No esquemaOCSF , as mensagens de registro registradas têm esta sintaxe:
{ "activity_id" : <int>, "category_uid" : <int>, "class_uid" : <int>, "time" : <int>, "severity_id" : <int>, "type_uid" : <int>, "metadata" : <document> "actor" : { "user" : { "type_id" : <int>, "name" : <string>, "groups" : <array of documents> } }, "src_endpoint" : { "ip": <string>, // IP address for origin client computer "port": <int>, // Port for origin client computer "intermediate_ips": [ { // IP address and port for mongos or load balancer "ip": <string>, "port": <int> }, { // IP address and port for mongos or load balancer "ip": <string>, "port": <int> } ] }, "dst_endpoint" : { // IP address and port for local MongoDB server "ip": <string>, "port": <int> } }
A tabela a seguir descreve os campos na mensagem de registro.
Campo | Tipo | Descrição |
|---|---|---|
| Inteiro | Tipo de atividade. Consulte Mapeamento de Tipo OCSF . |
| Inteiro | Categoria de evento de auditoria. Consulte Mapeamento de categoria OCSF. |
| Inteiro | classe de evento de auditoria. Consulte Mapeamento de classe OCSF. |
| Inteiro | Número de milissegundos após a época do Unix em que o evento ocorreu. |
| Inteiro | Gravidade do evento auditado . |
| Inteiro | Combinação de classe, atividade e categoria do evento auditado. Consulte Mapeamento de tipo OCSF. |
| Documento | Metadados sobre o evento , como versão do produto e esquema. |
| Documento | Informações sobre o usuário que executou a ação. |
| Documento | A partir do MongoDB 8.1, se um aplicação cliente se conectar a uma instância
Se a solicitação passar por um balanceador de carga:
Se o evento de auditar ocorrer em um shard:
Alterado na versão 8.1. |
| Documento | Endereço IP e porta do servidor MongoDB local. Alterado na versão 8.1. |
Observação
As mensagens de registro podem conter campos adicionais, dependendo do evento que foi registrado.
Mapeamento de categoria OCSF
Esta tabela descreve os valores category_uid :
category_uid | categoria |
|---|---|
| Atividade do Sistema |
| Descobertas |
| iam |
| Atividade da rede |
| Descoberta |
| Atividade do Aplicativo |
Mapeamento de classes OCSF
Para obter uma lista completa dos OCSF class_uids e como eles são mapeados para diferentes classes, consulte a documentação do OCSF.
Mapeamento de Tipo OCSF
O campo type_uid representa uma combinação da classe, da atividade e da categoria do evento auditado. O UUID resultante indica o tipo de atividade que ocorreu.
Especificamente, type_uid é ( class_uid * 100 ) + (activity_id), com category_id sendo a casa dos milhares em um class_id.
Esta tabela descreve como as ações auditadas são mapeadas para type_uid:
Tipo de ação | type_uid | categoria | classe | Atividade |
|---|---|---|---|---|
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| Sistema | Atividade do processo | Outro |
|
| Descoberta | Estado da configuração do dispositivo |
|
|
| Aplicativo | Atividade da API |
|
|
| iam | Autenticação | Logon |
|
| Rede | Atividade da rede | Abrir |
|
| iam | Gerenciamento de entidades | criar |
|
| iam | Gerenciamento de entidades | criar |
|
| iam | Gerenciamento de entidades | criar |
|
| iam | Alteração de conta | criar |
|
| iam | Alteração de conta | criar |
|
| iam | Alteração de conta | Desconhecido |
|
| iam | Alteração de conta | Excluir |
|
| iam | Alteração de conta | Excluir |
|
| iam | Gerenciamento de entidades | Excluir |
|
| iam | Gerenciamento de entidades | Excluir |
|
| iam | Gerenciamento de entidades | Excluir |
|
| iam | Alteração de conta | Anexar política |
|
| iam | Alteração de conta | Excluir |
|
| iam | Alteração de conta | Excluir |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| Aplicativo | Atividade da API | Leia |
|
| iam | Alteração de conta | Anexar política |
|
| iam | Alteração de conta | Anexar política |
|
| iam | Gerenciamento de entidades | criar |
|
| iam | Autenticação | Logout |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| iam | Gerenciamento de entidades | Update |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| iam | Alteração de conta | Política de desanexação |
|
| iam | Alteração de conta | Política de desanexação |
|
| iam | Alteração de conta | Política de desanexação |
|
| Sistema | Processo | Outro |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| Sistema | Processo | Encerrar |
|
| Sistema | Processo | Launch |
|
| Configuração | Estado da configuração do dispositivo | Log |
|
| iam | Alteração de conta | Outro |
|
| iam | Alteração de conta | Outro |
Exemplos
Os exemplos a seguir mostram mensagens de registro do esquema OCSF para diferentes tipos de ação .
Ação Autenticar
{ "activity_id" : 1, "category_uid" : 3, "class_uid" : 3002, "time" : 1710715316123, "severity_id" : 1, "type_uid" : 300201, "metadata" : { "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : { "user" : { "type_id" : 1, "name" : "admin.admin", "groups" : [ { "name" : "admin.root" } ] } }, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "user" : { "type_id" : 1, "name" : "admin.admin" }, "auth_protocol" : "SCRAM-SHA-256", "unmapped" : { "atype" : "authenticate" } }
Ação AuthCheck
{ "activity_id" : 0, "category_uid" : 6, "class_uid" : 6003, "time" : 1710715315002, "severity_id" : 1, "type_uid" : 600300, "metadata" : { "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d", "product" : "MongoDB Server", "version" : "1.0.0" }, "actor" : {}, "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 }, "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 }, "api" : { "operation" : "getParameter", "request" : { "uid" : "admin" }, "response" : { "code" : 13, "error" : "Unauthorized" } } }