注意
注意:这是一个仅限内部推出的早期可用(EA)功能。 有关启用该功能的详细信息,请联系Cato Networks代表或发送电子邮件至ea@catonetworks.com。
本文列出了支持的数据模型中Cato字段和Splunk通用信息模型(CIM)字段之间的示例映射。 使用此参考了解Cato数据如何规范化以进行Splunk搜索、仪表板和检测。
有关详细信息,请参阅配置Cato技术附加组件以进行Splunk集成 (EA)
|
Cato字段 |
CIM字段 |
来源 |
Splunk CIM描述 |
|
操作 |
操作 |
事件/流量 |
网络设备采取的操作 |
|
application_name |
应用 |
事件/流量 |
流量的应用程序协议 |
|
dest_ip |
dest |
事件/流量 |
目的地的IP地址 |
|
dest_port |
dest_port |
事件/流量 |
网络流量的目标端口 |
|
方向 |
方向 |
事件/流量 |
网络流量的方向,例如入站或出站 |
|
下行 |
bytes_in |
流量 |
接收的字节数(入站) |
|
持续时间 |
持续时间 |
流量 |
网络事件完成的时间(秒) |
|
ip_protocol |
传输 |
流量 |
OSI第4层(传输)协议,例如TCP或UDP |
|
IPv4 |
协议 |
事件/流量 |
OSI第3层(网络)协议,例如IPv4或IPv6 |
|
pop_name |
dvc |
事件/流量 |
进行流量事件报告的设备 |
|
src_ip |
src |
事件/流量 |
发起网络事件的设备的IP地址 |
|
src_port |
src_port |
事件/流量 |
网络流量的源端口 |
|
traffic_direction |
方向 |
流量 |
网络流量的方向,例如入站或出站 |
|
上行 |
bytes_out |
流量 |
发送的字节数(出站) |
|
user_name |
用户 |
事件/流量 |
请求流量流向的用户 |
|
静态:“Cato Networks” |
供应商 |
事件/流量 |
生成网络事件的设备的供应商 |
|
静态:“Cato SASE” |
vendor_product |
事件/流量 |
供应商的网络设备的产品名称 |
|
下行 + 上行 |
bytes |
流量 |
传输的字节数总计(出入) |
|
Cato字段 |
CIM字段 |
来源 |
Splunk CIM描述 |
|---|---|---|---|
|
操作 |
操作 |
事件 |
入侵预防系统采取的操作 |
|
application_name |
应用 |
事件 |
流量的应用程序协议 |
|
dest_country |
dest_country |
事件 |
与目标IP地址关联的国家 |
|
dest_ip |
dest |
事件 |
目的地的IP地址 |
|
dest_port |
dest_port |
事件 |
网络流量的目标端口 |
|
dest_site_name |
dest_zone |
事件 |
目的地站点的名称 |
|
pop_name |
dvc |
事件 |
检测到入侵事件的设备 |
|
src_country |
src_country |
事件 |
与源IP地址关联的国家 |
|
src_ip |
src |
事件 |
发起入侵事件的设备的IP地址 |
|
src_port |
src_port |
事件 |
网络流量的源端口 |
|
src_site_name |
src_zone |
事件 |
源站点的名称 |
|
threat_name |
签名 |
事件 |
已检测到客户端的入侵名称(来源),例如 PlugAndPlay_BO,并且流量被拒绝。 |
|
threat_type |
类别 |
事件 |
已检测到客户端的入侵类别(来源),例如挤出策略违规。 |
|
网址 |
网址 |
事件 |
与入侵事件相关联的网址。 |
|
user_name |
用户 |
事件 |
与入侵检测事件相关的用户。 |
|
signature_id |
signature_id |
事件 |
签名的ID或版本。 |
|
条件:此处映射的所有事件为“网络”。 |
ids_type |
事件 |
生成事件的IDS类型,例如基于网络或基于主机。 |
|
IPv4 |
协议 |
事件 |
OSI层3(网络)协议。 |
|
固定: “Cato Networks” |
供应商 |
事件 |
生成入侵检测事件的产品供应商。 |
|
固定: “Cato SASE” |
vendor_product |
事件 |
供应商的入侵检测软件产品名称。 |
|
Cato 字段 |
CIM 字段 |
来源 |
Splunk CIM 描述 |
|---|---|---|---|
|
操作 |
操作 |
事件 |
DNS服务器或安全设备采取的操作。 |
|
application_name |
应用程序 |
事件 |
启动DNS查询的应用程序。 |
|
dest_ip |
dest |
事件 |
DNS服务器的IP地址。 |
|
dns_query |
query |
事件 |
查询的域名。 |
|
dns_record_type |
record_type |
事件 |
DNS资源记录类型,例如“A”,“AAAA”,“CNAME”,“PTR”。 |
|
pop_name |
dvc |
事件 |
处理DNS查询的设备。 |
|
src_ip |
src |
事件 |
启动DNS查询的设备的IP地址。 |
|
user_name |
用户 |
事件 |
启动DNS查询的用户。 |
|
IPv4 |
协议 |
事件 |
OSI层3(网络)协议。 |
|
固定: “Cato Networks” |
供应商 |
事件 |
生成的DNS事件的产品供应商。 |
|
固定: “Cato SASE” |
vendor_product |
事件 |
供应商的DNS安全软件产品名称。 |
|
Cato 字段 |
CIM 字段 |
来源 |
Splunk CIM 描述 |
|---|---|---|---|
|
操作 |
操作 |
事件 |
由网页代理或安全设备采取的行动。 |
|
application_name |
应用程序 |
事件 |
生成网络流量的应用程序。 |
|
类别 |
类别 |
事件 |
Web请求的类别,例如搜索引擎、新闻或购物。 |
|
dest_ip |
dest |
事件 |
Web服务器的IP地址。 |
|
dest_port |
dest_port |
事件 |
网络流量的目标端口。 |
|
http_request_method |
http_method |
事件 |
在Web请求中使用的HTTP方法。 |
|
http_response_code |
访问令牌状态 |
事件 |
HTTP响应状态代码。 |
|
ip_protocol |
传输 |
事件 |
OSI层4(传输)协议。 |
|
pop_name |
dvc |
事件 |
处理Web请求的设备。 |
|
referer_url |
http_referrer |
事件 |
在Web请求中使用的HTTP引用来源。 |
|
request_size |
bytes_in |
事件 |
Web服务器接收到的字节数。 |
|
response_size |
bytes_out |
事件 |
Web服务器发送的字节数。 |
|
src_ip |
src |
事件 |
访问Web服务器的客户端的IP地址 |
|
src_port |
src_port |
事件 |
网络流量的源端口 |
|
transaction_size |
bytes |
事件 |
传输的字节总数 |
|
网址 |
网址 |
事件 |
网络请求的网址 |
|
user_agent |
http_user_agent |
事件 |
客户端的用户代理字符串 |
|
user_name |
用户 |
事件 |
访问Web服务器的用户 |
|
IPv4 |
协议 |
事件 |
OSI第3层(网络)协议 |
|
不适用 |
cookie |
事件 |
事件中记录的Cookie文件 |
|
静态:“Cato Networks” |
供应商 |
事件 |
生成Web事件的产品的供应商 |
|
静态:“Cato SASE” |
vendor_product |
事件 |
供应商网络安全软件的产品名称 |
|
Cato字段 |
CIM字段 |
来源 |
Splunk CIM描述 |
|---|---|---|---|
|
操作 |
操作 |
事件 |
认证系统采取的措施 |
|
application_name |
应用 |
事件 |
被访问的应用程序 |
|
auth_method |
authentication_method |
事件 |
使用的认证方法,比如LDAP、RADIUS、本地 |
|
dest_ip |
dest |
事件 |
认证服务器的IP地址 |
|
failure_reason |
reason_id |
事件 |
认证失败的原因 |
|
pop_name |
dvc |
事件 |
处理认证请求的设备 |
|
src_ip |
src |
事件 |
发起认证尝试的设备的IP地址 |
|
user_agent |
user_agent |
事件 |
客户端的用户代理字符串 |
|
user_name |
src_user |
事件 |
发起认证尝试的用户 |
|
user_name |
用户 |
事件 |
尝试认证的用户 |
|
静态:“Cato Networks” |
供应商 |
事件 |
生成认证事件的产品的供应商 |
|
静态:“Cato SASE” |
vendor_product |
事件 |
供应商的认证系统的产品名称 |
|
Cato字段 |
CIM字段 |
来源 |
Splunk CIM描述 |
|---|---|---|---|
|
操作 |
操作 |
事件 |
恶意软件检测系统采取的措施 |
|
application_name |
应用 |
事件 |
恶意软件事件中涉及的应用程序 |
|
dest_ip |
dest |
事件 |
目的地的IP地址 |
|
file_hash |
file_hash |
事件 |
涉及恶意软件事件的文件的哈希 |
|
file_name |
file_name |
事件 |
涉及恶意软件事件的文件名称 |
|
file_size |
file_size |
事件 |
涉及恶意软件事件的文件大小 |
|
full_path_url |
file_path |
事件 |
涉及恶意软件事件的文件路径 |
|
pop_name |
dvc |
事件 |
检测恶意软件的设备 |
|
src_ip |
src |
事件 |
检测到恶意软件的设备的IP地址 |
|
threat_name |
签名 |
事件 |
在客户端(src)上检测到的恶意软件感染名称 |
|
threat_type |
类别 |
事件 |
客户端 (src) 上检测到的恶意软件类别 |
|
用户名称 |
用户 |
事件 |
与恶意软件事件相关的用户 |
|
静态: “Cato Networks” |
供应商 |
事件 |
生成恶意软件事件的产品供应商 |
|
静态: “Cato SASE” |
供应商产品 |
事件 |
供应商恶意软件检测软件的产品名称 |
|
Cato字段 |
CIM字段 |
来源 |
Splunk CIM描述 |
|---|---|---|---|
|
操作 |
操作 |
事件 |
对资源执行的操作 |
|
管理员电子邮件 |
源用户电子邮件 |
事件 |
发起变更的用户的电子邮件地址 |
|
事件子类型 |
命令 |
事件 |
发起变更的命令 |
|
pop名称 |
设备 |
事件 |
观察到变更的设备 |
|
用户ID |
对象ID |
事件 |
更改的对象的ID |
|
用户名称 |
对象 |
事件 |
变更的对象 |
|
用户名称 |
源用户 |
事件 |
发起变更的用户 |
|
用户名称 |
用户 |
事件 |
执行变更的用户 |
|
条件:“用户”或“管理员” |
对象类别 |
事件 |
更改的对象的类别 |
|
静态:“AAA” |
变更类型 |
事件 |
变更类型,例如文件系统或AAA(认证、授权和会计)。 |
|
静态:“Cato管理应用” |
目的地 |
事件 |
变更的目的地 |
|
静态:“Cato网络” |
供应商 |
事件 |
生成变更事件的产品供应商 |
|
静态:“Cato SASE” |
供应商产品 |
事件 |
供应商变更管理系统的产品名称 |
|
静态:“成功” |
状态 |
事件 |
变更状态 |
0 条评论
请登录写评论。