En el OCSF Schema, los mensajes de registro grabados tienen esta sintaxis:
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } }, "src_endpoint" : { "ip": <string>, // IP address for origin client computer "port": <int>, // Port for origin client computer "intermediate_ips": [ { // IP address and port for mongos or load balancer "ip": <string>, "port": <int> }, { // IP address and port for mongos or load balancer "ip": <string>, "port": <int> } ] }, "dst_endpoint" : { // IP address and port for local MongoDB server "ip": <string>, "port": <int> } }
La siguiente tabla describe los campos en el mensaje del registro.
Campo | Tipo | Descripción |
|---|---|---|
| entero | Tipo de actividad. Ver Mapeo de tipos OCSF. |
| entero | Categoría de evento de auditoría. Consulta Mapeo de Categorías OCSF. |
| entero | Clase de evento de auditoría. Ver Mapeo de clases de OCSF. |
| entero | Número de milisegundos después de la época Unix en que ocurrió el evento. |
| entero | Gravedad del evento auditado. |
| entero | Combinación de la clase, actividad y categoría del evento auditado. Consulte Asignación de tipos de OCSF. |
| Documento | Metadatos sobre el evento, tales como la versión del producto y del esquema. |
| Documento | Información sobre el usuario que realizó la acción. |
| Documento | A partir de MongoDB 8.1, si una aplicación cliente se conecta a una instancia
Si la solicitud pasa por un balanceador de carga:
Si el evento de auditoría se produce en una partición:
Cambiado en la versión 8.1. |
| Documento | Dirección IP y puerto del servidor local de MongoDB. Cambiado en la versión 8.1. |
Nota
Los mensajes del registro pueden contener campos adicionales dependiendo del evento registrado.
Mapeo de categorías OCSF
Esta tabla describe los valores de category_uid:
category_uid | Categoría |
|---|---|
| Actividad del sistema |
| Recomendaciones |
| IAM |
| Actividad de red |
| Descubrimiento |
| Actividad de la aplicación |
Mapeo de clases OCSF
Para ver una lista completa de OCSF class_uids y cómo se asignan a diferentes clases, véase la Documentación de OCSF.
Mapeo de tipo OCSF
El campo type_uid representa una combinación de la clase, la actividad y la categoría del evento auditado. El UUID resultante indica el tipo de actividad ocurrida.
Específicamente, type_uid es ( class_uid * 100 ) + (activity_id), siendo category_id el lugar de los miles en un class_id.
Esta tabla describe cómo las acciones auditadas se asignan a type_uid:
Tipo de acción | type_uid | Categoría | clase | Actividad |
|---|---|---|---|---|
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Sistema | Actividad del proceso | Otros |
|
| Descubrimiento | Estado de configuración del dispositivo |
|
|
| Aplicación | Actividad API |
|
|
| IAM | Autenticación | Inicio de sesión |
|
| Red | Actividad de red | Abierto |
|
| IAM | Gestión de Entidades | Crear |
|
| IAM | Gestión de Entidades | Crear |
|
| IAM | Gestión de Entidades | Crear |
|
| IAM | Cambio de cuenta | Crear |
|
| IAM | Cambio de cuenta | Crear |
|
| IAM | Cambio de cuenta | Desconocido |
|
| IAM | Cambio de cuenta | Borrar |
|
| IAM | Cambio de cuenta | Borrar |
|
| IAM | Gestión de Entidades | Borrar |
|
| IAM | Gestión de Entidades | Borrar |
|
| IAM | Gestión de Entidades | Borrar |
|
| IAM | Cambio de cuenta | Adjuntar póliza |
|
| IAM | Cambio de cuenta | Borrar |
|
| IAM | Cambio de cuenta | Borrar |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Aplicación | Actividad API | Lea |
|
| IAM | Cambio de cuenta | Adjuntar póliza |
|
| IAM | Cambio de cuenta | Adjuntar póliza |
|
| IAM | Gestión de Entidades | Crear |
|
| IAM | Autenticación | Cerrar sesión |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| IAM | Gestión de Entidades | Update |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| IAM | Cambio de cuenta | Desvincular política |
|
| IAM | Cambio de cuenta | Desvincular política |
|
| IAM | Cambio de cuenta | Desvincular política |
|
| Sistema | Proceso | Otros |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Sistema | Proceso | Terminar |
|
| Sistema | Proceso | Launch |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| IAM | Cambio de cuenta | Otros |
|
| IAM | Cambio de cuenta | Otros |
Ejemplos
Los siguientes ejemplos muestran mensajes de registro de esquemas de OCSF para diferentes tipos de acción.
Acción de autenticación
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
Acción de AuthCheck
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }