理解事件字段

操作

与事件类型相关的操作，例如：

Active Directory 名称

Active Directory 实例名称

API密钥名称

在Cato管理应用中为公共API密钥定义的名称

应用

在不同策略中使用的应用，例如：Facebook, CNN

身份验证类型

与此事件相关联的身份验证方法，例如：MFA 或密码

BGP Cato ASN

Cato BGP对等体的BGP ASN（本地连接）

BGP Cato IP

Cato BGP对等体的BGP IP地址（本地连接）

BGP错误代码

BGP断开事件的错误消息

BGP对等体ASN

BGP对等体的BGP ASN（远程连接）

BGP对等体描述

对于BGP事件，来自Cato管理应用的BGP邻居描述

BGP对等体IP

BGP对等体的BGP IP地址（远程连接）

BGP路由CIDR

BGP路由的CIDR

BGP子错误代码

关联到BGP断开事件的错误消息

类别

Cato系统默认类别

Cato App

与此流量相关的应用数据

证书到期日期

客户端证书的到期日期

客户端类别

生成此流量的处理类型

客户端版本

Socket或Cato客户端的版本号

协作者

对于SaaS安全API，用户接收文件的电子邮件地址

配置的主机名

在Cato管理应用中针对具有静态IP地址的主机配置的名称

拥塞算法

事件流量的TCP拥塞控制算法。 可能的值：CUBIC，NewReno，BBR

连接器名称

对于SaaS安全API，连接器的名称

连接器类型

对于SaaS安全API，SaaS应用的连接器

重要程度

对于XDR事件，范围从0（无风险/影响）到10（非常高的风险/影响）

自定义分类

您的账户的自定义类别（Resources > Categories）

目的地国家

对于互联网流量，基于IP地址定位目的地服务器

目的地国家代码

对于互联网流量，目的地主机所在国家的双字母代码（基于ISO 3166-1 alpha-2）

目的地IP

对于互联网流量，目的地服务器的IP地址

目的地是站点或SDP用户

对于WAN流量，目的地类型：站点或SDP用户

目的地端口

对于互联网流量，目的地服务器的端口号

目的地站点

对于WAN流量，目的地站点的名称或SDP用户

设备名称

与事件连接的主机名称

设备姿态配置文件

与此事件匹配的配置文件

目录主机名

对于LDAP事件，主机名

目录IP

对于LDAP事件，域控制器的IP地址

目录同步结果

对于LDAP事件，与域控制器同步的结果

目录同步类型

生成LDAP事件是因为与域控制器进行了同步

显示名称

用户的名称

DLP配置文件

与事件相关的DLP配置文件

DNS保护类别

与DNS请求匹配的Cato的DNS保护类型

DNS查询

在DNS请求中查询的域

域名

SSL SNI, HTTP主机名, DNS名称

出口PoP名称

通过 NAT 或 路由通过 配置定义的网络规则，流量出站的PoP名称

仅当流量从非连接到的网站的PoP出口时才显示该字段

出站站点

传输流量的出站站点名称

事件计数

在一分钟内多次重复的事件计数

事件消息

Cato对事件的描述

对于BGP路由忽略操作：

事件类型

事件类型：连接、安全、路由、系统、套接字管理或检测与响应

文件哈希

对于反恶意软件事件，相关文件的哈希

文件名称

相关文件的名称

文件大小

相关文件的大小（以字节为单位）

文件类型

文件内容类型（如档案或Microsoft Office）

对于文件控制规则，form_data 是一种通过 Web 表单提交的数据的通用表示，通常用于 HTTP 请求（例如，多部分表单提交）。 这并不表示特定的文件类型。

流的基数

给定事件的流数

完整路径URL

完整路径 网址 应用 活动。 必须启用应用控制，此字段才能出现在应用安全事件中。

主机IP

与事件相关的主机的IP地址

主机MAC地址

此事件的主机MAC地址

IP协议

此事件的网络协议

ISP名称

此事件使用的ISP

当IP地址不是ISP提供时，事件消息为 IP地址是静态分配的

注意： 对于具有多个活动WAN接口的站点，这些接口使用不同的ISP，ISP名称值可能不准确，因为这些接口可能在流量流动的生存期内发生变化

链路健康度拥塞

用于测量特定链接拥塞的数据

链路健康度抖动

用于测量特定链路抖动的数据

链路健康度延迟

用于测量特定链路延迟的数据

链路健康度数据包丢失

用于测量特定链路数据包丢失的数据

链路类型

此连接的链路类型，例如：Cato或Alt。 WAN

登录类型

登录操作，值为：管理员登录 或 VPN 客户端（远程访问或站点流量）

匹配数据类型

与事件相关的匹配DLP数据类型

Mitre攻击字段

对于相关的IPS事件，显示基于Mitre Att&ck知识库中网络对手的综合数据

网络规则

此事件中由流量匹配的网络规则的名称

值为0表示流量经历了数据包损坏问题，或者是系统流量，如访问Socket WebUI

办公室模式

指示是否为此用户启用了办公模式

OnPrem SID

分配给Microsoft的Azure Active Directory (Azure AD)中用户对象的唯一标识符，用于跨不同Azure服务清楚识别和管理用户

操作系统类型

主机操作系统或隧道设备的类型

操作系统版本

主机操作系统或隧道设备的版本号

PoP名称

与此事件连接的PoP位置名称

公共来源IP

由流量出口的PoP分配的公共IP地址。 对于使用Internet流量回传作为路由方法的网站，此字段显示该网站Native Range的本地IP地址。

此字段不适用于不从PoP流向Internet的流量，例如内部DNS请求和FTP流量。

QoS优先级

由流量匹配的网络规则中定义的QoS优先级值

QoS报告时间

对于QoS，该QoS事件开始的时间。 当QoS事件结束时生成该事件。

注册代码

首次SDP用户认证时使用的注册代码（代码部分混淆）

相关应用程序

作为应用程序识别过程的一部分，在本事件的流量中识别的应用程序列表。

此过程在流的不同阶段分析流量，收集所有协议、服务和应用程序的信息，以便准确地确定应用程序。 此字段通过显示过程各阶段识别的应用程序，为应用程序识别提供上下文。

请求方法

HTTP请求方法（例如：GET, POST）

风险等级

指示对主机或网络的威胁总体影响的IPS事件：

低风险级别 - 对网络的最小风险，例如广告软件

中风险级别 - 对网络的中等风险，例如网络扫描

高风险级别 - 对网络的显著风险，例如间谍软件或蠕虫

规则

此事件中由流量匹配的防火墙规则的名称

规则ID

此事件相关安全规则的唯一Cato ID

SAM账户名称

在Windows 2000之前版本上使用的登录名，用于Windows Active Directory中

严重性

为安全规则定义的严重性

共享范围

用于文件（例如SharePoint）的共享选项

签名ID

对于IPS和SAM，IPS签名的ID

Socket接口ID

Socket接口的唯一Cato ID

Socket接口名称

Cato Management Application中用于Socket端口（接口）的名称

Socket新版本

对于Socket升级事件，新版本的版本号

Socket旧版本

对于Socket升级事件，上一版本的版本号

Socket重置

对于Socket重置事件，指示硬件或软件重置

Socket角色

对于Socket高可用性事件，指示Socket是主还是副

来源国家

对于客户端和网站，位于隧道外的公共IP地址的物理位置（通过公共IP地址检测）

来源国家代码

源主机所在国家的国家代码（通过公共IP地址检测）

来源IP

Cato分配给主机或客户端的IP地址

来源ISP IP

连接Cato Cloud的隧道外的ISP IP地址

来源是网站或SDP用户

对于WAN流量，来源类型：网站或SDP用户

来源

对于所有流量，来源网站或SDP用户的名称

来源端口

用于网络连接的客户端、网站或主机的内部端口号

来源网站

对于所有流量，源站点或SDP用户的名称

子网名称

在Cato管理应用中定义的子网名称

子类型

事件类型的子类型，如互联网防火墙，SDP活动，应用程序安全

目标基数

目标（服务器）数量与此事件相关

TCP加速

显示事件中的流量是否经过TCP加速。 值为1（已加速）和0（未加速）

该字段仅在基于TCP的流量中出现

威胁名称

对于防恶意软件事件，为恶意软件名称

对于IPS事件，解释流量被阻止的原因

威胁参考

链接到可疑文件的防恶意软件威胁数据库

威胁类型

恶意软件事件类型

威胁判决

恶意软件扫描的结果。 对于安全的文件，值是干净的。

时间

此事件的时间戳（Linux纪元格式）

TLS错误描述

此事件中TLS错误的解释，值为：

关闭通知，意外消息，错误的记录MAC，解压失败，握手失败，无证书，错误的证书，不支持的证书，证书被撤销，证书过期，未知证书，非法参数，解密失败，记录溢出，未知CA，访问被拒，解码错误，解密错误，出口限制，协议版本，安全不足，内部错误，用户取消，无重新协商，未知的PSK身份，未知

有关这些错误的解释，请参见 此文档

TLS错误类型

此事件的TLS错误类型，值为：

TLS检查

显示事件中的流量是否为TLS。 值为1（已检查）和0（未检查）

该字段仅在TLS流量中出现

TLS 规则名称

当事件中的流量经过TLS检查时，此字段显示流量匹配的规则名称（仅当流量匹配非默认规则时）

TLS版本

事件的TLS协议版本号

流量方向

事件的网络流量方向，值为入站或出站

隧道协议

隧道连接的协议

升级结束时间

Socket升级结束时间（Linux纪元格式）

由…发起的升级

指示Socket升级是否在维护窗口期间发生或由支持发起（值为Cato 管理员）

升级开始时间

Socket升级开始时间（Linux纪元格式）

URL

对于互联网流量，事件的URL

用户代理

在用户代理字段中显示的用于登录的用户代理，如流量的超文本传输协议头中所示。 仅当从超文本传输协议请求中提取其值时，此字段才会填充，目前在以下用例中出现：

这些是用户代理值的示例：

用户意识方法

使用用户意识获得身份的方法（例如身份代理）

用户电子邮件

用户的电子邮件地址

用户名

生成事件的用户

用户对象ID

Azure Active Directory内分配给用户对象的唯一标识符，用于清晰识别和管理用户帐户

用户主体名称

Microsoft Active Directory环境中用户的登录名，格式为电子邮件地址（例如，user@domain.com），用于登录目的

用户参考ID

对于阻止/提示页面，参考ID用于报告不正确的类别

用户SID

Windows设备系统中分配给每个用户的唯一标识符，用于管理权限和访问权

Windows域名

对于LDAP同步事件，为广告域名

XFF

XFF HTTP头指示连接的原始IP地址

客户类

关键字

运行在创建此网络流的操作系统上的客户应用程序类型（例如，Chrome）

流量基数

数量

包含在此安全事件中的网络流数量

事件聚合

数字

一个真/假值，指示此事件是否是：

事件ID

关键字

用于识别此安全事件的ID。 您可以使用此ID与MDR团队跟进以获取更多信息。

目标基数

数字

此安全事件中包含的服务器数量

设备类别

与事件相关的设备所属的通用类别

设备ID

与事件相关的设备的唯一Cato标识符

设备制造商

与事件相关的设备制造公司

设备型号

与事件相关的设备型号名称

设备操作系统类型

与事件相关的设备上的操作系统

设备类型

与事件相关的设备的具体类型。 设备类型可能包括多种不同的型号