OSquery-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie osquery-Logs durch Konfigurieren von osquery und eines Chronicle-Forwarders erfassen. In diesem Dokument werden auch die unterstützten Logtypen und unterstützten Osquery-Versionen aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Chronicle.
Überblick
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie OSquery-Agents und der Flottenserver so konfiguriert sind, dass Logs an Chronicle gesendet werden. Jede Kundenbereitstellung kann sich von dieser Darstellung unterscheiden und komplexer sein.
Das Architekturdiagramm enthält die folgenden Komponenten:
Linux-System: Das zu überwachende Linux-System, auf dem der osquery-Agent installiert ist
Microsoft Windows-System: Das zu überwachende Microsoft Windows-System, auf dem der Osquery-Agent installiert ist
Mac-System: Das zu überwachende Mac-System, auf dem der OSquery-Agent installiert ist
osquery-Agent: erfasst Informationen aus dem Microsoft Windows-, Linux- oder Mac-System und leitet sie an den Flottenserver weiter
Flottenserver: Überwacht und empfängt Informationen von den OSquery-Agents, analysiert die Logs und leitet sie an den Chronicle-Forwarder weiter
Chronicle-Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Chronicle weiterzuleiten.
Chronicle: Behält und analysiert die Logs des Flottenservers
Ein Aufnahmelabel identifiziert den Parser, der Log-Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel OSQUERY_EDR.
Hinweise
Flottenserver installieren. So installieren Sie den Flottenserver:
Verwenden Sie eine vom Chronicle-Parser unterstützte ChromeOS-Version 5.2.3 und 5.3.0.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Die Tabellennamen in der Flotte müssen der offiziellen Flottendokumentation entsprechen.
Osquery-Agent, -Server und Chronicle-Forwarder konfigurieren
So konfigurieren Sie den Flottenserver und den Chronicle-Forwarder:
So konfigurieren Sie den Flottenserver:
Fügen Sie dem Flottenserver Hosts hinzu und installieren Sie den Osquery-Agent. Sie können Ihren Host mit einem osquery-Installationsprogramm dem Flottenserver hinzufügen. Der Flottenserver hilft beim Generieren eines osquery-Installationsprogramms mit dem Paketbefehl „flotctl“.
- Führen Sie den Befehl „flottectl“ aus, indem Sie das Befehlszeilentool „flottectl“ installieren.
- Installieren Sie den osquery-Agent mit dem Paketbefehl „flottectl“.
Wenn Sie das generierte OSquery-Installationsprogramm auf einem Host installieren, wird der Host automatisch bei der angegebenen Flotteninstanz registriert.
Rufen Sie die Logs vom osquery-Agent ab. Informationen zum Erstellen einer Abfrage in „Flotte“ zum Abrufen der Logs finden Sie unter Abfrage erstellen. Informationen zum Planen einer Abfrage finden Sie unter Abfrage planen.
Konfigurieren Sie den Chronicle-Forwarder auf einem zentralen Linux-Gerät, um die Logs in das Chronicle-System zu übertragen. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für eine Chronicle-Forwarder-Konfiguration:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Referenz zur Feldzuordnung
In diesem Abschnitt wird erläutert, wie der Chronicle-Parser Osquery-Logfelder für das Schema und das Betriebssystem den Feldern des Chronicle Unified Data Model (UDM) zuordnet. Weitere Informationen finden Sie im osquery-Schema für Version 5.2.3 und Version 5.3.0.
account_policy_data
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „account_policy_data“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „ad_config“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | about.labels.key/value |
| Domain | target.administrative_domain |
| Option | about.labels.key |
| Wert | about.labels.value |
Allf
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „ALF“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| allow_signed_enabled | about.labels.key/value |
| firewall_unload | about.labels.key/value |
| global_state | about.labels.key/value |
| logging_enabled | about.labels.key/value |
| logging_option | about.labels.key/value |
| stealth_enabled | about.labels.key/value |
| Version | target.platform_version |
alf_exceptions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „alf_exceptions“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| state | about.labels.key/value |
alf_explicit_auths
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „alf_explicit_auths“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| process | target.process.pid |
app_schemes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „app_schemes“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Schema | about.labels.key/value |
| Handler | about.labels.key/value |
| aktiviert | about.labels.key/value |
| extern | about.labels.key/value |
| geschützt | about.labels.key/value |
apparmor_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „apparmor_events“ und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Typ | about.labels.key/value |
| nachricht | metadata.description |
| Zeit | about.labels.key/value |
| uptime | about.labels.key/value |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| Vorgang | about.labels.key/value |
| parent | target.process.parent_process.pid |
| Profil | about.labels.key/value |
| name | about.labels.key/value |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value |
| Capname | about.labels.key/value |
| Fsuid | target.user.attribute.labels.key/value |
| OID | target.user.attribute.labels.key/value |
| capability | about.labels.key/value |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value |
| Fehler | security_result.summary |
| Namespace | about.labels.key/value |
| Label | about.labels.key/value |
apparmor_profiles
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „apparmor_profiles“ und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| name | target.resource.name |
| anhängen | about.labels.key/value |
| Modus | about.labels.key/value |
| sha1 | target.file.sha1 |
Apps
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaanwendungen und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | target.application |
| Pfad | target.file.full_path |
| bundle_executable | about.labels.key/value |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value |
| Umgebung | about.labels.key/value |
| Element | about.labels.key/value |
| Compiler | about.labels.key/value |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value |
| info_string | about.labels.key/value |
| minimum_system_version | about.labels.key/value |
| category | about.labels.key/value |
| applescript_enabled | about.labels.key/value |
| Urheberrecht | about.labels.key/value |
| last_opened_time | target.file.last_seen_time |
asl
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema asl und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Zeit | about.labels.key/value |
| time_nano_sec | about.labels.key/value |
| Host | target.hostname |
| sender | about.labels.key/value |
| Einrichtung | about.labels.key/value |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value |
| nachricht | metadata.description |
| ref_pid | about.labels.key/value |
| ref_proc | about.labels.key/value |
| Zusatz | about.labels.key/value |
authentisch
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaauthentifizierung und unter Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| original_program_name | about.labels.key/value |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| Ergebnis | security_result.summary |
authorization_mechanisms
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „authorization_mechanisms“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Label | about.labels.key/value |
| plugin | about.labels.key/value |
| Verfahren | about.labels.key/value |
| privilegiert | about.labels.key/value |
| Eintrag | about.labels.key/value |
Autorisierungen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaautorisierungen und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Label | about.labels.key/value |
| geändert | about.labels.key/value |
| allow_root | about.labels.key/value |
| Zeitüberschreitung | about.labels.key/value |
| Version | about.labels.key/value |
| tries | about.labels.key/value |
| authenticate_user | about.labels.key/value |
| freigegeben | about.labels.key/value |
| comment | about.labels.key/value |
| erstellt | about.labels.key/value |
| Klasse | about.labels.key/value |
| session_owner | about.labels.key/value |
automatisch ausführen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „autoexec“ und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| name | target.application |
| source | target.resource.name |
bitlocker_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „bitlocker_info“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| Version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „bpf_process_events“ und „OS Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| tid | about.labels.key/value |
| pid | target.process.pid |
| parent | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value |
| exit_code | about.labels.key/value |
| probe_error | about.labels.key/value |
| Systemanruf | about.labels.key/value |
| Pfad | target.process.file.full_path |
| CWD | about.labels.key/value |
| cmdline | target.process.command_line |
| Dauer | about.labels.key/value |
| json_cmdline | about.labels.key/value |
| ntime | about.labels.key/value |
| Zeit | about.labels.key/value |
| eid | metadata.product_log_id |
bpf_socket_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „bpf_socket_events“ und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| tid | about.labels.key/value |
| pid | principal.process.pid |
| parent | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value |
| exit_code | about.labels.key/value |
| probe_error | about.labels.key/value |
| Systemanruf | about.labels.key/value |
| Pfad | target.file.full_path |
| fd | about.labels.key/value |
| Familie | about.labels.key/value |
| Typ | about.labels.key/value |
| Protokoll | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Dauer | about.labels.key/value |
| ntime | about.labels.key/value |
| Zeit | about.labels.key/value |
| eid | metadata.product_log_id |
Zertifikate
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemazertifikate und das Betriebssystem macOS/Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| common_name | about.labels.key/value |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value |
| self_signed | about.labels.key/value |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value |
| key_algorithm | about.labels.key/value |
| key_strength | about.labels.key/value |
| key_usage | about.labels.key/value |
| subject_key_id | about.labels.key/value |
| authority_key_id | about.labels.key/value |
| sha1 | network.tls.client.certificate.sha1 |
| Pfad | about.labels.key/value |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value |
| store_location | about.labels.key/value |
| Speicher | about.labels.key/value |
| Nutzername | principal.user.user_display_name |
| store_id | about.labels.key/value |
chassis_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „chassis_info“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| audible_alarm | about.labels.key/value |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value |
| description | metadata.description |
| schloss | about.labels.key/value |
| Hersteller | principal.asset.hardware.manufacturer |
| model | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value |
| SKU | about.labels.key/value |
| Status | about.labels.key/value |
| visible_alarm | about.labels.key/value |
chrome_extensions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „chrome_extensions“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| Profil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identifier | target.resource.attribute.labels.key/value |
| Version | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| Autor | target.resource.attribute.labels.key/value |
| persistent | target.resource.attribute.labels.key/value |
| Pfad | target.file.full_path |
| Berechtigungen | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenziert | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| Schlüssel | target.resource.attribute.labels.key/value |
Verbindung
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemakonnektivität und Betriebssystem-Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| nicht verbunden | about.labels.key/value |
| ipv4_no_traffic | about.labels.key/value |
| ipv6_no_traffic | about.labels.key/value |
| ipv4_subnet | about.labels.key/value |
| ipv4_local_network | about.labels.key/value |
| ipv4_internet | about.labels.key/value |
| ipv6_subnet | about.labels.key/value |
| ipv6_local_network | about.labels.key/value |
| ipv6_internet | about.labels.key/value |
cpu_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „cpu_info“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| device_id | principal.asset.product_object_id |
| model | principal.asset.hardware.model |
| Hersteller | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value |
| Verfügbarkeit | about.labels.key/value |
| cpu_status | about.labels.key/value |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value |
| address_width | about.labels.key/value |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value |
Abstürze
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaabstürze und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Typ | about.labels.key/value |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| crash_path | target.file.full_path |
| identifier | about.labels.key/value |
| Version | about.labels.key/value |
| parent | target.process.parent_process.pid |
| verantwortlich | about.labels.key/value |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value |
| stack_trace | about.labels.key/value |
| exception_type | about.labels.key/value |
| exception_codes | about.labels.key/value |
| exception_notes | about.labels.key/value |
| Register | about.labels.key/value |
Crontab
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Crontab“ und „OS Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| event | about.labels.key/value |
| Minute | about.labels.key/value |
| Stunde | about.labels.key/value |
| day_of_month | about.labels.key/value |
| Monat | about.labels.key/value |
| day_of_week | about.labels.key/value |
| Befehl | principal.process.command_line |
| Pfad | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value |
curl
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das curl-Schema und das Betriebssystem macOS, Linux, Windows und freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| url | network.http.referral_url |
| method | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| Byte | network.received_bytes |
| Ergebnis | about.labels.key/value |
curl_certificate
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „curl_certificate“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Hostname | principal.hostname |
| common_name | about.labels.key/value |
| Organisation | network.organization_name |
| organization_unit | about.labels.key/value |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| Version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value |
| Signatur | about.labels.key/value |
| subject_key_identifier | about.labels.key/value |
| authority_key_identifier | about.labels.key/value |
| key_usage | about.labels.key/value |
| extended_key_usage | about.labels.key/value |
| policies | about.labels.key/value |
| subject_alternative_names | about.labels.key/value |
| issuer_alternative_names | about.labels.key/value |
| info_access | about.labels.key/value |
| subject_info_access | about.labels.key/value |
| policy_mappings | about.labels.key/value |
| has_expired | about.labels.key/value |
| basic_constraint | about.labels.key/value |
| name_constraints | about.labels.key/value |
| policy_constraints | about.labels.key/value |
| dump_certificate | about.labels.key/value |
| Zeitüberschreitung | about.labels.key/value |
| pem | about.labels.key/value |
device_file
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „device_file“ und „OS Linux“, „macOS“, „freebsd“ und „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Gerät | about.labels.key/value |
| Partition | about.labels.key/value |
| Pfad | target.file.full_path |
| filename | target.file.names |
| Inode | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Modus | about.labels.key/value |
| Größe | target.file.size |
| block_size | about.labels.key/value |
| Atime | about.labels.key/value |
| Mtime | target.file.last_modification_time |
| ctime | about.labels.key/value |
| hard_links | about.labels.key/value |
| Typ | about.labels.key/value |
device_hash
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „device_hash“ und „OS Linux“, „macOS“, „freebsd“ und „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Gerät | target.file.full_path |
| Partition | about.labels.key/value |
| Inode | about.labels.key/value |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema disk_info und OS Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Partitionen | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| Typ | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value |
| disk_size | principal.asset.attribute.labels.key/value |
| Hersteller | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „dns_cache“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | network.dns.additional.name |
| Typ | about.labels.key/value |
| flags | about.labels.key/value |
dns_resolvers
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „dns_resolvers“ und „OS Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | about.labels.key/value |
| Typ | about.labels.key/value |
| adresse | principal.ip |
| Netzmaske | about.labels.key/value |
| Options | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
docker_container_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_networks“ und „OS Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value |
| endpoint_id | about.labels.key/value |
| Gateway | about.labels.key/value |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value |
| ipv6_gateway | about.labels.key/value |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value |
| mac_address | target.mac |
docker_container_ports
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_ports“ und „OS Linux, macOS, Freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.asset.product_object_id |
| Typ | network.ip_protocol |
| Port | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_processes“ und „OS Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Euid | target.user.attribute.labels.key/value |
| Egid | target.group.attribute.labels.key/value |
| Suid | target.user.attribute.labels.key/value |
| SGID | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value |
| resident_size | about.labels.key/value |
| total_size | about.labels.key/value |
| start_time | about.labels.key/value |
| parent | target.process.parent_process.pid |
| PGruppe | about.labels.key/value |
| Threads | about.labels.key/value |
| schön | about.labels.key/value |
| Nutzer | target.user.user_display_name |
| Zeit | about.labels.key/value |
| cpu | about.labels.key/value |
| mem | about.labels.key/value |
docker_container_stats
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_stats“ und „OS Linux, macOS, Freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| PIDs | about.labels.key/value |
| read | about.labels.key/value |
| Vorgelesen | about.labels.key/value |
| interval | about.labels.key/value |
| disk_read | about.labels.key/value |
| disk_write | about.labels.key/value |
| num_procs | about.labels.key/value |
| cpu_total_usage | about.labels.key/value |
| cpu_kernelmode_usage | about.labels.key/value |
| cpu_usermode_usage | about.labels.key/value |
| system_cpu_usage | about.labels.key/value |
| online_cpus | about.labels.key/value |
| pre_cpu_total_usage | about.labels.key/value |
| pre_cpu_kernelmode_usage | about.labels.key/value |
| pre_cpu_usermode_usage | about.labels.key/value |
| pre_system_cpu_usage | about.labels.key/value |
| pre_online_cpus | about.labels.key/value |
| memory_usage | about.labels.key/value |
| memory_max_usage | about.labels.key/value |
| memory_limit | about.labels.key/value |
| network_rx_bytes | about.labels.key/value |
| network_tx_bytes | about.labels.key/value |
docker_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_info“ und „OS Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.resource.product_object_id |
| containers | about.labels.key/value |
| containers_running | about.labels.key/value |
| containers_paused | about.labels.key/value |
| containers_stopped | about.labels.key/value |
| images | about.labels.key/value |
| storage_driver | about.labels.key/value |
| memory_limit | about.labels.key/value |
| swap_limit | about.labels.key/value |
| kernel_memory | about.labels.key/value |
| cpu_cfs_period | about.labels.key/value |
| cpu_cfs_quota | about.labels.key/value |
| cpu_shares | about.labels.key/value |
| cpu_set | about.labels.key/value |
| ipv4_forwarding | about.labels.key/value |
| bridge_nf_iptables | about.labels.key/value |
| bridge_nf_ip6tables | about.labels.key/value |
| oom_kill_disable | about.labels.key/value |
| logging_driver | about.labels.key/value |
| cgroup_driver | about.labels.key/value |
| kernel_version | about.labels.key/value |
| os | about.labels.key/value |
| os_type | target.platform(enum) |
| Architektur | about.labels.key/value |
| cpus | about.labels.key/value |
| Arbeitsspeicher | about.labels.key/value |
| http_proxy | about.labels.key/value |
| https_proxy | about.labels.key/value |
| no_proxy | about.labels.key/value |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_network_labels“ und „OS Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.resource.product_object_id |
| Schlüssel | target.resource.attribute.labels.key/value |
| Wert | about.labels.key/value |
docker_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_networks“ und „OS Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| id | target.resource.product_object_id |
| name | about.labels.key/value |
| Fahrer | about.labels.key/value |
| erstellt | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value |
| Subnetz | about.labels.key/value |
| Gateway | about.labels.key/value |
ec2_instance_metadata
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „ec2_instance_metadata“ und „OS macOS, Linux, Windows, Freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value |
| Architektur | about.labels.key/value |
| Region | target.location.country_or_region |
| availability_zone | about.labels.key/value |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value |
| iam_arn | about.labels.key/value |
| ami_id | about.labels.key/value |
| reservation_id | about.labels.key/value |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value |
es_process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema es_process_events und OS macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Version | target.platform_version |
| seq_num | about.labels.key/value |
| global_seq_num | about.labels.key/value |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value |
| env | about.labels.key/value |
| env_count | about.labels.key/value |
| CWD | about.labels.key/value |
| uid | target.user.userid |
| Euid | about.labels.key/value |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value |
| Nutzername | target.user.user_display_name |
| signing_id | about.labels.key/value |
| team_id | about.labels.key/value |
| Cdhash | about.labels.key/value |
| platform_binary | about.labels.key/value |
| exit_code | about.labels.key/value |
| child_pid | about.labels.key/value |
| Zeit | about.labels.key/value |
| event_type | about.labels.key/value |
| eid | metadata.product_log_id |
etc_hosts
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema etc_hosts und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| adresse | target.ip |
| Hostnamen | about.hostname |
| pid_with_namespace | about.labels.key/value |
etc_protocols
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema etc_protocols und für das Betriebssystem macOS, Linux, Windows und freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | network.ip_protocol |
| Zahl | about.labels.key/value |
| Alias | about.labels.key/value |
| comment | about.labels.key/value |
etc_services
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema etc_services und das Betriebssystem macOS, Linux, Windows und freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | target.resource.name |
| Port | target.port |
| Protokoll | network.ip_protocol |
| aliases | about.labels.key/value |
| comment | about.labels.key/value |
Datei
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemadefinition und die Betriebssysteme macOS, Linux, Windows und freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| Verzeichnis | about.labels.key/value |
| filename | target.file.names |
| Inode | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Modus | about.labels.key/value |
| Gerät | target.asset.asset_id |
| Größe | target.file.size |
| block_size | about.labels.key/value |
| Atime | target.file.last_seen_time |
| Mtime | target.file.last_modification_time |
| ctime | about.labels.key/value |
| Btime | about.labels.key/value |
| hard_links | about.labels.key/value |
| Symlink | about.labels.key/value |
| Typ | about.labels.key/value |
| Attribute | about.labels.key/value |
| volume_serial | about.labels.key/value |
| file_id | about.labels.key/value |
| file_version | about.labels.key/value |
| product_version | about.labels.key/value |
| bsd_flags | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
file_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „file_events“ und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Vorgang | about.labels.key/value |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| Zeit | about.labels.key/value |
| Ausführbar | about.labels.key/value |
| parteiisch | about.labels.key/value |
| CWD | about.labels.key/value |
| Pfad | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| AID | about.labels.key/value |
| Euid | about.labels.key/value |
| Egid | about.labels.key/value |
| Fsuid | about.labels.key/value |
| FSGID | about.labels.key/value |
| Suid | about.labels.key/value |
| SGID | about.labels.key/value |
| uptime | about.labels.key/value |
| eid | metadata.product_log_id |
gatekeeper
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Schema-Gatekeeper und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| assessments_enabled | about.labels.key/value |
| dev_id_enabled | about.labels.key/value |
| Version | target.asset.software.version |
| opaque_version | about.labels.key/value |
gatekeeper_approved_apps
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „gatekeeper_ approved_apps“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| Anforderung | about.labels.key/value |
| ctime | about.labels.key/value |
| Mtime | target.resource.attribute.last_update_time |
Gruppen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemagruppen und Betriebssysteme (macOS, Linux, Windows, freebsd) aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| Gruppenname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| comment | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „hardware_events“ und „OS Linux“ und „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Aktion | security_result.action_details |
| Pfad | target.asset.attribute.labels.key/value |
| Typ | target.asset.attribute.labels.key/value |
| Fahrer | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| model | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| Revision | target.asset.attribute.labels.key/value |
| Zeit | metadata.event_timestamp |
| eid | metadata.product_log_id |
Hash
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Schema-Hash sowie unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| Verzeichnis | about.labels.key/value |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
interface_addresses
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „interface_addresses“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Oberfläche | about.labels.key/value |
| adresse | target.ip |
| maskieren | about.labels.key/value |
| übertragung | about.labels.key/value |
| point_to_point | about.labels.key/value |
| Typ | about.labels.key/value |
| friendly_name | about.labels.key/value |
interface_details
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „interface_details“ und für OS macOS, Linux, Windows und freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Oberfläche | about.labels.key/value |
| mac | target.mac |
| Typ | about.labels.key/value |
| mtu | about.labels.key/value |
| Messwert | about.labels.key/value |
| flags | about.labels.key/value |
| ipackets | about.labels.key/value |
| opackets | about.labels.key/value |
| iBytes | network.sent_bytes |
| Obyte | network.received_bytes |
| Ierrors | about.labels.key/value |
| Fehler | about.labels.key/value |
| Idrops | about.labels.key/value |
| Tropfen | about.labels.key/value |
| Kollisionen | about.labels.key/value |
| last_change | about.labels.key/value |
| link_speed | about.labels.key/value |
| pci_slot | about.labels.key/value |
| friendly_name | about.labels.key/value |
| description | about.labels.key/value |
| Hersteller | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value |
| connection_status | about.labels.key/value |
| aktiviert | about.labels.key/value |
| physical_adapter | about.labels.key/value |
| Geschwindigkeit | about.labels.key/value |
| Dienst | target.application |
| dhcp_enabled | about.labels.key/value |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value |
| dns_host_name | about.labels.key/value |
| dns_server_search_order | about.labels.key/value |
interface_ipv6
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „interface_ipv6“ und „OS Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Oberfläche | about.labels.key/value |
| hop_limit | about.labels.key/value |
| forwarding_enabled | about.labels.key/value |
| redirect_accept | about.labels.key/value |
| rtadv_accept | about.labels.key/value |
iptables
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema iptables und OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| filter_name | about.labels.key/value |
| Kette | about.labels.key/value |
| policy | about.labels.key/value |
| target | about.labels.key/value |
| Protokoll | about.labels.key/value |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value |
| Iniface | about.labels.key/value |
| iniface_mask | about.labels.key/value |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value |
| Outiface | about.labels.key/value |
| outiface_mask | about.labels.key/value |
| Übereinstimmung | about.labels.key/value |
| Pakete | about.labels.key/value |
| Byte | network.received_bytes |
kernel_panics
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Kernel_panics“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| Zeit | about.labels.key/value |
| Register | about.labels.key/value |
| frame_backtrace | about.labels.key/value |
| module_backtrace | about.labels.key/value |
| Abhängigkeit | about.labels.key/value |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value |
| system_model | target.asset.hardware.model |
| uptime | about.labels.key/value |
| last_loaded | about.labels.key/value |
| last_unloaded | about.labels.key/value |
keychain_acls
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „keychain_acls“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| keychain_path | about.labels.key/value |
| Autorisierungen | about.labels.key/value |
| Pfad | target.file.full_path |
| description | metadata.description |
| Label | about.labels.key/value |
known_hosts
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema known_hosts und OS Linux, macOS, freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| uid | target.user.userid |
| Schlüssel | about.labels.key/value |
| key_file | target.file.full_path |
letzten
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „last“ und „OS Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Nutzername | target.user.user_display_name |
| tty | about.labels.key/value |
| pid | target.process.pid |
| Typ | about.labels.key/value |
| type_name | about.labels.key/value |
| Zeit | about.labels.key/value |
| Host | target.hostname |
listening_ports
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „monitoring_ports“ und „OS macOS, Linux, Windows, Freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| pid | target.process.pid |
| Port | target.port |
| Protokoll | network.ip_protocol |
| Familie | about.labels.key/value |
| adresse | target.ip |
| fd | about.labels.key/value |
| Socket | about.labels.key/value |
| Pfad | target.process.file.full_path |
| net_namespace | about.labels.key/value |
logged_in_users
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „logged_in_users“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Typ | about.labels.key/value |
| Nutzer | target.user.userid |
| tty | about.labels.key/value |
| Host | target.hostname |
| Zeit | about.labels.key/value |
| pid | target.process.pid |
| sid | about.labels.key/value |
| registry_hive | about.labels.key/value |
logon_sessions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „logon_sessions“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| logon_id | about.labels.key/value |
| Nutzer | target.user.user_display_name |
| logon_domain | about.labels.key/value |
| authentication_package | about.labels.key/value |
| logon_type | about.labels.key/value |
| session_id | network.session_id |
| logon_sid | about.labels.key/value |
| logon_time | about.labels.key/value |
| logon_server | about.labels.key/value |
| dns_domain_name | network.dns_domain |
| Upn | about.labels.key/value |
| logon_script | about.labels.key/value |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value |
| home_directory_drive | about.labels.key/value |
lxd_certificates
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „lxd_certificates“ und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | security_result.detection_fields.key/value |
| Typ | security_result.detection_fields.key/value |
| Fingerprint | security_result.detection_fields.key/value |
| Zertifikat | security_result.detection_fields.key/value |
lxd_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „lxd_networks“ und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | about.labels.key/value |
| Typ | about.labels.key/value |
| managed | about.labels.key/value |
| ipv4_address | about.labels.key/value |
| ipv6_address | about.labels.key/value |
| used_by | about.labels.key/value |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value |
| packets_sent | about.labels.key/value |
| hwaddr | about.labels.key/value |
| state | about.labels.key/value |
| mtu | about.labels.key/value |
managed_policies
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „managed_policies“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Domain | target.administrative_domain |
| uuid | about.labels.key/value |
| name | about.labels.key/value |
| Wert | about.labels.key/value |
| Nutzername | target.user.user_display_name |
| Manuell | about.labels.key/value |
memory_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „memory_devices“ und „OS Linux, macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Handle (der) | about.labels.key/value |
| array_handle | about.labels.key/value |
| form_factor | about.labels.key/value |
| total_width | about.labels.key/value |
| data_width | about.labels.key/value |
| Größe | about.labels.key/value |
| set | about.labels.key/value |
| device_locator | about.labels.key/value |
| bank_locator | about.labels.key/value |
| memory_type | about.labels.key/value |
| memory_type_details | about.labels.key/value |
| max_speed | about.labels.key/value |
| configured_clock_speed | about.labels.key/value |
| Hersteller | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value |
| min_voltage | about.labels.key/value |
| max_voltage | about.labels.key/value |
| configured_voltage | about.labels.key/value |
ntdomains
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schema-ntdomains und Betriebssystem-Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | about.labels.key/value |
| client_site_name | about.labels.key/value |
| dc_site_name | about.labels.key/value |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value |
| domain_name | target.administrative_domain |
| Status | about.labels.key/value |
ntfs_acl_permissions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „ntfs_acl_permissions“ und „OS Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| Typ | about.labels.key/value |
| Hauptkonto | about.labels.key/value |
| access | about.labels.key/value |
| inherited_from | about.labels.key/value |
os_version
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „os_version“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | about.labels.key/value |
| Version | principal.platform_version |
| groß | about.labels.key/value |
| geringfügig | about.labels.key/value |
| patch | principal.platform_patch_level |
| Build | about.labels.key/value |
| Plattform | principal.platform |
| platform_like | about.labels.key/value |
| Codename | about.labels.key/value |
| arch | about.labels.key/value |
| install_date | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
osquery_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „osquery_events“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | target.resource.name |
| Publisher | about.label.key/value |
| Typ | about.label.key/value |
| Abos | about.label.key/value |
| Ereignisse | about.label.key/value |
| refreshes | about.label.key/value |
| Aktiv | about.label.key/value |
Patches
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schema-Patches und unter Betriebssystem-Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| CSName | target.hostname |
| hotfix_id | about.labels.key/value |
| Titel | about.labels.key/value |
| description | metadata.description |
| fix_comments | about.labels.key/value |
| installed_by | about.labels.key/value |
| install_date | about.labels.key/value |
| installed_on | about.labels.key/value |
pci_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „pci_devices“ und „OS Linux“, „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| pci_slot | principal.labels.key/value |
| pci_class | principal.labels.key/value |
| Fahrer | principal.labels.key/value |
| vendor | principal.labels.key/value |
| vendor_id | principal.labels.key/value |
| model | principal.asset.hardware.model |
| model_id | principal.labels.key/value |
| Subsystem | principal.labels.key/value |
| Express | principal.labels.key/value |
| Thunderbolt | principal.labels.key/value |
| Wechsel | principal.labels.key/value |
| pci_class_id | principal.labels.key/value |
| pci_subclass_id | principal.labels.key/value |
| pci_subclass | principal.labels.key/value |
| subsystem_vendor_id | principal.labels.key/value |
| subsystem_vendor | principal.labels.key/value |
| subsystem_model_id | principal.labels.key/value |
| subsystem_model | principal.labels.key/value |
Pipes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schema-Pipes und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| pid | target.process.pid |
| name | target.resource.name |
| instances | about.labels.key/value |
| max_instances | about.labels.key/value |
| flags | about.labels.key/value |
powershell_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „powershell_events“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Zeit | metadata.collected_timestamp |
| datetime | about.labels.key/value |
| script_block_id | about.labels.key/value |
| script_block_count | about.labels.key/value |
| script_text | about.labels.key/value |
| script_name | about.labels.key/value |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value |
process_envs
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_envs“ und „OS Linux“, „macOS“ und „freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| pid | target.process.pid |
| Schlüssel | about.labels.key |
| Wert | about.labels.value |
process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_events“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Version | target.platform_version |
| seq_num | about.labels.key/value |
| global_seq_num | about.labels.key/value |
| pid | target.process.pid |
| Pfad | target.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value |
| env | about.labels.key/value |
| env_count | about.labels.key/value |
| CWD | about.labels.key/value |
| uid | target.user.userid |
| Euid | about.labels.key/value |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value |
| Nutzername | target.user.user_display_name |
| signing_id | about.labels.key/value |
| team_id | about.labels.key/value |
| Cdhash | about.labels.key/value |
| platform_binary | about.labels.key/value |
| exit_code | about.labels.key/value |
| child_pid | about.labels.key/value |
| Zeit | about.labels.key/value |
| event_type | about.labels.key/value |
| eid | about.labels.key/value |
process_file_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_file_events“ und „OS Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Vorgang | about.labels.key/value |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| Zeit | about.labels.key/value |
| Ausführbar | about.labels.key/value |
| parteiisch | about.labels.key/value |
| CWD | about.labels.key/value |
| Pfad | target.file.full_path |
| dest_path | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| AID | about.labels.key/value |
| Euid | about.labels.key/value |
| Egid | about.labels.key/value |
| Fsuid | about.labels.key/value |
| FSGID | about.labels.key/value |
| Suid | about.labels.key/value |
| SGID | about.labels.key/value |
| uptime | about.labels.key/value |
| eid | metadata.product_log_id |
process_open_sockets
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_open_sockets“ und „OS macOS, Linux, Windows, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| pid | principal.process.pid |
| fd | about.labels.key/value |
| Socket | about.labels.key/value |
| Familie | about.labels.key/value |
| Protokoll | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Pfad | target.file.full_path |
| state | about.labels.key/value |
| net_namespace | about.labels.key/value |
Verfahren
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaprozesse sowie unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| pid | target.process.pid |
| name | about.labels.key/value |
| Pfad | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| CWD | about.labels.key/value |
| root | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Euid | about.labels.key/value |
| Egid | about.labels.key/value |
| Suid | about.labels.key/value |
| SGID | about.labels.key/value |
| on_disk | about.labels.key/value |
| wired_size | about.labels.key/value |
| resident_size | about.labels.key/value |
| total_size | about.labels.key/value |
| user_time | about.labels.key/value |
| system_time | about.labels.key/value |
| disk_bytes_read | about.labels.key/value |
| disk_bytes_written | about.labels.key/value |
| start_time | about.labels.key/value |
| parent | target.process.parent_process.pid |
| PGruppe | about.labels.key/value |
| Threads | about.labels.key/value |
| schön | about.labels.key/value |
| elevated_token | about.labels.key/value |
| secure_process | about.labels.key/value |
| protection_type | about.labels.key/value |
| virtual_process | about.labels.key/value |
| elapsed_time | about.labels.key/value |
| handle_count | about.labels.key/value |
| percent_processor_time | about.labels.key/value |
| Upid | about.labels.key/value |
| schwein | about.labels.key/value |
| cpu_type | about.labels.key/value |
| cpu_subtype | about.labels.key/value |
Programme
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaprogramme und Betriebssystem-Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | target.resource.name |
| Version | target.platform_version |
| install_location | about.labels.key/value |
| install_source | about.labels.key/value |
| language | about.labels.key/value |
| Publisher | about.labels.key/value |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value |
| identifying_number | about.labels.key/value |
scheduled_tasks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „schedule_tasks“ und „OS Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | target.resource.name |
| Aktion | security_result.action_details |
| Pfad | target.file.full_path |
| aktiviert | about.labels.key/value |
| state | about.labels.key/value |
| hidden | about.labels.key/value |
| last_run_time | about.labels.key/value |
| next_run_time | about.labels.key/value |
| last_run_message | about.labels.key/value |
| last_run_code | about.labels.key/value |
seccomp_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „seccomp_events“ und „OS Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Zeit | about.labels.key/value |
| uptime | about.labels.key/value |
| AID | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value |
| pid | target.process.pid |
| comm | about.labels.key/value |
| exe | target.file.full_path |
| sig | about.labels.key/value |
| arch | about.labels.key/value |
| Systemanruf | about.labels.key/value |
| compat | about.labels.key/value |
| ip | about.labels.key/value |
| Code | about.labels.key/value |
seLinux_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „seLinux_events“ und „OS Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Typ | about.labels.key/value |
| nachricht | metadata.description |
| Zeit | about.labels.key/value |
| uptime | about.labels.key/value |
| eid | metadata.product_log_id |
shadow
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Schemaschatten und unter OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| password_status | about.labels.key/value |
| hash_alg | about.labels.key/value |
| last_change | about.labels.key/value |
| Min. | about.labels.key/value |
| Max. | about.labels.key/value |
| Warnung | about.labels.key/value |
| Inaktiv | about.labels.key/value |
| ablaufen | about.labels.key/value |
| Flag | about.labels.key/value |
| Nutzername | principal.user.user_display_name |
shell_history
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „shell_history“ und „OS Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| uid | principal.user.userid |
| Zeit | about.labels.key/value |
| Befehl | principal.process.command_line |
| history_file | principal.process.file.full_path |
Shimcache
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema Shimcache und Betriebssystem-Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Eintrag | about.labels.key/value |
| Pfad | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value |
Signatur
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemasignatur und für das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| hash_resources | about.labels.key/value |
| arch | about.labels.key/value |
| signiert | target.file.pe_file.signature_info.verified |
| identifier | target.file.pe_file.signature_info.signer |
| Cdhash | about.labels.key/value |
| team_identifier | about.labels.key/value |
| authority | about.labels.key/value |
sip_config
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „sip_config“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| config_flag | about.labels.key/value |
| aktiviert | about.labels.key/value |
| enabled_nvram | about.labels.key/value |
socket_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Socket_events“ und „OS Linux“ und „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Aktion | security_result.action_details |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| fd | about.labels.key/value |
| AID | target.user.userid |
| Status | about.labels.key/value |
| Familie | about.labels.key/value |
| Protokoll | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Socket | about.labels.key/value |
| Zeit | about.labels.key/value |
| uptime | about.labels.key/value |
| eid | metadata.product_log_id |
| Erfolgreich | about.labels.key/value |
Sudo-Nutzer
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schema-sudoers und für OS Linux, macOS, Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| source | about.labels.key/value |
| Header | about.labels.key/value |
| rule_details | about.labels.key/value |
syslog_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „syslog_events“ und „OS Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Zeit | about.labels.key/value |
| datetime | about.labels.key/value |
| Host | target.hostname |
| Schweregrad | security_result.severity (Enum) |
| Einrichtung | about.labels.key/value |
| Tag | about.labels.key/value |
| nachricht | about.labels.key/value |
| eid | metadata.product_log_id |
system_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „system_info“ und „OS macOS, Linux, Windows und freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Hostname | principal.administrative_domain |
| uuid | about.labels.key/value |
| cpu_type | about.labels.key/value |
| cpu_subtype | about.labels.key/value |
| cpu_brand | about.labels.key/value |
| cpu_physical_cores | about.labels.key/value |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value |
| physical_memory | about.labels.key/value |
| hardware_vendor | about.labels.key/value |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value |
| board_model | about.labels.key/value |
| board_version | about.labels.key/value |
| board_serial | about.labels.key/value |
| computer_name | about.labels.key/value |
| local_hostname | about.labels.key/value |
tpm_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „tpm_info“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Aktiviert | about.labels.key/value |
| aktiviert | about.labels.key/value |
| Gehört dir | about.labels.key/value |
| manufacturer_version | about.labels.key/value |
| manufacturer_id | about.labels.key/value |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value |
| spec_version | about.labels.key/value |
usb_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „usb_devices“ und „OS Linux, macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| usb_address | about.labels.key/value |
| usb_port | about.labels.key/value |
| vendor | about.labels.key/value |
| vendor_id | about.labels.key/value |
| Version | about.labels.key/value |
| model | target.asset.hardware.model |
| model_id | about.labels.key/value |
| serial | target.asset.hardware.serial_number |
| Klasse | about.labels.key/value |
| abgeleitete Klasse | about.labels.key/value |
| Protokoll | about.labels.key/value |
| Wechsel | about.labels.key/value |
user_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „user_events“ und „OS Linux, macOS, freebsd“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| uid | principal.user.userid |
| AID | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| nachricht | metadata.description |
| Typ | about.labels.key/value |
| Pfad | target.file.full_path |
| adresse | about.labels.key/value |
| Terminal | about.labels.key/value |
| Zeit | metadata.collected_timestamp |
| uptime | about.labels.key/value |
| eid | metadata.product_log_id |
user_groups
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „user_groups“ und „OS Linux, macOS, Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
Nutzer
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemanutzer und das Betriebssystem macOS, Linux, Windows und freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value |
| gid_signed | about.labels.key/value |
| Nutzername | principal.user.user_display_name |
| description | about.labels.key/value |
| Verzeichnis | about.labels.key/value |
| shell | about.labels.key/value |
| uuid | principal.user.product_object_id |
| Typ | about.labels.key/value |
| is_hidden | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
wifi_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „wifi_networks“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Ssid | target.labels.key/value |
| network_name | target.labels.key/value |
| security_type | target.labels.key/value |
| last_connected | about.labels.key/value |
| Passpoint | about.labels.key/value |
| possibly_hidden | about.labels.key/value |
| Roaming | about.labels.key/value |
| roaming_profile | about.labels.key/value |
| captive_portal | about.labels.key/value |
| auto_login | target.labels.key/value |
| temporarily_disabled | target.labels.key/value |
| deaktiviert | target.labels.key/value |
windows_crashes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_crashes“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| datetime | about.labels.key/value |
| module | about.labels.key/value |
| Pfad | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value |
| Version | about.labels.key/value |
| process_uptime | about.labels.key/value |
| stack_trace | about.labels.key/value |
| exception_code | about.labels.key/value |
| exception_message | about.labels.key/value |
| exception_address | about.labels.key/value |
| Register | about.labels.key/value |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value |
| Nutzername | target.user.user_display_name |
| machine_name | about.labels.key/value |
| major_version | about.labels.key/value |
| minor_version | about.labels.key/value |
| build_number | target.platform_version |
| Typ | about.labels.key/value |
| crash_path | about.labels.key/value |
windows_eventlog
Der Windows-Ereignis-Parser (WINEVTLOG) ordnet diese Ereignisse zu. Weitere Informationen finden Sie unter Microsoft Windows-Ereignisdaten erfassen.“
windows_events
Der Windows-Ereignis-Parser (WINEVTLOG) ordnet diese Ereignisse zu. Weitere Informationen finden Sie unter Microsoft Windows-Ereignisdaten erfassen.
windows_firewall_rules
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_firewall_rules“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | about.labels.key/value |
| app_name | target.application |
| Aktion | security_result.action (Enum) |
| aktiviert | about.labels.key/value |
| Gruppierung | about.labels.key/value |
| direction | network.direction |
| Protokoll | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value |
| profile_domain | about.labels.key/value |
| profile_private | about.labels.key/value |
| profile_public | about.labels.key/value |
| service_name | about.labels.key/value |
windows_security_center
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_security_center“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Firewall | security_result.detection_fields.key/value |
| automatisches Update | security_result.detection_fields.key/value |
| Antivirenprogramm | security_result.detection_fields.key/value |
| Antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_security_products“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Typ | about.labels.key/value |
| name | target.resource.name |
| state | about.labels.key/value |
| state_timestamp | about.labels.key/value |
| remediation_path | about.labels.key/value |
| signatures_up_to_date | about.labels.key/value |
wmi_bios_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „wmi_bios_info“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| name | about.labels.key/value |
| Wert | about.labels.key/value |
Yara
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „yara“ und „OS Linux“, „macOS“, „freebsd“ und „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| Pfad | target.file.full_path |
| Übereinstimmungen | about.labels.key/value |
| Anzahl | about.labels.key/value |
| sig_group | security_result.detection_fields.key/value |
| Sigfile | security_result.detection_fields.key/value |
| Sigrule | security_result.detection_fields.key/value |
| Strings | about.labels.key/value |
| Tags | about.labels.key/value |
| Sigurl | security_result.detection_fields.key/value |
yara_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „yara_events“ und „OS Linux, macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| „metadata.event_type“ ist „SETTING_MODIFICATION“ zugeordnet. | |
| target_path | target.file.full_path |
| category | about.labels.key/value |
| Aktion | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| Übereinstimmungen | about.labels.key/value |
| Anzahl | about.labels.key/value |
| Strings | about.labels.key/value |
| Tags | about.labels.key/value |
| Zeit | about.labels.key/value |
| eid | metadata.product_log_id |