这些是Cato管理应用程序(CMA)事件字段的描述。 事件字段会频繁更新,完整事件字段列表请参阅 Cato GraphQL API Reference 的 EventFieldName。
对于使用 Cato API 进行事件数据的客户,请参见Cato API 可能破坏性变更和终止声明以获取有关 Cato GraphQL API 架构潜在破坏性变更和生命周期结束 (EoL) 的通知。 我们建议您关注这篇文章以自动接收更新和变更的电子邮件通知。
| 名称 | 描述 |
|---|---|
| 操作 |
与事件类型相关的操作,例如: |
| 活动目录名称 | 与设备后面的套接字相关的活动目录用户意识名称 |
| API 密钥名称 | 在 Cato 管理应用程序中为公开 API 密钥定义的名称 |
| 应用程序 | 在不同策略中使用的应用程序,例如:Facebook、CNN |
| 认证类型 | 与此事件相关的认证方法,例如:MFA 或密码 |
| BGP Cato ASN | Cato BGP 对等(本地连接)的 BGP ASN |
| BGP Cato IP | Cato BGP 对等(本地连接)的 BGP IP 地址 |
| BGP 错误代码 | BGP 断开事件的错误消息 |
| BGP 对等 ASN | BGP 对等(远程连接)的 BGP ASN |
| BGP 对等描述 | 对于 BGP 事件,来自 Cato 管理应用程序的 BGP 邻居描述 |
| BGP 对等 IP | BGP 对等(远程连接)的 BGP IP 地址 |
| BGP 路由 CIDR | BGP 路由的 CIDR |
| BGP 亚错误代码 | 与 BGP 断开事件连接的错误消息 |
| 类别 | 默认系统 Cato 类别 |
| Cato 应用程序 | 与此流量相关的应用程序数据 |
| 证书到期日期 | 客户端证书的到期日期 |
| 客户端类 | 产生此流量的进程类型 |
| 客户端版本 | Socket 或 Cato 客户端的版本号 |
| 协作者 | 对于 SaaS 安全 API,收到文件用户的电子邮件地址 |
| 已配置主机名称 | 在 Cato 管理应用程序中为具有静态 IP 地址的主机配置的名称 |
| 拥堵算法 | 事件中流量的 TCP 拥堵控制算法。 可能的值:CUBIC、NewReno、BBR |
| 连接器名称 | 对于 SaaS 安全 API,连接器的名称 |
| 连接器类型 | 对于 SaaS 安全 API,连接器的 SaaS 应用 |
| 严重程度 | 对于 XDR 事件,0(无风险/影响)到 10(非常高风险/影响) |
| 自定义类别 | 你的账户的自定义类别(资源 > 类别) |
| 目的地国家 | 对于互联网流量,基于 IP 地址的目标服务器位置 |
| 目的地国家代码 | 对于互联网流量,目的地主机所在的两位国家代码(基于 ISO 3166-1 alpha-2) |
| 目标IP | 对于互联网流量,目标服务器的 IP 地址 |
| 目的地是站点或 SDP 用户 | 对于 WAN 流量,目的地类型:站点或 SDP 用户 |
| 目标端口 | 对于互联网流量,目标服务器的端口号 |
| 目的地站点 | 对于 WAN 流量,目标站点或 SDP 用户的名称 |
| 设备名称 | 与事件连接的主机名称 |
| 设备姿态配置文件 | 与此事件匹配的配置文件 |
| 目录主机名称 | 对于 LDAP 事件,主机名称 |
| 目录IP | 对于 LDAP 事件,域控制器的 IP 地址 |
| 目录同步结果 | 对于 LDAP 事件,与域控制器同步的结果 |
| 目录同步类型 | LDAP 事件是由于与域控制器同步而生成的,因为进行了同步 |
| 显示名称 | 用户的名称 |
| DLP 配置文件 | 与事件相关的 DLP 配置文件 |
| DNS 保护类别 | Cato 的 DNS 保护类型匹配了 DNS 请求 |
| DNS 查询 | 在 DNS 请求中查询的域名 |
| 域名 | SSL SNI、HTTP 主机名称、DNS 名称 |
| 持续时间毫秒 |
事务或操作开始和结束之间的持续时间(以毫秒为单位)。 例如,在 DNS 或 HTTP 事件中,这反映了请求和相应响应之间的时间。 例如,在 DNS 或 HTTP 事件中,这反映了请求和相应响应之间的时间。 |
| 出口流量 PoP 名称 |
流量出口 PoP 的名称,如网络规则中使用NAT或通过路由配置定义 仅在流量从连接到的站点以外的 PoP 出口时显示该字段 |
| 出口流量站点 | 回程流量的出口站点名称 |
| 事件计数 | 一分钟内重复多次的事件计数 |
| 事件消息 |
Cato 对事件的描述 对于 BGP 路由忽略操作:
|
| 事件类型 | 事件类型:连接性、安全性、路由、系统、套接字管理或检测与响应 |
| 文件哈希值 | 对于反恶意软件事件,相关文件的哈希值 |
| 文件名称 |
相关文件的名称 注意: 如果PoP无法在检测时获取实际文件名称,则使用网址的最后部分作为文件名称,例如下载 |
| 文件大小 | 相关文件的大小(以字节为单位) |
| 文件类型 |
文件内容类型(例如存档或Microsoft Office) 对于文件控制规则,form_data是通过Web表单提交的数据的通用表示,通常用于HTTP请求(例如多部分表单提交)。 这不表示一个独特的文件类型。 |
| 流量唯一值 | 给定事件的流量数量 |
| 完整路径网址 | 应用活动的完整路径网址。 应用控制必须启用,此字段才能显示在应用安全事件中。 |
| 主机IP | 与事件相关的主机IP地址 |
| 主机MAC地址 | 此事件的主机MAC地址 |
| HTTP响应代码 |
返回的HTTP状态代码(即对于DNS请求,使用DoH时的DNS-over-HTTPS服务器) 对于DNS和应用安全事件子类型 |
| IP协议 | 此事件的网络协议 |
| ISP名称 |
用于该事件的ISP 如果ISP未提供IP地址,则事件消息为IP地址是静态分配的 注意: 对于有多个活跃WAN接口使用不同ISP的站点,ISP名称可能不准确,因为接口可能在流量生命周期中改变 |
| 链路健康状态是拥堵的 | 衡量特定链路拥堵程度的数据 |
| 链路健康抖动 | 衡量特定链路抖动的数据 |
| 链路健康延迟 | 衡量特定链路延迟的数据 |
| 链路健康数据包丢失 | 衡量特定链路数据包丢失的数据 |
| 链接类型 | 此连接的链路类型,例如:Cato或Alt。 WAN |
| 登录类型 | 登录操作,值为:管理员登录或VPN客户端(远程访问或站点流量) |
| 匹配的数据类型 | 与事件相关的匹配DLP数据类型 |
| Mitre攻击字段 |
对于相关IPS事件,基于Mitre Att&ck知识库显示网络对手的数据
|
| NAT错误 | 指示与NAT相关的连接问题原因 |
| 网络规则 |
在此事件中流量匹配的网络规则名称 值为0表示流量经历了数据包损坏问题,或是系统流量,如访问Socket WebUI |
| 办公室模式 | 指示是否启用了办公模式 |
| 本地SID | 在Microsoft的Azure Active Directory (Azure AD)中分配给用户对象的唯一标识符,用于跨各种Azure服务明确识别和管理用户 |
| 操作系统类型 | 主机操作系统或隧道设备的类型 |
| 操作系统版本 | 主机操作系统或隧道设备的版本号 |
| PoP名称 | 连接到此事件的PoP位置的名称 |
| 公共来源IP |
由PoP分配的公共IP地址,流量从中出口。 对于使用互联网流量回传作为路由方法的网站,此字段显示站点的原生范围本地IP地址。 对于不从PoP出到互联网的流量,如内部DNS请求和FTP流量,不显示该字段。 |
| QoS优先级 | 网络规则中定义的与流量相匹配的QoS优先级值 |
| QoS报告时间 | 对于QoS,此QoS事件开始的时间。 当QoS事件完成后生成事件。 |
| 记录类型 |
查询类型(即,DNS查询:A,AAAA,MX或PTR) 对于DNS和应用安全事件子类型 |
| 注册码 | 第一次ZTNA用户认证时使用的注册码(代码部分地被模糊化) |
| 相关应用 |
为此事件在流量中识别出的应用程序列表,作为应用程序识别过程的一部分。 此过程在流的不同阶段分析流量,收集所有协议、服务和应用程序的信息,以得出应用程序的准确最终确定。 该字段通过显示在过程的各个阶段中识别出的应用程序,为应用程序识别提供上下文。 |
| 请求方法 | HTTP请求方法(如GET, POST) |
| 请求大小 |
请求数据包大小(字节)(即. DNS请求数据包) 在DNS和应用安全性事件子类型 |
| 响应大小 |
响应数据包大小(以字节为单位,例如 DNS 响应数据包) 对于 DNS 和应用程序安全性事件子类型 |
| 风险等级 |
IPS事件表示对主机或网络的威胁的整体影响: 风险等级低——对网络的风险最小,例如广告软件 风险等级中等——对网络的中等风险,例如网络扫描 风险等级高——网络风险大,例如间谍软件或蠕虫 |
| 规则 | 此事件中流量匹配的防火墙规则的名称 |
| 规则ID | 与事件相关的安全规则的唯一Cato ID |
| SAM账户名称 | 用于Windows 2000之前版本的登录名,在Windows Active Directory中使用 |
| 严重程度 | 安全规则定义的严重程度 |
| 共享范围 | 文件的共享选项(例如SharePoint) |
| 签名ID | 对于IPS和SAM,IPS签名的ID |
| 套接字接口ID | 套接字接口的唯一Cato ID |
| 套接字接口名称 | Cato管理应用程序中套接字端口(接口)的名称 |
| 套接字新版本 | 对于套接字升级事件,新版本的版本号 |
| 套接字旧版本 | 对于套接字升级事件,上一版本的版本号 |
| 套接字重置 | 对于套接字重置事件,指示硬件或软件重置 |
| 套接字角色 | 对于套接字高可用性事件,指示套接字是主要还是次要 |
| 来源国家 | 对于客户端和站点,公共IP地址的物理位置,位于隧道之外(通过公共IP地址检测) |
| 来源国家代码 | 来源主机所在国家的国家代码(通过公共IP地址检测) |
| 源IP | Cato分配给主机或客户端的IP地址 |
| 来源ISP IP | 连接Cato Cloud的隧道之外的ISP IP地址 |
| 来源是站点或SDP用户 | 对于WAN流量,来源类型:站点或SDP用户 |
| 来源 | 对于所有流量,来源站点或SDP用户的名称 |
| 源端口 | 客户端、站点或主机的网络连接的内部端口号 |
| 源站点 | 对于所有流量,来源站点或SDP用户的名称 |
| 子网名称 | 在Cato管理应用程序中定义的子网名称 |
| 子类型 | 事件类型的子类型,例如互联网防火墙、SDP活动、应用安全 |
| 目标基数 | 与此事件关联的目标(服务器)数量 |
| TCP加速 |
显示事件中的流量是否经过TCP加速。 取值为1(加速)和0(未加速) 该字段仅在TCP流量流中出现 |
| 威胁名称 |
对于反恶意软件事件,恶意软件名称 对于IPS事件,解释为什么流量被阻止的原因 |
| 威胁引用 | 指向可疑文件的反恶意软件威胁数据库的链接 |
| 威胁类型 | 恶意软件事件类型 |
| 威胁判定 |
反恶意软件扫描结果
|
| 时间 | 此事件的时间戳(Linux纪元时间格式) |
| TLS错误描述 |
此事件中TLS错误的解释,取值为: 关闭通知,意外消息,坏记录mac,解压失败,握手失败,无证书,坏证书,不支持的证书,证书被撤销,证书过期,未知证书,非法参数,解密失败,记录溢出,未知CA,拒绝访问,解码错误,解密错误,导出限制,协议版本,安全不足,内部错误,用户取消,无重新协商,未知PSK身份,未知 有关这些错误解释,请参见此文档 |
| TLS错误类型 |
此事件的TLS错误类型,取值为:
|
| TLS 检查 |
显示事件中的流量是否经过TLS。 取值为1(检查)和0(未检查) 该字段仅在TLS流量流中出现 |
| TLS规则名称 | 当事件中的流量经过TLS检查时,该字段显示流量匹配的规则名称(仅当流量匹配的规则不是默认规则时) |
| TLS版本 | 此事件的TLS协议版本号 |
| 流量方向 | 此事件的网络流量方向,取值为入站或出站 |
| 事务大小 |
总事务大小(以字节为单位),包括请求和响应 对于DNS和应用安全事件子类型 |
| 隧道协议 | 隧道连接的协议 |
| 升级结束时间 | 套接字升级结束时间(Linux纪元格式) |
| 升级由谁发起 | 指示套接字升级是否在维护窗口期间发生或由支持发起(值为Cato管理员) |
| 升级开始时间 | 套接字升级开始时间(Linux纪元格式) |
| 网址 | 对于互联网流量,事件的网址 |
| 用户代理 |
在HTTP头中显示在用户代理字段中用于流量的登录用户代理。 当pop从HTTP请求中提取其值时,仅填充此字段,当前发生在以下情况:
这些是用户代理值的示例:
|
| 用户意识方法 | 使用用户意识获取身份的方法(例如身份代理) |
| 用户电子邮件 | 用户的电子邮件地址 |
| 用户名 | 生成事件的用户 |
| 用户对象 ID | 分配给 Azure Active Directory 内用户对象的唯一标识符,用于明确识别和管理用户账户 |
| 用户主体名称 | 在 Microsoft Active Directory 环境中,用户的登录名称,格式为电子邮件地址(例如,user@domain.com),用于登录目的 |
| 用户参考 ID | 对于阻止/提示页面,参考 ID 用于报告不正确的类别 |
| 用户 SID | 分配给 Windows 设备系统每位用户的唯一标识符,用于管理权限和访问权 |
| Windows 域名 | 对于 LDAP 同步事件,AD 域的名称 |
| XFF | XFF HTTP 头表示连接的原始 IP 地址 |
以下是事件子类型的列表:
-
连通性
- Api密钥
- Cato 管理应用
- 变更 PoP
- 客户端连接策略
- 已连接
- DHCP 租约
- 已断开
- LAN 监控
- 最后一英里质量
- 链路聚合
- 离线传输连接
- 离线传输断开
- 被动连接
- 被动断开
- 已重新连接
- 通过替代恢复。 WAN
- 注册码
- SDP 门户
- Socket 备援
-
检测和响应
- XDR 端点
- XDR 网络
- XDR 威胁
-
路由
- BGP 路由
- BGP 会话
- VPN 永不关闭旁路
-
安全
- 应用程序登录
- 应用安全
- DNS 保护
- 终端保护
- 身份警报
- 互联网防火墙
- IPS
- LAN 防火墙
- MAC 地址认证
- 误分类
- 下一代反恶意软件
- RPF
- SaaS安全API反恶意软件
- SaaS安全API数据保护
- SDP 活动
- 可疑活动
- TLS
- WAN 防火墙
-
Socket管理
- Socket 密码重置
- Socket 升级
- Socket WebUI 访问
-
系统
- DC 连接失败
- 目录服务
- 检测到多个用户
- 配额限制
- SCIM 配置
- SDP许可证
这些是每个字段的类型以及如何将它们用于手动过滤器。
Cato Networks的MDR(托管检测和响应)客户可以在事件页面查看安全事件。 以下表格解释了事件子类型MDR中这些事件的事件字段。
| 名称 | 类型 | 描述 |
|---|---|---|
| 客户端类别 | 关键词 | 在创建此网络流量的操作系统上运行的客户端应用程序类型(例如 Chrome) |
| 流量唯一值 | number | 此安全事件中包含的网络流量数量 |
| 事件聚合 | number |
指示此事件是否:为 true/false 值
|
| 事件 ID | 关键词 | 标识此安全事件的 ID。 您可以使用此 ID 与 MDR 团队进行更多信息的后续跟进。 |
| 目标唯一值 | number | 此安全事件中包含的服务器数量 |
IoT/OT安全服务发现并监控连接到您网络的设备。 下表解释了与此服务相关的数据事件字段。
| 名称 | 描述 |
|---|---|
| 设备类别 | 与事件有关的设备所属的一般类别 |
| 设备 ID | 与事件相关设备的 Cato 唯一标识符 |
| 设备制造商 | 制造与事件相关设备的公司 |
| 设备型号 | 与事件相关设备的型号名称 |
| 设备操作系统类型 | 与事件相关设备上的操作系统 |
| 设备类型 | 与事件相关的特定设备类型。 设备类型可能包含多个不同的型号 |
有关SDP事件和字段的更多信息,请参见浏览器访问门户概述——保护远程访问应用程序。
0 条评论
请登录写评论。