OCSF 스키마 감사 메시지
OCSF 스키마 에서 기록된 로그 메시지의 구문은 다음과 같습니다.
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
필드 | 유형 | 설명 |
|---|---|---|
activity_id | Integer | 활동 유형입니다. OCSF 유형 매핑을 참조하세요. |
category_uid | Integer | 감사 이벤트 카테고리입니다. OCSF 카테고리 매핑을 참조하세요. |
class_uid | Integer | 이벤트 클래스 감사. OCSF 클래스 매핑을 참조하세요. |
time | Integer | 이벤트 가 발생한 유닉스 시간 이후의 밀리초 수입니다. |
severity_id | Integer | 감사된 이벤트 의 심각도입니다. |
type_uid | Integer | 감사된 이벤트의 클래스, 활동 및 카테고리의 조합입니다. OCSF 유형 매핑을 참조하세요. |
metadata | 문서 | 제품 및 스키마 버전과 같은 이벤트 에 대한 메타데이터입니다. |
actor | 문서 | 조치 을 수행한 사용자에 대한 정보입니다. |
참고
로그 메시지에는 기록된 이벤트 에 따라 추가 필드가 포함될 수 있습니다.
OCSF 카테고리 매핑
이 표에서는 category_uid 값에 대해 설명합니다.
category_uid | 카테고리 |
|---|---|
1 | 시스템 활동 |
2 | 결과 |
3 | IAM |
4 | 네트워크 활동 |
5 | Discovery |
6 | 애플리케이션 활동 |
OCSF 클래스 매핑
OCSF 의 전체 class_uids 목록과 다양한 클래스에 매핑되는 방법은 OCSF 설명서를 참조하세요.
OCSF 유형 매핑
type_uid 필드 는 감사된 이벤트의 클래스, 활동 및 카테고리의 조합을 나타냅니다. 결과 UUID는 발생한 활동 유형을 나타냅니다.
구체적으로, type_uid 은 ( class_uid * 100 ) + (activity_id) 이며, category_id 는 class_id 의 천 단위 자리입니다.
이 표에서는 감사된 작업이 type_uid 에 매핑되는 방법을 설명합니다.
작업 유형 | type_uid | 카테고리 | 클래스 | 활동 |
|---|---|---|---|---|
addShard | 500101 | 구성 | 장치 구성 상태 | Log |
applicationMessage | 100799 | 시스템 | 프로세스 활동 | 기타 |
auditConfigure | 500201 or 500203 | Discovery | 장치 구성 상태 |
|
authzCheck | 600301 - 600304 | 애플리케이션 | API 활동 |
|
authenticate | 300201 | IAM | 인증 | 로그온 |
clientMetadata | 400101 | 네트워크 | 네트워크 활동 | 열기 |
createCollection | 300401 | IAM | 엔티티 관리 | 만들기 |
createDatabase | 300401 | IAM | 엔티티 관리 | 만들기 |
createIndex | 300401 | IAM | 엔티티 관리 | 만들기 |
createRole | 300101 | IAM | 계정 변경 | 만들기 |
createUser | 300101 | IAM | 계정 변경 | 만들기 |
directAuthMutation | 300100 | IAM | 계정 변경 | 알 수 없음 |
dropAllRolesFromDatabase | 300106 | IAM | 계정 변경 | 삭제 |
dropAllUsersFromDatabase | 300106 | IAM | 계정 변경 | 삭제 |
dropCollection | 300404 | IAM | 엔티티 관리 | 삭제 |
dropDatabase | 300404 | IAM | 엔티티 관리 | 삭제 |
dropIndex | 300404 | IAM | 엔티티 관리 | 삭제 |
dropPrivilegesToRole | 300107 | IAM | 계정 변경 | 정책 첨부 |
dropRole | 300106 | IAM | 계정 변경 | 삭제 |
dropUser | 300106 | IAM | 계정 변경 | 삭제 |
enableSharding | 500201 | 구성 | 장치 구성 상태 | Log |
getClusterParameter | 600302 | 애플리케이션 | API 활동 | 읽기 |
grantRolesToRole | 300107 | IAM | 계정 변경 | 정책 첨부 |
grantRolesToUser | 300107 | IAM | 계정 변경 | 정책 첨부 |
importCollection | 300401 | IAM | 엔티티 관리 | 만들기 |
logout | 300202 | IAM | 인증 | 로그오프 |
refineCollectionShardKey | 500201 | 구성 | 장치 구성 상태 | Log |
removeShard | 500201 | 구성 | 장치 구성 상태 | Log |
renameCollection | 300403 | IAM | 엔티티 관리 | Update |
replSetReconfig | 500201 | 구성 | 장치 구성 상태 | Log |
revokePrivilegesFromRole | 300108 | IAM | 계정 변경 | 분리 정책 |
revokeRolesFromRole | 300108 | IAM | 계정 변경 | 분리 정책 |
revokeRolesFromUser | 300108 | IAM | 계정 변경 | 분리 정책 |
rotateLog | 100799 | 시스템 | 프로세스 | 기타 |
setClusterParameter | 500201 | 구성 | 장치 구성 상태 | Log |
shardCollection | 500201 | 구성 | 장치 구성 상태 | Log |
shutdown | 100702 | 시스템 | 프로세스 | 종료 |
startup | 100701 | 시스템 | 프로세스 | Launch |
updateCachedClusterServerParameter | 500201 | 구성 | 장치 구성 상태 | Log |
updateRole | 300199 | IAM | 계정 변경 | 기타 |
updateUser | 300199 | IAM | 계정 변경 | 기타 |
예시
다음 예는 다양한 조치 유형에 대한 OCSF 스키마 로그 메시지를 보여줍니다.
인증 조치
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
AuthCheck 작업
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }