En el Esquema OCSF, los mensajes de registro grabados tienen esta sintaxis:
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } } }
Campo | Tipo | Descripción |
|---|---|---|
| entero | Tipo de actividad. Ver Mapeo de tipos OCSF. |
| entero | Categoría de evento de auditoría. Consulte Asignación de categorías de OCSF. |
| entero | Clase de evento de auditoría. Consulte Asignación de clases de OCSF. |
| entero | Número de milisegundos después de la época Unix en que ocurrió el evento. |
| entero | Gravedad del evento auditado. |
| entero | Combinación de la clase, actividad y categoría del evento auditado. Consulte Asignación de tipos de OCSF. |
| Documento | Metadatos sobre el evento, como la versión del producto y del esquema. |
| Documento | Información sobre el usuario que realizó la acción. |
Nota
Los mensajes del registro pueden contener campos adicionales dependiendo del evento registrado.
Mapeo de categorías de OCSF
Esta tabla describe los valores category_uid:
category_uid | Categoría |
|---|---|
| Actividad del sistema |
| Recomendaciones |
| IAM |
| Actividad de red |
| Descubrimiento |
| Actividad de la aplicación |
Mapeo de clases de OCSF
Para obtener una lista completa de OCSF class_uids y cómo se asignan a diferentes clases, consulte la Documentación de OCSF.
Mapeo de tipos de OCSF
El campo type_uid representa una combinación de la clase, la actividad y la categoría del evento auditado. El UUID resultante indica el tipo de actividad ocurrida.
Específicamente, type_uid es ( class_uid * 100 ) + (activity_id), y category_id es el lugar de los millares en un class_id.
Esta tabla describe cómo las acciones auditadas se asignan a type_uid:
Tipo de acción | type_uid | Categoría | Clase | Actividad |
|---|---|---|---|---|
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Sistema | Actividad del proceso | Otros |
|
| Descubrimiento | Estado de configuración del dispositivo |
|
|
| Aplicación | Actividad API |
|
|
| IAM | Autenticación | Inicio de sesión |
|
| Red | Actividad de red | Abierto |
|
| IAM | Gestión de entidades | Crear |
|
| IAM | Gestión de entidades | Crear |
|
| IAM | Gestión de entidades | Crear |
|
| IAM | Cambio de cuenta | Crear |
|
| IAM | Cambio de cuenta | Crear |
|
| IAM | Cambio de cuenta | Desconocido |
|
| IAM | Cambio de cuenta | Borrar |
|
| IAM | Cambio de cuenta | Borrar |
|
| IAM | Gestión de entidades | Borrar |
|
| IAM | Gestión de entidades | Borrar |
|
| IAM | Gestión de entidades | Borrar |
|
| IAM | Cambio de cuenta | Adjuntar política |
|
| IAM | Cambio de cuenta | Borrar |
|
| IAM | Cambio de cuenta | Borrar |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Aplicación | Actividad API | Lea |
|
| IAM | Cambio de cuenta | Adjuntar política |
|
| IAM | Cambio de cuenta | Adjuntar política |
|
| IAM | Gestión de entidades | Crear |
|
| IAM | Autenticación | Cierre de sesión |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| IAM | Gestión de entidades | Update |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| IAM | Cambio de cuenta | Política de desvinculación |
|
| IAM | Cambio de cuenta | Política de desvinculación |
|
| IAM | Cambio de cuenta | Política de desvinculación |
|
| Sistema | Proceso | Otros |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| Sistema | Proceso | Terminar |
|
| Sistema | Proceso | Launch |
|
| Configuración | Estado de configuración del dispositivo | Log |
|
| IAM | Cambio de cuenta | Otros |
|
| IAM | Cambio de cuenta | Otros |
Ejemplos
Los siguientes ejemplos muestran mensajes de registro de esquemas de OCSF para diferentes tipos de acción.
Acción de autenticación
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
Acción de AuthCheck
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }