OCSF スキーマ監査メッセージ

項目一覧

OCSF カテゴリマッピング

OCSF クラスマッピング
OCSF 型マッピング
例
認証アクション
AuthCheck アクション

OCSFスキーマでは、記録されたログメッセージの構文は次のとおりです。

{
   "activity_id" : <int>,
   "category_uid" : <int>,
   "class_uid" : <int>,
   "time" : <int>,
   "severity_id" : <int>,
   "type_uid" : <int>,
   "metadata" : <document>
   "actor" : {
      "user" : {
         "type_id" : <int>,
         "name" : <string>,
         "groups" : <array of documents>
      }
   }
}

フィールド	タイプ	説明
`activity_id`	整数	アクティビティタイプ。 OCSF 型マッピングを参照してください。
`category_uid`	整数	監査イベントのカテゴリ。「 OCSF カテゴリマッピング」を参照してください。
`class_uid`	整数	監査イベントクラス。「 OCSF クラスマッピング」を参照してください。
`time`	整数	イベントが発生した UNIXエポックからのミリ秒数。
`severity_id`	整数	監査されイベントの重大度。
`type_uid`	整数	監査するイベントのクラス、アクティビティ、およびカテゴリの組み合わせ。「 OCSF 型マッピング」を参照してください。
`metadata`	ドキュメント	製品やスキーマのバージョンなど、イベントに関するメタデータ。
`actor`	ドキュメント	アクションを実行したユーザーに関する情報。

注意

ログメッセージには、ログに記録されたイベントに応じて追加のフィールドが含まれる場合があります。

OCSF カテゴリマッピング

以下の表では、 category_uidの値について説明しています。

`category_uid`	カテゴリ
`1`	システム活動
`2`	検索結果
`3`	IAM
`4`	ネットワークアクティビティ
`5`	検出
`6`	アプリケーションアクティビティ

OCSF クラスマッピング

OCSFclass_uids の完全なリストと、さまざまなクラスへのマッピング方法については、 OCSF ドキュメントを参照してください。

OCSF 型マッピング

type_uidフィールドは、監査するイベントのクラス、アクティビティ、カテゴリの組み合わせを表します。結果の UUID は、発生したアクティビティのタイプを示します。

具体的には、 type_uidは( class_uid * 100 ) + (activity_id)で、 category_idはclass_id内の 100 桁です。

次の表は、監査されたアクションがtype_uidにどのようにマッピングされるかを示しています。

アクションタイプ	`type_uid`	カテゴリ	クラス	アクティビティ
`addShard`	`500101`	構成	デバイス構成の状態	Log
`applicationMessage`	`100799`	システム	プロセスアクティビティ	その他
`auditConfigure`	`500201` or `500203`	検出	デバイス構成の状態	`1` が作成 `3` が更新
`authzCheck`	`600301` - `600304`	アプリケーション	APIアクティビティ	`1` が作成 `2` は読み取り `3` が更新 `4` は削除
`authenticate`	`300201`	IAM	認証	ログオン
`clientMetadata`	`400101`	ネットワーク	ネットワークアクティビティ	を開く
`createCollection`	`300401`	IAM	エンティティマネジメント	作成
`createDatabase`	`300401`	IAM	エンティティマネジメント	作成
`createIndex`	`300401`	IAM	エンティティマネジメント	作成
`createRole`	`300101`	IAM	アカウントの変更	作成
`createUser`	`300101`	IAM	アカウントの変更	作成
`directAuthMutation`	`300100`	IAM	アカウントの変更	不明
`dropAllRolesFromDatabase`	`300106`	IAM	アカウントの変更	削除
`dropAllUsersFromDatabase`	`300106`	IAM	アカウントの変更	削除
`dropCollection`	`300404`	IAM	エンティティマネジメント	削除
`dropDatabase`	`300404`	IAM	エンティティマネジメント	削除
`dropIndex`	`300404`	IAM	エンティティマネジメント	削除
`dropPrivilegesToRole`	`300107`	IAM	アカウントの変更	ポリシーを付与
`dropRole`	`300106`	IAM	アカウントの変更	削除
`dropUser`	`300106`	IAM	アカウントの変更	削除
`enableSharding`	`500201`	構成	デバイス構成の状態	Log
`getClusterParameter`	`600302`	アプリケーション	APIアクティビティ	読み取り
`grantRolesToRole`	`300107`	IAM	アカウントの変更	ポリシーを付与
`grantRolesToUser`	`300107`	IAM	アカウントの変更	ポリシーを付与
`importCollection`	`300401`	IAM	エンティティマネジメント	作成
`logout`	`300202`	IAM	認証	ログオフ
`refineCollectionShardKey`	`500201`	構成	デバイス構成の状態	Log
`removeShard`	`500201`	構成	デバイス構成の状態	Log
`renameCollection`	`300403`	IAM	エンティティマネジメント	Update
`replSetReconfig`	`500201`	構成	デバイス構成の状態	Log
`revokePrivilegesFromRole`	`300108`	IAM	アカウントの変更	削除ポリシー
`revokeRolesFromRole`	`300108`	IAM	アカウントの変更	削除ポリシー
`revokeRolesFromUser`	`300108`	IAM	アカウントの変更	削除ポリシー
`rotateLog`	`100799`	システム	プロセス	その他
`setClusterParameter`	`500201`	構成	デバイス構成の状態	Log
`shardCollection`	`500201`	構成	デバイス構成の状態	Log
`shutdown`	`100702`	システム	プロセス	終了
`startup`	`100701`	システム	プロセス	Launch
`updateCachedClusterServerParameter`	`500201`	構成	デバイス構成の状態	Log
`updateRole`	`300199`	IAM	アカウントの変更	その他
`updateUser`	`300199`	IAM	アカウントの変更	その他

例

以下の例は、さまざまなアクションタイプのOCSFスキーマログメッセージを示しています。

認証アクション

{
   "activity_id" : 1,
   "category_uid" : 3,
   "class_uid" : 3002,
   "time" : 1710715316123,
   "severity_id" : 1,
   "type_uid" : 300201,
   "metadata" : {
      "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122",
      "product" : "MongoDB Server",
      "version" : "1.0.0"
   },
   "actor" : {
      "user" : {
         "type_id" : 1,
         "name" : "admin.admin",
         "groups" : [ { "name" : "admin.root" } ]
      }
   },
   "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 },
   "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
   "user" : { "type_id" : 1, "name" : "admin.admin" },
   "auth_protocol" : "SCRAM-SHA-256",
   "unmapped" : { "atype" : "authenticate" }
}

AuthCheck アクション

{
   "activity_id" : 0,
   "category_uid" : 6,
   "class_uid" : 6003,
   "time" : 1710715315002,
   "severity_id" : 1,
   "type_uid" : 600300,
   "metadata" : {
      "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d",
      "product" : "MongoDB Server",
      "version" : "1.0.0"
   },
   "actor" : {},
   "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 },
   "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
   "api" : {
      "operation" : "getParameter",
      "request" : { "uid" : "admin" },
      "response" : { "code" : 13, "error" : "Unauthorized" }
   }
}

戻る

mongo スキーマ

ネットワークと設定の強化

注意

OCSF カテゴリ マッピング

OCSF クラスマッピング

OCSF 型マッピング

例

認証アクション

AuthCheck アクション

OCSF カテゴリマッピング