Coletar registros do osquery
Neste documento, descrevemos como coletar registros do osquery configurando o osquery. e um encaminhador de Operações de Segurança do Google. Este documento também lista os tipos de registro suportados e versões compatíveis do osquery.
Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google.
Visão geral
O diagrama de arquitetura de implantação a seguir mostra como os agentes do osquery e o servidor do Fleet são configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Sistema Linux: o sistema Linux a ser monitorado em que o agente do osquery está instalado.
Sistema Microsoft Windows: o sistema Microsoft Windows a ser monitorado em que o agente osquery está instalado
Sistema Mac: o sistema Mac a ser monitorado em que o agente osquery está instalado
Agente osquery: coleta informações do sistema Microsoft Windows, Linux ou Mac e as encaminha para o servidor do Fleet.
Servidor de frota: monitora e recebe informações dos agentes do osquery, analisa os registros e os encaminha para o encaminhador de operações de segurança do Google.
Encaminhador de Google Security Operations: um componente de software, implantado na rede do cliente para encaminhar os registros para as Operações de segurança do Google
Google Security Operations: retém e analisa os registros do servidor do Fleet.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador
com rótulo de transferência OSQUERY_EDR.
Antes de começar
Instale o servidor da frota. Para instalar o servidor da frota, faça o seguinte:
Use uma versão do osquery compatível com o analisador de operações de segurança do Google, ou seja, 5.2.3 e 5.3.0.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Verifique se os nomes das tabelas na frota estão de acordo com a documentação oficial da frota.
Configurar o agente do osquery, o servidor e o encaminhador das Operações de segurança do Google
Para configurar o servidor da frota e o encaminhador das Operações de segurança do Google, faça o seguinte:
Para configurar o servidor do Fleet, faça o seguinte:
Adicione hosts ao Fleet Server e instale o agente osquery. É possível adicionar o host ao servidor da frota com um instalador do osquery. O servidor da frota ajuda a gerar um instalador do osquery com o comando Fleet package.
- Execute o comando frotactl package instalando a ferramenta de linha de comando Flectl.
- Instale o agente osquery usando o comando de pacote fleetctl.
Quando você instala o instalador do osquery gerado em um host, ele é registrado automaticamente na instância do Fleet especificada.
Buscar os registros do agente osquery. Para criar uma consulta na frota para buscar os registros, acesse Criar uma consulta. Para programá-la, acesse Programar uma consulta.
Configure o encaminhador de Operações de segurança do Google em um dispositivo Linux central para enviar os registros ao sistema de Operações de Segurança do Google. Para mais informações, acesse Como instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Referência do mapeamento de campo
Esta seção explica como o analisador das Operações de segurança do Google mapeia campos de registro do osquery para os campos do Modelo de dados unificado (UDM, na sigla em inglês) das Operações de Segurança do Google para o esquema e o sistema operacional. Para mais informações, consulte o esquema do osquery para versão 5.2.3 e versão 5.3.0.
account_policy_data
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema account_policy_data e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema ad_config e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | about.labels.key/value (descontinuado) additional.fields |
| domínio | target.administrative_domain |
| opção | about.labels.key (descontinuado) additional.fields.key |
| valor | about.labels.value (descontinuado) additional.fields.value.string_value |
alf
A tabela abaixo lista os campos de registro e os mapeamentos de UDM correspondentes para o ALF de esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (descontinuado) additional.fields |
| firewall_unload | about.labels.key/value (descontinuado) additional.fields |
| global_state | about.labels.key/value (descontinuado) additional.fields |
| logging_enabled | about.labels.key/value (descontinuado) additional.fields |
| logging_option | about.labels.key/value (descontinuado) additional.fields |
| stealth_enabled | about.labels.key/value (descontinuado) additional.fields |
| version | target.platform_version |
alf_exceptions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema alf_exceptions e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| estado | about.labels.key/value (descontinuado) additional.fields |
alf_explicit_auths
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema alf_explicit_auths e o OS macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| difusão reversa que restaura | target.process.pid |
app_schemes
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema app_schemes e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| esquema | about.labels.key/value (descontinuado) additional.fields |
| handler | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| externo | about.labels.key/value (descontinuado) additional.fields |
| protegido | about.labels.key/value (descontinuado) additional.fields |
apparmor_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema apparmor_events e o OS Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | security_result.rule_id |
| Aparmor | security_result.action |
| operação | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| perfil | about.labels.key/value (descontinuado) additional.fields |
| name | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (descontinuado) additional.fields |
| capname | about.labels.key/value (descontinuado) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| OID | target.user.attribute.labels.key/value |
| capacidade | about.labels.key/value (descontinuado) additional.fields |
| requested_mask | target.process.access_mask |
| informações | about.labels.key/value (descontinuado) additional.fields |
| erro | security_result.summary |
| namespace | about.labels.key/value (descontinuado) additional.fields |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
apparmor_profiles
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema apparmor_profiles e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| name | target.resource.name |
| anexar | about.labels.key/value (descontinuado) additional.fields |
| modo | about.labels.key/value (descontinuado) additional.fields |
| sha1 | target.file.sha1 |
apps
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os apps de esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | target.application |
| path | target.file.full_path |
| bundle_executable | about.labels.key/value (descontinuado) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (descontinuado) additional.fields |
| ambiente | about.labels.key/value (descontinuado) additional.fields |
| elemento | about.labels.key/value (descontinuado) additional.fields |
| compilador | about.labels.key/value (descontinuado) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (descontinuado) additional.fields |
| info_string | about.labels.key/value (descontinuado) additional.fields |
| minimum_system_version | about.labels.key/value (descontinuado) additional.fields |
| categoria | about.labels.key/value (descontinuado) additional.fields |
| applescript_enabled | about.labels.key/value (descontinuado) additional.fields |
| direitos autorais | about.labels.key/value (descontinuado) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema asl e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| time_nano_sec | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
| sender | about.labels.key/value (descontinuado) additional.fields |
| instalação | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| ref_pid | about.labels.key/value (descontinuado) additional.fields |
| ref_proc | about.labels.key/value (descontinuado) additional.fields |
| extra | about.labels.key/value (descontinuado) additional.fields |
código de autenticação
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o authenticode do esquema e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| original_program_name | about.labels.key/value (descontinuado) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| result | security_result.summary |
authorization_mechanisms
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os mecanismos de autorização do esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
| plugin | about.labels.key/value (descontinuado) additional.fields |
| mecanismo | about.labels.key/value (descontinuado) additional.fields |
| privilegiado | about.labels.key/value (descontinuado) additional.fields |
| entry | about.labels.key/value (descontinuado) additional.fields |
autorizações
A tabela abaixo lista os campos de registro e os mapeamentos de UDM correspondentes para as autorizações de esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
| modificada(s) | about.labels.key/value (descontinuado) additional.fields |
| allow_root | about.labels.key/value (descontinuado) additional.fields |
| timeout | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| tenta | about.labels.key/value (descontinuado) additional.fields |
| authenticate_user | about.labels.key/value (descontinuado) additional.fields |
| compartilhados | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
| created | about.labels.key/value (descontinuado) additional.fields |
| classe | about.labels.key/value (descontinuado) additional.fields |
| session_owner | about.labels.key/value (descontinuado) additional.fields |
autoexec
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a execução automática do esquema e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| name | target.application |
| source | target.resource.name |
bitlocker_info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema bitlocker_info e OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (descontinuado) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema bpf_process_events e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tid | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| primária | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| probe_error | about.labels.key/value (descontinuado) additional.fields |
| chamada do sistema | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| duration | about.labels.key/value (descontinuado) additional.fields |
| json_cmdline | about.labels.key/value (descontinuado) additional.fields |
| ntime | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema bpf_socket_events e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tid | about.labels.key/value (descontinuado) additional.fields |
| pid | principal.process.pid |
| primária | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| probe_error | about.labels.key/value (descontinuado) additional.fields |
| chamada do sistema | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| fd | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value (descontinuado) additional.fields |
| ntime | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
certificados
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os certificados de esquema e o SO macOS, Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| common_name | about.labels.key/value (descontinuado) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ac | about.labels.key/value (descontinuado) additional.fields |
| autoassinado | about.labels.key/value (descontinuado) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (descontinuado) additional.fields |
| key_algorithm | about.labels.key/value (descontinuado) additional.fields |
| key_strength | about.labels.key/value (descontinuado) additional.fields |
| key_usage | about.labels.key/value (descontinuado) additional.fields |
| subject_key_id | about.labels.key/value (descontinuado) additional.fields |
| authority_key_id | about.labels.key/value (descontinuado) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| path | about.labels.key/value (descontinuado) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (descontinuado) additional.fields |
| store_location | about.labels.key/value (descontinuado) additional.fields |
| loja | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | principal.user.user_display_name |
| store_id | about.labels.key/value (descontinuado) additional.fields |
chassis_info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema chassis_info e OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value (descontinuado) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (descontinuado) additional.fields |
| description | metadata.description |
| cadeado | about.labels.key/value (descontinuado) additional.fields |
| fabricante | principal.asset.hardware.manufacturer |
| modelo | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (descontinuado) additional.fields |
| SKU | about.labels.key/value (descontinuado) additional.fields |
| status | about.labels.key/value (descontinuado) additional.fields |
| visible_alarm | about.labels.key/value (descontinuado) additional.fields |
chrome_extensions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema chrome_extensions e SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| perfil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identificador | target.resource.attribute.labels.key/value |
| version | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| author (autor) | target.resource.attribute.labels.key/value |
| permanentes | target.resource.attribute.labels.key/value |
| path | target.file.full_path |
| permissões | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenciado | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| estado | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| chave | target.resource.attribute.labels.key/value |
conectividade
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a conectividade do esquema e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| desconectado | about.labels.key/value (descontinuado) additional.fields |
| ipv4_no_traffic | about.labels.key/value (descontinuado) additional.fields |
| ipv6_no_traffic | about.labels.key/value (descontinuado) additional.fields |
| ipv4_subnet | about.labels.key/value (descontinuado) additional.fields |
| ipv4_local_network | about.labels.key/value (descontinuado) additional.fields |
| ipv4_internet | about.labels.key/value (descontinuado) additional.fields |
| ipv6_subnet | about.labels.key/value (descontinuado) additional.fields |
| ipv6_local_network | about.labels.key/value (descontinuado) additional.fields |
| ipv6_internet | about.labels.key/value (descontinuado) additional.fields |
cpu_info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema cpu_info e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| modelo | principal.asset.hardware.model |
| fabricante | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (descontinuado) additional.fields |
| Disponibilidade | about.labels.key/value (descontinuado) additional.fields |
| cpu_status | about.labels.key/value (descontinuado) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (descontinuado) additional.fields |
| address_width | about.labels.key/value (descontinuado) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (descontinuado) additional.fields |
falhas
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para falhas de esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| path | target.process.file.full_path |
| crash_path | target.file.full_path |
| identificador | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| responsável | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (descontinuado) additional.fields |
| stack_trace | about.labels.key/value (descontinuado) additional.fields |
| exception_type | about.labels.key/value (descontinuado) additional.fields |
| exception_codes | about.labels.key/value (descontinuado) additional.fields |
| exception_notes | about.labels.key/value (descontinuado) additional.fields |
| se registra | about.labels.key/value (descontinuado) additional.fields |
Crontab
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema crontab e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| evento | about.labels.key/value (descontinuado) additional.fields |
| minuto | about.labels.key/value (descontinuado) additional.fields |
| hora | about.labels.key/value (descontinuado) additional.fields |
| day_of_month | about.labels.key/value (descontinuado) additional.fields |
| mês | about.labels.key/value (descontinuado) additional.fields |
| day_of_week | about.labels.key/value (descontinuado) additional.fields |
| model". | principal.process.command_line |
| path | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
curl
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema curl e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| url | network.http.referral_url |
| método | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| bytes | network.received_bytes |
| result | about.labels.key/value (descontinuado) additional.fields |
curl_certificate
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema curl_certificate e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome do host | principal.hostname |
| common_name | about.labels.key/value (descontinuado) additional.fields |
| organização | network.organization_name |
| organization_unit | about.labels.key/value (descontinuado) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (descontinuado) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (descontinuado) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (descontinuado) additional.fields |
| signature | about.labels.key/value (descontinuado) additional.fields |
| subject_key_identifier | about.labels.key/value (descontinuado) additional.fields |
| authority_key_identifier | about.labels.key/value (descontinuado) additional.fields |
| key_usage | about.labels.key/value (descontinuado) additional.fields |
| extended_key_usage | about.labels.key/value (descontinuado) additional.fields |
| políticas | about.labels.key/value (descontinuado) additional.fields |
| subject_alternative_names | about.labels.key/value (descontinuado) additional.fields |
| issuer_alternative_names | about.labels.key/value (descontinuado) additional.fields |
| info_access | about.labels.key/value (descontinuado) additional.fields |
| subject_info_access | about.labels.key/value (descontinuado) additional.fields |
| policy_mappings | about.labels.key/value (descontinuado) additional.fields |
| has_expired | about.labels.key/value (descontinuado) additional.fields |
| basic_constraint | about.labels.key/value (descontinuado) additional.fields |
| name_constraints | about.labels.key/value (descontinuado) additional.fields |
| policy_constraints | about.labels.key/value (descontinuado) additional.fields |
| dump_certificate | about.labels.key/value (descontinuado) additional.fields |
| timeout | about.labels.key/value (descontinuado) additional.fields |
| pem | about.labels.key/value (descontinuado) additional.fields |
device_file
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema device_file e o SO Linux, macOS, FreeBSD e Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| device | about.labels.key/value (descontinuado) additional.fields |
| partição | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| filename | target.file.names |
| inode | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modo | about.labels.key/value (descontinuado) additional.fields |
| tamanho | target.file.size |
| block_size | about.labels.key/value (descontinuado) additional.fields |
| Atime | about.labels.key/value (descontinuado) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| hard_links | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
device_hash
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema device_hash e OS Linux, macOS, freebsd, Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| device | target.file.full_path |
| partição | about.labels.key/value (descontinuado) additional.fields |
| inode | about.labels.key/value (descontinuado) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema disk_info e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| partições | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| tipo | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (descontinuado) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| fabricante | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema dns_cache e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | network.dns.additional.name |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
dns_resolvers
A tabela abaixo lista os campos de registro e os mapeamentos de UDM correspondentes do esquema dns_resolvers e do SO Linux, macOS e freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| address | principal.ip |
| máscara de rede | about.labels.key/value (descontinuado) additional.fields |
| options | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
docker_container_networks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema docker_container_networks e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value (descontinuado) additional.fields |
| endpoint_id | about.labels.key/value (descontinuado) additional.fields |
| gateway | about.labels.key/value (descontinuado) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (descontinuado) additional.fields |
| ipv6_gateway | about.labels.key/value (descontinuado) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (descontinuado) additional.fields |
| mac_address | target.mac |
docker_container_ports
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema docker_container_ports e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| tipo | network.ip_protocol |
| porta | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema docker_container_processes e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| estado | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| Sui | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (descontinuado) additional.fields |
| resident_size | about.labels.key/value (descontinuado) additional.fields |
| total_size | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| pgroup | about.labels.key/value (descontinuado) additional.fields |
| threads | about.labels.key/value (descontinuado) additional.fields |
| legal | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.user_display_name |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| cpu | about.labels.key/value (descontinuado) additional.fields |
| mem | about.labels.key/value (descontinuado) additional.fields |
docker_container_stats
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema docker_container_stats e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| pids | about.labels.key/value (descontinuado) additional.fields |
| ler | about.labels.key/value (descontinuado) additional.fields |
| pré-leitura | about.labels.key/value (descontinuado) additional.fields |
| interval | about.labels.key/value (descontinuado) additional.fields |
| disk_read | about.labels.key/value (descontinuado) additional.fields |
| disk_write | about.labels.key/value (descontinuado) additional.fields |
| num_procs | about.labels.key/value (descontinuado) additional.fields |
| cpu_total_usage | about.labels.key/value (descontinuado) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (descontinuado) additional.fields |
| cpu_usermode_usage | about.labels.key/value (descontinuado) additional.fields |
| system_cpu_usage | about.labels.key/value (descontinuado) additional.fields |
| online_cpus | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_online_cpus | about.labels.key/value (descontinuado) additional.fields |
| memory_usage | about.labels.key/value (descontinuado) additional.fields |
| memory_max_usage | about.labels.key/value (descontinuado) additional.fields |
| memory_limit | about.labels.key/value (descontinuado) additional.fields |
| network_rx_bytes | about.labels.key/value (descontinuado) additional.fields |
| network_tx_bytes | about.labels.key/value (descontinuado) additional.fields |
docker_info
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_info e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| Contêineres | about.labels.key/value (descontinuado) additional.fields |
| containers_running | about.labels.key/value (descontinuado) additional.fields |
| containers_paused | about.labels.key/value (descontinuado) additional.fields |
| containers_stopped | about.labels.key/value (descontinuado) additional.fields |
| imagens | about.labels.key/value (descontinuado) additional.fields |
| storage_driver | about.labels.key/value (descontinuado) additional.fields |
| memory_limit | about.labels.key/value (descontinuado) additional.fields |
| swap_limit | about.labels.key/value (descontinuado) additional.fields |
| kernel_memory | about.labels.key/value (descontinuado) additional.fields |
| cpu_cfs_period | about.labels.key/value (descontinuado) additional.fields |
| cpu_cfs_quota | about.labels.key/value (descontinuado) additional.fields |
| cpu_shares | about.labels.key/value (descontinuado) additional.fields |
| cpu_set | about.labels.key/value (descontinuado) additional.fields |
| ipv4_forwarding | about.labels.key/value (descontinuado) additional.fields |
| bridge_nf_iptables | about.labels.key/value (descontinuado) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (descontinuado) additional.fields |
| oom_kill_disable | about.labels.key/value (descontinuado) additional.fields |
| logging_driver | about.labels.key/value (descontinuado) additional.fields |
| cgroup_driver | about.labels.key/value (descontinuado) additional.fields |
| kernel_version | about.labels.key/value (descontinuado) additional.fields |
| os | about.labels.key/value (descontinuado) additional.fields |
| os_type | target.platform(enum) |
| arquitetura | about.labels.key/value (descontinuado) additional.fields |
| cpus | about.labels.key/value (descontinuado) additional.fields |
| memória | about.labels.key/value (descontinuado) additional.fields |
| http_proxy | about.labels.key/value (descontinuado) additional.fields |
| https_proxy | about.labels.key/value (descontinuado) additional.fields |
| no_proxy | about.labels.key/value (descontinuado) additional.fields |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_network_labels e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| chave | target.resource.attribute.labels.key/value |
| valor | about.labels.key/value (descontinuado) additional.fields |
docker_networks
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_networks e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | about.labels.key/value (descontinuado) additional.fields |
| motorista | about.labels.key/value (descontinuado) additional.fields |
| created | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (descontinuado) additional.fields |
| sub-rede | about.labels.key/value (descontinuado) additional.fields |
| gateway | about.labels.key/value (descontinuado) additional.fields |
ec2_instance_metadata
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema ec2_instance_metadata e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (descontinuado) additional.fields |
| arquitetura | about.labels.key/value (descontinuado) additional.fields |
| região | target.location.country_or_region |
| availability_zone | about.labels.key/value (descontinuado) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| Mac | target.mac |
| security_groups | about.labels.key/value (descontinuado) additional.fields |
| iam_arn | about.labels.key/value (descontinuado) additional.fields |
| ami_id | about.labels.key/value (descontinuado) additional.fields |
| reservation_id | about.labels.key/value (descontinuado) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value (descontinuado) additional.fields |
es_process_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema es_process_events e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value (descontinuado) additional.fields |
| global_seq_num | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| path | target.process.file.full_path |
| primária | target.process.parent_process.pid |
| original_parent | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (descontinuado) additional.fields |
| env | about.labels.key/value (descontinuado) additional.fields |
| env_count | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (descontinuado) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| signing_id | about.labels.key/value (descontinuado) additional.fields |
| team_id | about.labels.key/value (descontinuado) additional.fields |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| platform_binary | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| child_pid | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| event_type | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema etc_hosts, o SO macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| address | target.ip |
| nomes de host | about.hostname |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
etc_protocols
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema etc_protocols e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | network.ip_protocol |
| number | about.labels.key/value (descontinuado) additional.fields |
| alias | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
etc_services
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o schema etc_services e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | target.resource.name |
| porta | target.port |
| protocolo | network.ip_protocol |
| aliases | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
arquivo
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o arquivo de esquema e o SO macOS, Linux, Windows e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| filename | target.file.names |
| inode | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modo | about.labels.key/value (descontinuado) additional.fields |
| device | target.asset.asset_id |
| tamanho | target.file.size |
| block_size | about.labels.key/value (descontinuado) additional.fields |
| atime | target.file.last_seen_time |
| Tempo | target.file.last_modification_time |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| btime | about.labels.key/value (descontinuado) additional.fields |
| hard_links | about.labels.key/value (descontinuado) additional.fields |
| link simbólico | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| attributes | about.labels.key/value (descontinuado) additional.fields |
| volume_serial | about.labels.key/value (descontinuado) additional.fields |
| file_id | about.labels.key/value (descontinuado) additional.fields |
| file_version | about.labels.key/value (descontinuado) additional.fields |
| product_version | about.labels.key/value (descontinuado) additional.fields |
| bsd_flags | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
file_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o file_events do esquema e o OS Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| executável | about.labels.key/value (descontinuado) additional.fields |
| parcial | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| path | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| Auid | about.labels.key/value (descontinuado) additional.fields |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| fsuid | about.labels.key/value (descontinuado) additional.fields |
| fsgid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
gatekeeper
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o gatekeeper do esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (descontinuado) additional.fields |
| dev_id_enabled | about.labels.key/value (descontinuado) additional.fields |
| version | target.asset.software.version |
| opaque_version | about.labels.key/value (descontinuado) additional.fields |
gatekeeper_approved_apps
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema gatekeeper_aprovado_apps e SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| requisito | about.labels.key/value (descontinuado) additional.fields |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| mtime | target.resource.attribute.last_update_time |
grupos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os grupos de esquema e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| nomedogrupo | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| comentário | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema hardware_events e o OS Linux, macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ação | security_result.action_details |
| path | target.asset.attribute.labels.key/value |
| tipo | target.asset.attribute.labels.key/value |
| motorista | target.asset.attribute.labels.key/value |
| fornecedor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| modelo | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| revisão | target.asset.attribute.labels.key/value |
| tempo | metadata.event_timestamp |
| eid | metadata.product_log_id |
jogo da velha
A tabela abaixo lista os campos de registro e os mapeamentos de UDM correspondentes para o hash do esquema e o SO macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
interface_addresses
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema interface_addresses e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| address | target.ip |
| máscara | about.labels.key/value (descontinuado) additional.fields |
| transmitir | about.labels.key/value (descontinuado) additional.fields |
| point_to_point | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| friendly_name | about.labels.key/value (descontinuado) additional.fields |
interface_details
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema interface_details e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| mac | target.mac |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| mtu | about.labels.key/value (descontinuado) additional.fields |
| métrica | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
| ipackets | about.labels.key/value (descontinuado) additional.fields |
| opackets | about.labels.key/value (descontinuado) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value (descontinuado) additional.fields |
| oerrors | about.labels.key/value (descontinuado) additional.fields |
| ígolos | about.labels.key/value (descontinuado) additional.fields |
| Odrops | about.labels.key/value (descontinuado) additional.fields |
| colisões | about.labels.key/value (descontinuado) additional.fields |
| last_change | about.labels.key/value (descontinuado) additional.fields |
| link_speed | about.labels.key/value (descontinuado) additional.fields |
| pci_slot | about.labels.key/value (descontinuado) additional.fields |
| friendly_name | about.labels.key/value (descontinuado) additional.fields |
| description | about.labels.key/value (descontinuado) additional.fields |
| fabricante | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (descontinuado) additional.fields |
| connection_status | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| physical_adapter | about.labels.key/value (descontinuado) additional.fields |
| velocidade | about.labels.key/value (descontinuado) additional.fields |
| serviço | target.application |
| dhcp_enabled | about.labels.key/value (descontinuado) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (descontinuado) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (descontinuado) additional.fields |
| dns_host_name | about.labels.key/value (descontinuado) additional.fields |
| dns_server_search_order | about.labels.key/value (descontinuado) additional.fields |
interface_ipv6
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema interface_ipv6 e OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| hop_limit | about.labels.key/value (descontinuado) additional.fields |
| forwarding_enabled | about.labels.key/value (descontinuado) additional.fields |
| redirect_accept | about.labels.key/value (descontinuado) additional.fields |
| rtadv_accept | about.labels.key/value (descontinuado) additional.fields |
iptables
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o iptables de esquema e o OS Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (descontinuado) additional.fields |
| cadeia | about.labels.key/value (descontinuado) additional.fields |
| política | about.labels.key/value (descontinuado) additional.fields |
| target | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (descontinuado) additional.fields |
| Iniface | about.labels.key/value (descontinuado) additional.fields |
| iniface_mask | about.labels.key/value (descontinuado) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (descontinuado) additional.fields |
| outiface | about.labels.key/value (descontinuado) additional.fields |
| outiface_mask | about.labels.key/value (descontinuado) additional.fields |
| correspondência | about.labels.key/value (descontinuado) additional.fields |
| pacotes | about.labels.key/value (descontinuado) additional.fields |
| bytes | network.received_bytes |
kernel_panics
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema kernel_panics e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| se registra | about.labels.key/value (descontinuado) additional.fields |
| frame_backtrace | about.labels.key/value (descontinuado) additional.fields |
| module_backtrace | about.labels.key/value (descontinuado) additional.fields |
| dependências | about.labels.key/value (descontinuado) additional.fields |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (descontinuado) additional.fields |
| system_model | target.asset.hardware.model |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| last_loaded | about.labels.key/value (descontinuado) additional.fields |
| last_unloaded | about.labels.key/value (descontinuado) additional.fields |
keychain_acls
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema keychain_acls e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (descontinuado) additional.fields |
| autorizações | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| description | metadata.description |
| o rótulo. | about.labels.key/value (descontinuado) additional.fields |
known_hosts
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema known_hosts e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | target.user.userid |
| chave | about.labels.key/value (descontinuado) additional.fields |
| key_file | target.file.full_path |
último
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| nome de usuário | target.user.user_display_name |
| tty | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| type_name | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
listening_ports
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Listen_ports e do SO macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| porta | target.port |
| protocolo | network.ip_protocol |
| família | about.labels.key/value (descontinuado) additional.fields |
| address | target.ip |
| fd | about.labels.key/value (descontinuado) additional.fields |
| socket | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| net_namespace | about.labels.key/value (descontinuado) additional.fields |
logged_in_users
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema logged_in_users e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.userid |
| tty | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (descontinuado) additional.fields |
| registry_hive | about.labels.key/value (descontinuado) additional.fields |
logon_sessions
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema logon_sessions e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.user_display_name |
| logon_domain | about.labels.key/value (descontinuado) additional.fields |
| authentication_package | about.labels.key/value (descontinuado) additional.fields |
| logon_type | about.labels.key/value (descontinuado) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (descontinuado) additional.fields |
| logon_time | about.labels.key/value (descontinuado) additional.fields |
| logon_server | about.labels.key/value (descontinuado) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (descontinuado) additional.fields |
| logon_script | about.labels.key/value (descontinuado) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (descontinuado) additional.fields |
| home_directory_drive | about.labels.key/value (descontinuado) additional.fields |
lxd_certificates
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema lxd_certificates e o OS Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | security_result.detection_fields.key/value |
| tipo | security_result.detection_fields.key/value |
| Impressão digital | security_result.detection_fields.key/value |
| certificado | security_result.detection_fields.key/value |
lxd_networks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema lxd_networks e o OS Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | about.labels.key/value (descontinuado) additional.fields |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| managed | about.labels.key/value (descontinuado) additional.fields |
| ipv4_address | about.labels.key/value (descontinuado) additional.fields |
| ipv6_address | about.labels.key/value (descontinuado) additional.fields |
| used_by | about.labels.key/value (descontinuado) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (descontinuado) additional.fields |
| packets_sent | about.labels.key/value (descontinuado) additional.fields |
| hwaddr | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| mtu | about.labels.key/value (descontinuado) additional.fields |
managed_policies
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema managed_policies e SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| domínio | target.administrative_domain |
| uuid | about.labels.key/value (descontinuado) additional.fields |
| name | about.labels.key/value (descontinuado) additional.fields |
| valor | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| manual | about.labels.key/value (descontinuado) additional.fields |
memory_devices
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Memorystore_devices e OS Linux, macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| handle | about.labels.key/value (descontinuado) additional.fields |
| array_handle | about.labels.key/value (descontinuado) additional.fields |
| form_factor | about.labels.key/value (descontinuado) additional.fields |
| total_width | about.labels.key/value (descontinuado) additional.fields |
| data_width | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.labels.key/value (descontinuado) additional.fields |
| set | about.labels.key/value (descontinuado) additional.fields |
| device_locator | about.labels.key/value (descontinuado) additional.fields |
| bank_locator | about.labels.key/value (descontinuado) additional.fields |
| memory_type | about.labels.key/value (descontinuado) additional.fields |
| memory_type_details | about.labels.key/value (descontinuado) additional.fields |
| max_speed | about.labels.key/value (descontinuado) additional.fields |
| configured_clock_speed | about.labels.key/value (descontinuado) additional.fields |
| fabricante | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (descontinuado) additional.fields |
| min_voltage | about.labels.key/value (descontinuado) additional.fields |
| max_voltage | about.labels.key/value (descontinuado) additional.fields |
| configured_voltage | about.labels.key/value (descontinuado) additional.fields |
ntdomains
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema ntdomains e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | about.labels.key/value (descontinuado) additional.fields |
| client_site_name | about.labels.key/value (descontinuado) additional.fields |
| dc_site_name | about.labels.key/value (descontinuado) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (descontinuado) additional.fields |
| domain_name | target.administrative_domain |
| status | about.labels.key/value (descontinuado) additional.fields |
ntfs_acl_permissions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema ntfs_acl_permissions e OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| participante | about.labels.key/value (descontinuado) additional.fields |
| acesso | about.labels.key/value (descontinuado) additional.fields |
| inherited_from | about.labels.key/value (descontinuado) additional.fields |
os_version
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema os_version e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | about.labels.key/value (descontinuado) additional.fields |
| version | principal.platform_version |
| principais | about.labels.key/value (descontinuado) additional.fields |
| menor | about.labels.key/value (descontinuado) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value (descontinuado) additional.fields |
| plataforma | principal.platform |
| platform_like | about.labels.key/value (descontinuado) additional.fields |
| codename | about.labels.key/value (descontinuado) additional.fields |
| arch | about.labels.key/value (descontinuado) additional.fields |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
osquery_events
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema osquery_events e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | target.resource.name |
| editor | about.label.key/value |
| tipo | about.label.key/value |
| assinaturas | about.label.key/value |
| events | about.label.key/value |
| atualiza | about.label.key/value |
| ativo | about.label.key/value |
patches
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os patches do esquema e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (descontinuado) additional.fields |
| caption | about.labels.key/value (descontinuado) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (descontinuado) additional.fields |
| installed_by | about.labels.key/value (descontinuado) additional.fields |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| installed_on | about.labels.key/value (descontinuado) additional.fields |
pci_devices
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema pci_devices e o SO Linux, macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (descontinuado) additional.fields |
| pci_class | principal.labels.key/value (descontinuado) additional.fields |
| motorista | principal.labels.key/value (descontinuado) additional.fields |
| fornecedor | principal.labels.key/value (descontinuado) additional.fields |
| vendor_id | principal.labels.key/value (descontinuado) additional.fields |
| modelo | principal.asset.hardware.model |
| model_id | principal.labels.key/value (descontinuado) additional.fields |
| subsistema | principal.labels.key/value (descontinuado) additional.fields |
| express | principal.labels.key/value (descontinuado) additional.fields |
| Thunderbolt | principal.labels.key/value (descontinuado) additional.fields |
| removível | principal.labels.key/value (descontinuado) additional.fields |
| pci_class_id | principal.labels.key/value (descontinuado) additional.fields |
| pci_subclass_id | principal.labels.key/value (descontinuado) additional.fields |
| pci_subclass | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_vendor | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_model_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_model | principal.labels.key/value (descontinuado) additional.fields |
canos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os tubos de esquema e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | target.resource.name |
| instâncias | about.labels.key/value (descontinuado) additional.fields |
| max_instances | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
powershell_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema powershell_events e o OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | metadata.collected_timestamp |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| script_block_id | about.labels.key/value (descontinuado) additional.fields |
| script_block_count | about.labels.key/value (descontinuado) additional.fields |
| script_text | about.labels.key/value (descontinuado) additional.fields |
| script_name | about.labels.key/value (descontinuado) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (descontinuado) additional.fields |
process_envs
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema process_envs e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| chave | about.labels.key |
| valor | about.labels.value |
process_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema process_events e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value (descontinuado) additional.fields |
| global_seq_num | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| path | target.file.full_path |
| primária | target.process.parent_process.pid |
| original_parent | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (descontinuado) additional.fields |
| env | about.labels.key/value (descontinuado) additional.fields |
| env_count | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (descontinuado) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| signing_id | about.labels.key/value (descontinuado) additional.fields |
| team_id | about.labels.key/value (descontinuado) additional.fields |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| platform_binary | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| child_pid | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| event_type | about.labels.key/value (descontinuado) additional.fields |
| eid | about.labels.key/value (descontinuado) additional.fields |
process_file_events
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema process_file_events e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| executável | about.labels.key/value (descontinuado) additional.fields |
| parcial | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| dest_path | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Auid | about.labels.key/value (descontinuado) additional.fields |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| fsuid | about.labels.key/value (descontinuado) additional.fields |
| fsgid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema process_open_sockets e OS macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (descontinuado) additional.fields |
| socket | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| path | target.file.full_path |
| estado | about.labels.key/value (descontinuado) additional.fields |
| net_namespace | about.labels.key/value (descontinuado) additional.fields |
processes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os processos de esquema e o SO macOS, Linux, Windows e freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| cmdline | target.process.command_line |
| estado | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| root | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| on_disk | about.labels.key/value (descontinuado) additional.fields |
| wired_size | about.labels.key/value (descontinuado) additional.fields |
| resident_size | about.labels.key/value (descontinuado) additional.fields |
| total_size | about.labels.key/value (descontinuado) additional.fields |
| user_time | about.labels.key/value (descontinuado) additional.fields |
| system_time | about.labels.key/value (descontinuado) additional.fields |
| disk_bytes_read | about.labels.key/value (descontinuado) additional.fields |
| disk_bytes_written | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| primária | target.process.parent_process.pid |
| pgroup | about.labels.key/value (descontinuado) additional.fields |
| threads | about.labels.key/value (descontinuado) additional.fields |
| legal | about.labels.key/value (descontinuado) additional.fields |
| elevated_token | about.labels.key/value (descontinuado) additional.fields |
| secure_process | about.labels.key/value (descontinuado) additional.fields |
| protection_type | about.labels.key/value (descontinuado) additional.fields |
| virtual_process | about.labels.key/value (descontinuado) additional.fields |
| elapsed_time | about.labels.key/value (descontinuado) additional.fields |
| handle_count | about.labels.key/value (descontinuado) additional.fields |
| percent_processor_time | about.labels.key/value (descontinuado) additional.fields |
| upid | about.labels.key/value (descontinuado) additional.fields |
| uppid | about.labels.key/value (descontinuado) additional.fields |
| cpu_type | about.labels.key/value (descontinuado) additional.fields |
| cpu_subtype | about.labels.key/value (descontinuado) additional.fields |
programas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os programas de esquema e o sistema operacional Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | target.resource.name |
| version | target.platform_version |
| install_location | about.labels.key/value (descontinuado) additional.fields |
| install_source | about.labels.key/value (descontinuado) additional.fields |
| idioma | about.labels.key/value (descontinuado) additional.fields |
| editor | about.labels.key/value (descontinuado) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| identifying_number | about.labels.key/value (descontinuado) additional.fields |
scheduled_tasks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema scheduled_tasks e o OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | target.resource.name |
| ação | security_result.action_details |
| path | target.file.full_path |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| escondida | about.labels.key/value (descontinuado) additional.fields |
| last_run_time | about.labels.key/value (descontinuado) additional.fields |
| next_run_time | about.labels.key/value (descontinuado) additional.fields |
| last_run_message | about.labels.key/value (descontinuado) additional.fields |
| last_run_code | about.labels.key/value (descontinuado) additional.fields |
seccomp_events
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema seccomp_events e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| Auid | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| se | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (descontinuado) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (descontinuado) additional.fields |
| arch | about.labels.key/value (descontinuado) additional.fields |
| chamada do sistema | about.labels.key/value (descontinuado) additional.fields |
| compat | about.labels.key/value (descontinuado) additional.fields |
| ip | about.labels.key/value (descontinuado) additional.fields |
| código | about.labels.key/value (descontinuado) additional.fields |
seLinux_events
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema seLinux_events e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
shadow
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para a sombra do esquema e o SO Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| password_status | about.labels.key/value (descontinuado) additional.fields |
| hash_alg | about.labels.key/value (descontinuado) additional.fields |
| last_change | about.labels.key/value (descontinuado) additional.fields |
| min | about.labels.key/value (descontinuado) additional.fields |
| max | about.labels.key/value (descontinuado) additional.fields |
| aviso | about.labels.key/value (descontinuado) additional.fields |
| inativo | about.labels.key/value (descontinuado) additional.fields |
| expire | about.labels.key/value (descontinuado) additional.fields |
| flag | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | principal.user.user_display_name |
shell_history
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema shell_history e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| model". | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o shimcache do esquema e as janelas do SO:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| entry | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (descontinuado) additional.fields |
signature
A tabela abaixo lista os campos de registro e os mapeamentos de UDM correspondentes para a assinatura do esquema e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| hash_resources | about.labels.key/value (descontinuado) additional.fields |
| arch | about.labels.key/value (descontinuado) additional.fields |
| item assinado | target.file.pe_file.signature_info.verified |
| identificador | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| team_identifier | about.labels.key/value (descontinuado) additional.fields |
| autoridade | about.labels.key/value (descontinuado) additional.fields |
sip_config
A tabela abaixo lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema sip_config e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| enabled_nvram | about.labels.key/value (descontinuado) additional.fields |
socket_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema socket_events e o OS Linux, macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ação | security_result.action_details |
| pid | target.process.pid |
| path | target.process.file.full_path |
| fd | about.labels.key/value (descontinuado) additional.fields |
| auid | target.user.userid |
| status | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
| sucesso | about.labels.key/value (descontinuado) additional.fields |
Sudoers
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o sudoers do esquema e o OS Linux, macOS, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| source | about.labels.key/value (descontinuado) additional.fields |
| cabeçalho | about.labels.key/value (descontinuado) additional.fields |
| rule_details | about.labels.key/value (descontinuado) additional.fields |
syslog_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema syslog_events e o OS Linux:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| host | target.hostname |
| gravidade, | security_result.severity (tipo enumerado) |
| instalação | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| mensagem | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
system_info
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema system_info e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome do host | principal.administrative_domain |
| uuid | about.labels.key/value (descontinuado) additional.fields |
| cpu_type | about.labels.key/value (descontinuado) additional.fields |
| cpu_subtype | about.labels.key/value (descontinuado) additional.fields |
| cpu_brand | about.labels.key/value (descontinuado) additional.fields |
| cpu_physical_cores | about.labels.key/value (descontinuado) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (descontinuado) additional.fields |
| physical_memory | about.labels.key/value (descontinuado) additional.fields |
| hardware_vendor | about.labels.key/value (descontinuado) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (descontinuado) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (descontinuado) additional.fields |
| board_model | about.labels.key/value (descontinuado) additional.fields |
| board_version | about.labels.key/value (descontinuado) additional.fields |
| board_serial | about.labels.key/value (descontinuado) additional.fields |
| computer_name | about.labels.key/value (descontinuado) additional.fields |
| local_hostname | about.labels.key/value (descontinuado) additional.fields |
tpm_info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema tpm_info e OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| em poucos segundos em uma infraestrutura | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_version | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_id | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (descontinuado) additional.fields |
| spec_version | about.labels.key/value (descontinuado) additional.fields |
usb_devices
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema usb_devices e OS Linux, macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (descontinuado) additional.fields |
| usb_port | about.labels.key/value (descontinuado) additional.fields |
| fornecedor | about.labels.key/value (descontinuado) additional.fields |
| vendor_id | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| modelo | target.asset.hardware.model |
| model_id | about.labels.key/value (descontinuado) additional.fields |
| serial | target.asset.hardware.serial_number |
| classe | about.labels.key/value (descontinuado) additional.fields |
| subclasse | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| removível | about.labels.key/value (descontinuado) additional.fields |
user_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema user_events e o SO Linux, macOS e FreeBSD:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| Auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| mensagem | metadata.description |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| path | target.file.full_path |
| address | about.labels.key/value (descontinuado) additional.fields |
| terminal | about.labels.key/value (descontinuado) additional.fields |
| tempo | metadata.collected_timestamp |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
user_groups
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema user_groups e OS Linux, macOS, Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
usuários
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os usuários do esquema e o SO macOS, Linux, Windows, freebsd:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (descontinuado) additional.fields |
| gid_signed | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | principal.user.user_display_name |
| description | about.labels.key/value (descontinuado) additional.fields |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| shell | about.labels.key/value (descontinuado) additional.fields |
| uuid | principal.user.product_object_id |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| is_hidden | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
wifi_networks
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema wifi_networks e o SO macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| ssid | target.labels.key/value (descontinuado) additional.fields |
| network_name | target.labels.key/value (descontinuado) additional.fields |
| security_type | target.labels.key/value (descontinuado) additional.fields |
| last_connected | about.labels.key/value (descontinuado) additional.fields |
| ponto de acesso | about.labels.key/value (descontinuado) additional.fields |
| possibly_hidden | about.labels.key/value (descontinuado) additional.fields |
| roaming | about.labels.key/value (descontinuado) additional.fields |
| roaming_profile | about.labels.key/value (descontinuado) additional.fields |
| captive_portal | about.labels.key/value (descontinuado) additional.fields |
| auto_login | target.labels.key/value (descontinuado) additional.fields |
| temporarily_disabled | target.labels.key/value (descontinuado) additional.fields |
| desativado | target.labels.key/value (descontinuado) additional.fields |
windows_crashes
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema Windows_crashes e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| module | about.labels.key/value (descontinuado) additional.fields |
| path | target.process.file.full_path |
| pid | target.process.pid |
| maré | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
| process_uptime | about.labels.key/value (descontinuado) additional.fields |
| stack_trace | about.labels.key/value (descontinuado) additional.fields |
| exception_code | about.labels.key/value (descontinuado) additional.fields |
| exception_message | about.labels.key/value (descontinuado) additional.fields |
| exception_address | about.labels.key/value (descontinuado) additional.fields |
| se registra | about.labels.key/value (descontinuado) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (descontinuado) additional.fields |
| nome de usuário | target.user.user_display_name |
| machine_name | about.labels.key/value (descontinuado) additional.fields |
| major_version | about.labels.key/value (descontinuado) additional.fields |
| minor_version | about.labels.key/value (descontinuado) additional.fields |
| build_number | target.platform_version |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| crash_path | about.labels.key/value (descontinuado) additional.fields |
windows_eventlog
O analisador de Eventos do Windows (WinEVTLOG) mapeia esses eventos. Consulte Coletar dados de eventos do Microsoft Windows para mais informações."
windows_events
O analisador de Eventos do Windows (WinEVTLOG) mapeia esses eventos. Consulte Coletar dados de eventos do Microsoft Windows para mais informações.
windows_firewall_rules
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Windows_firewall_rules e OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | about.labels.key/value (descontinuado) additional.fields |
| app_name | target.application |
| ação | security_result.action (enum) |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| agrupamento | about.labels.key/value (descontinuado) additional.fields |
| direção | network.direction |
| protocolo | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (descontinuado) additional.fields |
| profile_domain | about.labels.key/value (descontinuado) additional.fields |
| profile_private | about.labels.key/value (descontinuado) additional.fields |
| profile_public | about.labels.key/value (descontinuado) additional.fields |
| service_name | about.labels.key/value (descontinuado) additional.fields |
windows_security_center
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Windows_security_center e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| antivírus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Windows_security_products e o SO Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tipo | about.labels.key/value (descontinuado) additional.fields |
| name | target.resource.name |
| estado | about.labels.key/value (descontinuado) additional.fields |
| state_timestamp | about.labels.key/value (descontinuado) additional.fields |
| remediation_path | about.labels.key/value (descontinuado) additional.fields |
| signatures_up_to_date | about.labels.key/value (descontinuado) additional.fields |
wmi_bios_info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema wmi_bios_info e OS Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| name | about.labels.key/value (descontinuado) additional.fields |
| valor | about.labels.key/value (descontinuado) additional.fields |
Yaara
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema yara e o SO Linux, macOS, FreeBSD e Windows:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type é mapeado para SETTING_MODIFICATION | |
| path | target.file.full_path |
| correspondências | about.labels.key/value (descontinuado) additional.fields |
| contagem | about.labels.key/value (descontinuado) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| strings | about.labels.key/value (descontinuado) additional.fields |
| tags | about.labels.key/value (descontinuado) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema yara_events e OS Linux, macOS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| categoria | about.labels.key/value (descontinuado) additional.fields |
| ação | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| correspondências | about.labels.key/value (descontinuado) additional.fields |
| contagem | about.labels.key/value (descontinuado) additional.fields |
| cordas | about.labels.key/value (descontinuado) additional.fields |
| tags | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |