URL в качестве имени файла, например Загрузка |
| Размер Файла | Размер (в байтах) соответствующего файла |
| Тип Файла |
Тип содержимого файла (например, Архив или Microsoft Office) Для правил контроля файлов form_data представляет собой общую форму представления данных, отправляемых через веб-форму, обычно используемую в HTTP-запросах (например, многочастные отправки форм). Это не указывает на отдельный тип файла. |
| Уникальность Потоков | Количество потоков для данного инцидента |
| Полный путь URL | Полный путь URL для активности приложения. Контроль приложений должен быть включен, чтобы это поле появилось в Безопасности приложений. |
| IP-адрес хоста | IP-адрес хоста, связанного с событием |
| MAC-адрес хоста | MAC-адрес хоста для этого события |
| Код HTTP-ответа |
Возвращен код состояния HTTP (например, для запроса DNS сервер DNS-over-HTTPS (DoH) при использовании DoH) Для события типа Безопасность приложений и DNS |
| IP протокол | Сетевой протокол для этого события |
| Имя провайдера интернет-услуг |
ISP, использованный для этого события Когда IP-адрес не предоставлен ISP, сообщение о событии будет IP-адреса назначены статически Примечание: Для сайтов с несколькими активными интерфейсами WAN, использующими разных ISP, значение имени провайдера интернет-услуг может быть неточным, потому что интерфейсы могут изменяться в течение жизни потока трафика |
| Состояние Ссылки - Перегрузка | Данные, измеряющие перегрузку для конкретной ссылки |
| Состояние Ссылки - Джиттер | Данные, измеряющие джиттер для конкретной ссылки |
| Состояние Ссылки - Задержка | Данные, измеряющие задержку для конкретной ссылки |
| Состояние Ссылки - Потеря пакетов | Данные, измеряющие потерю пакетов для конкретной ссылки |
| Тип Ссылки | Тип ссылки для этого соединения, например: Cato или Alt. WAN |
| Тип Входа | Действие входа, значения: Вход Администратора или VPN клиент (удалённый доступ или трафик сайта) |
| Соответствующие Типы Данных | Соответствующие типы данных DLP, связанные с событием |
| Поля атаки Mitre |
Для соответствующих событий IPS показывает данные, основанные на всесторонней базе знаний атаки Mitre киберпротивников
|
| Ошибка NAT | Указывает причину проблем с подключением, связанных с NAT |
| Сетевое правило |
Имя сетевого правила, совпадающего с трафиком в этом событии Значение 0 указывает, что поток столкнулся с проблемами повреждения пакетов, или это был системный поток, например доступ к Socket WebUI |
| Режим развертывания офиса | Указывает, включен ли режим офиса для этого пользователя |
| OnPrem SID | Уникальный идентификатор, назначенный объекту пользователя в Microsoft Azure Active Directory (Azure AD), используемый для точной идентификации и управления пользователем через различные сервисы Azure |
| Тип ОС | Тип операционной системы хоста или туннельного устройства |
| Версия ОС | Номер версии операционной системы хоста, или туннельного устройства |
| Имя PoP | Имя местоположения PoP, подключенного к этому событию |
| Общедоступный исходный IP |
Публичный IP-адрес, назначенный PoP, откуда выходил трафик. Для сайтов, использующих Internet Traffic Backhauling как метод маршрутизации, это поле показывает локальный IP-адрес собственного диапазона для сайта. Поле не отображается для трафика, который не выходит от PoP в Интернет, например внутренних DNS-запросов и FTP-трафика. |
| Приоритет QoS | Значение приоритета QoS, определенное в сетевом правиле, совпадающем с трафиком |
| Время отчета QoS | Для QoS, время, когда началось это событие QoS. Событие создается, когда событие QoS завершается. |
| Типы записей |
Тип запроса (например, DNS-запрос: A, AAAA, MX или PTR) Для подтипов событий безопасности DNS и приложений |
| Код регистрации | Код регистрации, использованный в первый раз, когда пользователь ZTNA аутентифицируется (код частично скрыт) |
| Связанные приложения |
Список приложений, идентифицированных в потоке трафика для этого события, как часть процесса идентификации приложения. Этот процесс анализирует трафик на разных этапах потока, собирая информацию обо всех протоколах, сервисах и приложениях, чтобы сделать точное окончательное определение приложения. Это поле предоставляет контекст для идентификации приложения, отображая приложения, идентифицированные на разных этапах процесса. |
| Метод запроса | Метод HTTP-запроса (например, GET, POST) |
| Размер запроса |
Размер пакета запроса в байтах (например, пакет запроса DNS) Для подтипов событий DNS и безопасности приложений |
| Размер ответа |
Размер пакета ответа в байтах (например, пакет с реакцией DNS) Для подтипов событий DNS и безопасности приложений |
| Уровень риска |
Событие IPS, указывающее на общее воздействие угрозы на хост или сеть: Уровень риска низкий — минимальный риск для сети, например, рекламное ПО Уровень риска средний — средний риск для сети, например, сканирование сети Уровень риска высокий — значительный риск для сети, такой как шпионское ПО или черви |
| Правило | Имя правила брандмауэра, с которым совпадает трафик в этом событии |
| ID Правила | Уникальный ID Cato для правила безопасности, связанного с событием |
| Имя SAM аккаунта | Имя для входа, использовавшееся в версиях Windows до 2000 года, внутри Windows Active Directory |
| Серьезность | Серьезность, определенная для правила безопасности |
| Область совместного использования | Параметры совместного использования для файла (например, SharePoint) |
| ID Подписи | Для IPS и SAM, ID сигнатуры IPS |
| Идентификатор интерфейса сокета | Уникальный ID Cato для сетевого интерфейса |
| Имя интерфейса сокета | Имя в приложении управления Cato для порта сокета (интерфейса) |
| Новая версия сокета | Для событий обновления сокета, номер новой версии |
| Старая версия сокета | Для событий обновления сокета, номер предыдущей версии |
| Сброс сокета | Для событий сброса сокета, указывает аппаратный или программный сброс |
| Роль сокета | Для событий высокой доступности сокета, указывает, является ли сокет основным или вторичным |
| Страна источника | Для клиентов и площадок, физическое местоположение для публичного IP-адреса, находящегося вне туннеля (определяется по публичному IP-адресу) |
| Код страны источника | Код страны, в которой находится исходный хост (определяется по публичному IP-адресу) |
| IP-адрес источника | IP-адрес, который Cato присваивает хосту или клиенту |
| IP источника провайдера | IP-адрес провайдера, находящийся вне туннеля, который подключает облако Cato |
| Источник — это сайт или пользователь SDP | Для трафика WAN, тип источника: сайт или пользователь SDP |
| Источник | Для всего трафика, имя исходного сайта или пользователя SDP |
| Исходный порт | Внутренний номер порта для клиента, сайта или хоста для сетевого подключения |
| Исходный сайт | Для всего трафика, имя исходного сайта или пользователя SDP |
| Имя подсети | Имя подсети, определённой в приложении управления Cato |
| Подтип | Подтип для типа события, такого как Межсетевой экран для Интернета, Активность SDP, Безопасность приложений |
| Уникальность целей | Количество целей (серверов), связанных с этим событием |
| Ускорение TCP |
Показывает, ускорился ли трафик в событии TCP. Значения: 1 (ускорено) и 0 (не ускорено) Поле появляется только для потоков трафика, основанных на TCP |
| Имя угрозы |
Для антивирусных событий, имя вредоносной программы Для событий IPS, объясняет причину блокировки трафика |
| Ссылка на угрозу | Ссылка на базу данных антивирусных угроз для подозрительного файла |
| Тип угрозы | Тип события вредоносной программы |
| Вердикт угрозы |
Результат антивирусного сканирования
|
| Время | Метка времени для этого события (формат эпохи Linux) |
| Описание ошибки TLS |
Объяснение ошибки TLS в этом событии, значения: закрыть уведомление, неожиданное сообщение, плохая запись mac, ошибка распаковки, ошибка рукопожатия, нет сертификата, плохой сертификат, неподдерживаемый сертификат, отозванный сертификат, истекший сертификат, неизвестный сертификат, незаконный параметр, не удалось расшифровать, переполнение записи, неизвестный CA, доступ запрещен, ошибка декодирования, ошибка дешифрования, ограничение на экспорт, версия протокола, недостаточная безопасность, внутренняя ошибка, пользователь отменен, нет повторных переговоров, неизвестный PSK идентификатор, неизвестное Для объяснений этих ошибок, см. этот документ |
| Тип ошибки TLS |
Тип ошибки TLS для этого события, значения:
|
| Инспекция TLS |
Показывает, был ли трафик в событии инспектирован TLS. Значения: 1 (инспектировано) и 0 (не инспектировано) Поле появляется только для потоков трафика, основанных на TLS |
| Имя правила TLS | Когда трафик в событии инспектировался TLS, это поле показывает имя правила, совпадающего с трафиком (только когда трафик совпадает с правилом, отличным от стандартных правил) |
| Версия TLS | Номер версии протокола TLS для этого события |
| Направление трафика | Направление сетевого трафика для этого события, значения: входящий или исходящий |
| Размер транзакции |
Общий размер транзакции в байтах, включая как запрос, так и ответ Для подтипов события Безопасность приложений и DNS |
| Протокол туннеля | Протокол для туннельного соединения |
| Время окончания обновления | Время окончания обновления сокета (формат эпохи Linux) |
| Инициировано обновление | Указывает, произошло ли обновление сокета в течение окна обслуживания или было инициировано поддержкой (значение: администратор Cato) |
| Время начала обновления | Время начала обновления сокета (формат эпохи Linux) |
| URL | Для интернет-трафика, URL для события |
| Пользовательский агент |
Пользовательский агент, использованный при входе в систему, как он отображается в поле User Agent в заголовке HTTP для трафика. Это поле заполняется только тогда, когда PoP извлекает его значение из запросов HTTP, что в настоящее время происходит в следующих случаях:
Это примеры значений пользовательского агента:
|
| Метод информированности пользователя | Метод, используемый для получения идентификации в рамках Информированности пользователя (например, Агент Идентификации) |
| Электронная почта пользователя | Адрес электронной почты пользователя |
| Имя пользователя | Пользователь, создавший событие |
| Идентификатор объекта пользователя | Уникальный идентификатор, присвоенный объекту пользователя в Azure Active Directory, используется для четкой идентификации и управления учетными записями пользователей |
| Имя пользователя | Имя для входа пользователя в среде Microsoft Active Directory, оформленное как адрес электронной почты (например, user@domain.com), используемое для авторизации |
| Идентификатор ссылки пользователя | Для страницы блокировки/запросов, ссылочный идентификатор для отчета об ошибочной категории |
| SID пользователя | Уникальный идентификатор, присвоенный каждому пользователю на системе Windows для управления разрешениями и правами доступа |
| Имя домена Windows | Для событий синхронизации LDAP, имя домена AD |
| XFF | HTTP-заголовок XFF указывает исходный IP-адрес для соединений |
Это список подтипов событий:
-
Соединение
- API ключ
- Приложение Управления Cato
- Измененный PoP
- Политика доступа клиента
- Подключено
- Аренда DHCP
- Отключено
- Мониторинг локальной сети
- Вне Облака Транспорт Подключено
- Вне Облака Транспорт Отключено
- WAN
- Код регистрации
- SDP Portal
-
Обнаружение и Реакция
- XDR Конечные точки
- XDR Сеть
- XDR Угрозы
-
Маршрутизация
- BGP Маршрутизация
- BGP Session
- Обход VPN Never-Off
-
Безопасность
- Приложение Входит в
- Безопасность приложений
- Защита DNS
- Защита конечных точек
- Оповещение об идентификации
- Межсетевой экран для Интернета
- IPS
- Межсетевой экран LAN
- Аутентификация по MAC-адресу
- Антивирус NG
- RPF
- Антивирус для SaaS Security API
- Защита данных SaaS Security API
- Активность SDP
- Подозрительная активность
- TLS
- Брандмауэр WAN
-
Управление сокетами
- Обновление сокета
- Веб-интерфейс сокета Доступ к облаку
-
Система
- Сбой подключения к контроллеру домена
- Службы каталогов
- Обнаружена Пользователи
- Ограничение пропускной способности
- Правило предоставления SCIM
- Лицензия SDP
Это типы каждого поля и как их использовать для ручных фильтров.
- Дата вставки и Время - Значения для дат в этом формате
<year>-<month>-<day>T<hour>:<minute>:<second>.<millisecond>Z, например2021-01-01T12:10:30.591Z - IP - Фильтр для IP-адресов с использованием нотации CIDR:
[ip_address]/[prefix_length] - Ключевое слово - Введите текстовые строки, вы можете искать поля Ключевое слово только с точным значением
- Ссылка - Ссылка на внешнюю справочную информацию
- Число - Введите числа в виде целых чисел
- Готово, я буду переводить описания кнопок или текста с английского на русский язык, учитывая контекст из имен полей в бэкенде. Я не буду переводить аббревиатуры, если в русском языке нет соответствующей аббревиатуры. Я верну только переведенную строку.
Клиенты MDR (Управляемое Обнаружение и Реакция) Cato Networks могут просматривать события для инцидентов безопасности на странице событий. Следующая таблица объясняет поля событий для этих инцидентов в подтипе события MDR.
| Имя | Тип | Описание |
|---|---|---|
| Класс клиента | ключевое слово | Тип клиентских приложений, которые работают на операционной системе, создавшей этот поток сети (например, Chrome) |
| Кардинальность потоков | число | Количество потоков сети, включенных в этот инцидент безопасности |
| Агрегация инцидента | число |
Значение true/false, указывающее, если это событие:
|
| ID инцидента | ключевое слово | ID, который идентифицирует этот инцидент безопасности. Вы можете использовать этот ID для получения дополнительной информации с командой MDR. |
| Цели Кардинальность | число | Количество серверов, включенных в этот инцидент безопасности |
Сервис Безопасности IoT/OT обнаруживает и отслеживает устройства, подключенные к вашей сети. Следующая таблица объясняет поля событий, содержащие данные, относящиеся к этой услуге.
| Имя | Описание |
|---|---|
| Категории устройств | Общие категории, к которым относится устройство, связанное с событием |
| ID устройства | Уникальный идентификатор Cato для устройства, связанного с событием |
| Производитель устройства | Компания, изготовившая устройство, связанное с событием |
| Модель устройства | Имя модели устройства, связанного с событием |
| Тип ОС устройства | Операционная система на устройстве, связанном с событием |
| Тип устройства | Специфический тип устройства, связанного с событием. Возможно, что Тип устройства включает в себя несколько различных моделей |
Для получения более подробной информации о событиях и полях SDP, посмотрите Обзор портала доступа через браузер - Защита удаленного доступа к приложениям.
0 комментариев
Войдите в службу, чтобы оставить комментарий.