OCSF スキーマ監査メッセージ
OCSFスキーマでは、記録されたログメッセージの構文は次のとおりです。
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
フィールド | タイプ | 説明 |
|---|---|---|
| 整数 | アクティビティ タイプ。 OCSF 型マッピング を参照してください。 |
| 整数 | 監査イベントのカテゴリ。 「 OCSF カテゴリマッピング 」を参照してください。 |
| 整数 | 監査イベントクラス。 「 OCSF クラスマッピング 」を参照してください。 |
| 整数 | イベントが発生した UNIXエポックからのミリ秒数。 |
| 整数 | 監査されイベントの重大度。 |
| 整数 | 監査するイベントのクラス、アクティビティ、およびカテゴリの組み合わせ。 「 OCSF 型マッピング 」を参照してください。 |
| ドキュメント | 製品やスキーマのバージョンなど、イベントに関するメタデータ。 |
| ドキュメント | アクションを実行したユーザーに関する情報。 |
注意
ログ メッセージには、ログに記録されたイベントに応じて追加のフィールドが含まれる場合があります。
OCSF カテゴリ マッピング
以下の表では、 category_uidの値について説明しています。
category_uid | カテゴリ |
|---|---|
| システム活動 |
| 検索結果 |
| IAM |
| ネットワーク アクティビティ |
| 検出 |
| アプリケーション アクティビティ |
OCSF クラスマッピング
OCSFclass_uids の完全なリストと、それらがさまざまなクラスにマッピングされる方法については、 OCSF ドキュメントを参照してください。
OCSF 型マッピング
type_uidフィールドは、監査するイベントのクラス、アクティビティ、カテゴリの組み合わせを表します。 結果の UUID は、発生したアクティビティのタイプを示します。
具体的には、 type_uidは( class_uid * 100 ) + (activity_id)で、 category_idはclass_id内の 100 桁です。
次の表は、監査されたアクションがtype_uidにどのようにマッピングされるかを示しています。
アクション タイプ | type_uid | カテゴリ | クラス | アクティビティ |
|---|---|---|---|---|
|
| 構成 | デバイス構成の状態 | Log |
|
| システム | プロセス アクティビティ | その他 |
|
| 検出 | デバイス構成の状態 |
|
|
| アプリケーション | APIアクティビティ |
|
|
| IAM | 認証 | ログオン |
|
| ネットワーク | ネットワーク アクティビティ | を開く |
|
| IAM | エンティティマネジメント | 作成 |
|
| IAM | エンティティマネジメント | 作成 |
|
| IAM | エンティティマネジメント | 作成 |
|
| IAM | アカウントの変更 | 作成 |
|
| IAM | アカウントの変更 | 作成 |
|
| IAM | アカウントの変更 | 不明 |
|
| IAM | アカウントの変更 | 削除 |
|
| IAM | アカウントの変更 | 削除 |
|
| IAM | エンティティマネジメント | 削除 |
|
| IAM | エンティティマネジメント | 削除 |
|
| IAM | エンティティマネジメント | 削除 |
|
| IAM | アカウントの変更 | ポリシーを付与 |
|
| IAM | アカウントの変更 | 削除 |
|
| IAM | アカウントの変更 | 削除 |
|
| 構成 | デバイス構成の状態 | Log |
|
| アプリケーション | APIアクティビティ | 読み取り |
|
| IAM | アカウントの変更 | ポリシーを付与 |
|
| IAM | アカウントの変更 | ポリシーを付与 |
|
| IAM | エンティティマネジメント | 作成 |
|
| IAM | 認証 | ログオフ |
|
| 構成 | デバイス構成の状態 | Log |
|
| 構成 | デバイス構成の状態 | Log |
|
| IAM | エンティティマネジメント | Update |
|
| 構成 | デバイス構成の状態 | Log |
|
| IAM | アカウントの変更 | 削除ポリシー |
|
| IAM | アカウントの変更 | 削除ポリシー |
|
| IAM | アカウントの変更 | 削除ポリシー |
|
| システム | プロセス | その他 |
|
| 構成 | デバイス構成の状態 | Log |
|
| 構成 | デバイス構成の状態 | Log |
|
| システム | プロセス | 終了 |
|
| システム | プロセス | Launch |
|
| 構成 | デバイス構成の状態 | Log |
|
| IAM | アカウントの変更 | その他 |
|
| IAM | アカウントの変更 | その他 |
例
以下の例は、さまざまなアクションタイプのOCSFスキーマログメッセージを示しています。
認証アクション
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
AuthCheck アクション
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }