OCSF 模式审核消息
在 OCSF模式中,记录的日志消息采用以下语法:
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
字段 | 类型 | 说明 |
|---|---|---|
| 整型 | 活动类型。 请参阅 OCSF 类型映射。 |
| 整型 | 审核事件类别。请参阅 OCSF 类别映射。 |
| 整型 | 审核事件类。请参阅 OCSF 类映射。 |
| 整型 | 事件发生的 Unix 纪元之后的毫秒数。 |
| 整型 | 已审核事件的严重性。 |
| 整型 | 已审核事件的类、活动和类别的组合。 请参阅 OCSF 类型映射。 |
| 文档 | 有关事件的元数据,例如产品和模式版本。 |
| 文档 | 有关执行动作的用户的信息。 |
注意
日志消息可能包含其他字段,具体取决于记录的事件。
OCSF 类别映射
下表描述了category_uid值:
category_uid | category |
|---|---|
| 系统活动 |
| 调查结果 |
| IAM |
| 网络活动 |
| 发现 |
| 应用程序活动 |
OCSF 类映射
有关 OCSFclass_uids 的完整列表以及它们如何映射到不同类,请参阅 OCSF 文档。
OCSF 类型映射
type_uid字段表示已审核事件的类、活动和类别的组合。 生成的 UUID 指示发生的活动类型。
具体来说, type_uid是( class_uid * 100 ) + (activity_id) ,其中category_id是class_id中的千位。
下表描述了已审核的操作如何映射到type_uid :
操作类型 | type_uid | category | 类 | 活动 |
|---|---|---|---|---|
|
| 配置 | 设备配置状态 | Log |
|
| 记录 | 进程活动 | 其他 |
|
| 发现 | 设备配置状态 |
|
|
| 应用程序 | API活动 |
|
|
| IAM | 身份验证 | 登录 |
|
| 网络 | 网络活动 | 打开 |
|
| IAM | 实体管理 | 创建 |
|
| IAM | 实体管理 | 创建 |
|
| IAM | 实体管理 | 创建 |
|
| IAM | 帐户变更 | 创建 |
|
| IAM | 帐户变更 | 创建 |
|
| IAM | 帐户变更 | 未知 |
|
| IAM | 帐户变更 | 删除 |
|
| IAM | 帐户变更 | 删除 |
|
| IAM | 实体管理 | 删除 |
|
| IAM | 实体管理 | 删除 |
|
| IAM | 实体管理 | 删除 |
|
| IAM | 帐户变更 | 附加策略 |
|
| IAM | 帐户变更 | 删除 |
|
| IAM | 帐户变更 | 删除 |
|
| 配置 | 设备配置状态 | Log |
|
| 应用程序 | API活动 | 读取 |
|
| IAM | 帐户变更 | 附加策略 |
|
| IAM | 帐户变更 | 附加策略 |
|
| IAM | 实体管理 | 创建 |
|
| IAM | 身份验证 | 注销 |
|
| 配置 | 设备配置状态 | Log |
|
| 配置 | 设备配置状态 | Log |
|
| IAM | 实体管理 | Update |
|
| 配置 | 设备配置状态 | Log |
|
| IAM | 帐户变更 | 分离策略 |
|
| IAM | 帐户变更 | 分离策略 |
|
| IAM | 帐户变更 | 分离策略 |
|
| 记录 | 处理 | 其他 |
|
| 配置 | 设备配置状态 | Log |
|
| 配置 | 设备配置状态 | Log |
|
| 记录 | 处理 | 终止 |
|
| 记录 | 处理 | Launch |
|
| 配置 | 设备配置状态 | Log |
|
| IAM | 帐户变更 | 其他 |
|
| IAM | 帐户变更 | 其他 |
示例
以下示例显示了不同动作类型的OCSF模式日志消息。
身份验证操作
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
AuthCheck 操作
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }