Mensagens de auditoria do esquema OCSF
Nesta página
No esquemaOCSF , as mensagens de registro registradas têm esta sintaxe:
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
Campo | Tipo | Descrição |
|---|---|---|
activity_id | Inteiro | Tipo de atividade. Consulte Mapeamento de Tipo OCSF . |
category_uid | Inteiro | Categoria de evento de auditoria. Consulte Mapeamento de categoria OCSF. |
class_uid | Inteiro | classe de evento de auditoria. Consulte Mapeamento de classe OCSF. |
time | Inteiro | Número de milissegundos após a época do Unix em que o evento ocorreu. |
severity_id | Inteiro | Gravidade do evento auditado . |
type_uid | Inteiro | Combinação de classe, atividade e categoria do evento auditado. Consulte Mapeamento de tipo OCSF. |
metadata | Documento | Metadados sobre o evento , como versão do produto e esquema. |
actor | Documento | Informações sobre o usuário que executou a ação. |
Observação
As mensagens de registro podem conter campos adicionais, dependendo do evento que foi registrado.
Mapeamento de categoria OCSF
Esta tabela descreve os valores category_uid :
category_uid | categoria |
|---|---|
1 | Atividade do Sistema |
2 | Descobertas |
3 | iam |
4 | Atividade da rede |
5 | Descoberta |
6 | Atividade do Aplicativo |
Mapeamento de classes OCSF
Para obter uma lista completa dos OCSF class_uids e como eles são mapeados para diferentes classes, consulte a Documentação do OCSF .
Mapeamento de Tipo OCSF
O campo type_uid representa uma combinação da classe, da atividade e da categoria do evento auditado. O UUID resultante indica o tipo de atividade que ocorreu.
Especificamente, type_uid é ( class_uid * 100 ) + (activity_id), com category_id sendo a casa dos milhares em um class_id.
Esta tabela descreve como as ações auditadas são mapeadas para type_uid:
Tipo de ação | type_uid | categoria | classe | Atividade |
|---|---|---|---|---|
addShard | 500101 | Configuração | Estado da configuração do dispositivo | Log |
applicationMessage | 100799 | Sistema | Atividade do processo | Outro |
auditConfigure | 500201 ou 500203 | Descoberta | Estado da configuração do dispositivo |
|
authzCheck | 600301 - 600304 | Aplicativo | Atividade da API |
|
authenticate | 300201 | iam | Autenticação | Início de sessão |
clientMetadata | 400101 | Rede | Atividade da rede | Abrir |
createCollection | 300401 | iam | Gerenciamento de entidades | criar |
createDatabase | 300401 | iam | Gerenciamento de entidades | criar |
createIndex | 300401 | iam | Gerenciamento de entidades | criar |
createRole | 300101 | iam | Alteração de conta | criar |
createUser | 300101 | iam | Alteração de conta | criar |
directAuthMutation | 300100 | iam | Alteração de conta | Desconhecido |
dropAllRolesFromDatabase | 300106 | iam | Alteração de conta | Excluir |
dropAllUsersFromDatabase | 300106 | iam | Alteração de conta | Excluir |
dropCollection | 300404 | iam | Gerenciamento de entidades | Excluir |
dropDatabase | 300404 | iam | Gerenciamento de entidades | Excluir |
dropIndex | 300404 | iam | Gerenciamento de entidades | Excluir |
dropPrivilegesToRole | 300107 | iam | Alteração de conta | Anexar política |
dropRole | 300106 | iam | Alteração de conta | Excluir |
dropUser | 300106 | iam | Alteração de conta | Excluir |
enableSharding | 500201 | Configuração | Estado da configuração do dispositivo | Log |
getClusterParameter | 600302 | Aplicativo | Atividade da API | Leia |
grantRolesToRole | 300107 | iam | Alteração de conta | Anexar política |
grantRolesToUser | 300107 | iam | Alteração de conta | Anexar política |
importCollection | 300401 | iam | Gerenciamento de entidades | criar |
logout | 300202 | iam | Autenticação | Logoff |
refineCollectionShardKey | 500201 | Configuração | Estado da configuração do dispositivo | Log |
removeShard | 500201 | Configuração | Estado da configuração do dispositivo | Log |
renameCollection | 300403 | iam | Gerenciamento de entidades | Update |
replSetReconfig | 500201 | Configuração | Estado da configuração do dispositivo | Log |
revokePrivilegesFromRole | 300108 | iam | Alteração de conta | Política de desanexação |
revokeRolesFromRole | 300108 | iam | Alteração de conta | Política de desanexação |
revokeRolesFromUser | 300108 | iam | Alteração de conta | Política de desanexação |
rotateLog | 100799 | Sistema | Processo | Outro |
setClusterParameter | 500201 | Configuração | Estado da configuração do dispositivo | Log |
shardCollection | 500201 | Configuração | Estado da configuração do dispositivo | Log |
shutdown | 100702 | Sistema | Processo | Encerrar |
startup | 100701 | Sistema | Processo | Launch |
updateCachedClusterServerParameter | 500201 | Configuração | Estado da configuração do dispositivo | Log |
updateRole | 300199 | iam | Alteração de conta | Outro |
updateUser | 300199 | iam | Alteração de conta | Outro |
Exemplos
Os exemplos a seguir mostram mensagens de registro do esquema OCSF para diferentes tipos de ação .
Ação Autenticar
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
Ação AuthCheck
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }