OCSF 스키마 감사 메시지
OCSF 스키마 에서 기록된 로그 메시지의 구문은 다음과 같습니다.
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
필드 | 유형 | 설명 |
|---|---|---|
| Integer | 활동 유형입니다.OCSF 유형 매핑을 참조하세요. |
| Integer | 감사 이벤트 카테고리입니다.OCSF 카테고리 매핑을 참조하세요. |
| Integer | 이벤트 클래스 감사.OCSF 클래스 매핑을 참조하세요. |
| Integer | 이벤트 가 발생한 유닉스 시간 이후의 밀리초 수입니다. |
| Integer | 감사된 이벤트 의 심각도입니다. |
| Integer | 감사된 이벤트의 클래스, 활동 및 카테고리의 조합입니다. OCSF 유형 매핑을 참조하세요. |
| 문서 | 제품 및 스키마 버전과 같은 이벤트 에 대한 메타데이터입니다. |
| 문서 | 조치 을 수행한 사용자에 대한 정보입니다. |
참고
로그 메시지에는 기록된 이벤트 에 따라 추가 필드가 포함될 수 있습니다.
OCSF 카테고리 매핑
이 표에서는 category_uid 값에 대해 설명합니다.
category_uid | 카테고리 |
|---|---|
| 시스템 활동 |
| 결과 |
| IAM |
| 네트워크 활동 |
| Discovery |
| 애플리케이션 활동 |
OCSF 클래스 매핑
OCSF 의 class_uids 전체 목록과 다양한 클래스에 매핑하는 방법은 OCSF 설명서를 참조하세요.
OCSF 유형 매핑
type_uid 필드 는 감사된 이벤트의 클래스, 활동 및 카테고리의 조합을 나타냅니다. 결과 UUID는 발생한 활동 유형을 나타냅니다.
구체적으로, type_uid 은 ( class_uid * 100 ) + (activity_id) 이며, category_id 는 class_id 의 천 단위 자리입니다.
이 표에서는 감사된 작업이 type_uid 에 매핑되는 방법을 설명합니다.
작업 유형 | type_uid | 카테고리 | 클래스 | 활동 |
|---|---|---|---|---|
|
| 구성 | 장치 구성 상태 | Log |
|
| 시스템 | 프로세스 활동 | 기타 |
|
| Discovery | 장치 구성 상태 |
|
|
| 애플리케이션 | API 활동 |
|
|
| IAM | 인증 | 로그온 |
|
| 네트워크 | 네트워크 활동 | 열기 |
|
| IAM | 엔티티 관리 | 만들기 |
|
| IAM | 엔티티 관리 | 만들기 |
|
| IAM | 엔티티 관리 | 만들기 |
|
| IAM | 계정 변경 | 만들기 |
|
| IAM | 계정 변경 | 만들기 |
|
| IAM | 계정 변경 | 알 수 없음 |
|
| IAM | 계정 변경 | 삭제 |
|
| IAM | 계정 변경 | 삭제 |
|
| IAM | 엔티티 관리 | 삭제 |
|
| IAM | 엔티티 관리 | 삭제 |
|
| IAM | 엔티티 관리 | 삭제 |
|
| IAM | 계정 변경 | 정책 첨부 |
|
| IAM | 계정 변경 | 삭제 |
|
| IAM | 계정 변경 | 삭제 |
|
| 구성 | 장치 구성 상태 | Log |
|
| 애플리케이션 | API 활동 | 읽기 |
|
| IAM | 계정 변경 | 정책 첨부 |
|
| IAM | 계정 변경 | 정책 첨부 |
|
| IAM | 엔티티 관리 | 만들기 |
|
| IAM | 인증 | 로그오프 |
|
| 구성 | 장치 구성 상태 | Log |
|
| 구성 | 장치 구성 상태 | Log |
|
| IAM | 엔티티 관리 | Update |
|
| 구성 | 장치 구성 상태 | Log |
|
| IAM | 계정 변경 | 분리 정책 |
|
| IAM | 계정 변경 | 분리 정책 |
|
| IAM | 계정 변경 | 분리 정책 |
|
| 시스템 | 프로세스 | 기타 |
|
| 구성 | 장치 구성 상태 | Log |
|
| 구성 | 장치 구성 상태 | Log |
|
| 시스템 | 프로세스 | 종료 |
|
| 시스템 | 프로세스 | Launch |
|
| 구성 | 장치 구성 상태 | Log |
|
| IAM | 계정 변경 | 기타 |
|
| IAM | 계정 변경 | 기타 |
예시
다음 예는 다양한 조치 유형에 대한 OCSF 스키마 로그 메시지를 보여줍니다.
인증 조치
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
AuthCheck 작업
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }