Recopila registros de ChromeOS
En este documento, se describe cómo puedes recopilar registros de ChromeOS a través de la configuración de este y un servidor de reenvío de Chronicle. También se enumeran los tipos de registros y las versiones de osquery compatibles.
Para obtener más información, consulta Transferencia de datos a Chronicle.
Descripción general
En el siguiente diagrama de arquitectura de implementación, se muestra cómo están configurados los agentes de osquery y el servidor de flota para enviar registros a Chronicle. Cada implementación del cliente puede diferir de esta representación y puede ser más compleja.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Sistema Linux: Es el sistema Linux que se supervisará en el que está instalado el agente de osquery.
Sistema Microsoft Windows: El sistema Microsoft Windows que se supervisará en el que está instalado el agente de osquery
Sistema Mac: El sistema Mac que se supervisará en el que está instalado el agente de osquery
Agente osquery: Recopila información del sistema de Microsoft Windows, Linux o Mac y la reenvía al servidor de la flota
Servidor de flota: Supervisa y recibe información de los agentes de OSquery, analiza los registros y los reenvía al servidor de reenvío de Chronicle.
Reenvía de Chronicle: Es un componente de software ligero que se implementa en la red del cliente para reenviar los registros a Chronicle.
Chronicle: Retiene y analiza los registros del servidor de la flota
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado de UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia OSQUERY_EDR.
Antes de comenzar
Instala el servidor de flota. Para instalar el servidor de flota, haz lo siguiente:
Usa una versión de osquery compatible con el analizador de Chronicle, es decir, 5.2.3 y 5.3.0.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Asegurarse de que los nombres de las tablas de la flota cumplan con la documentación oficial de la flota.
Configura el agente de osquery, el servidor y el servidor de reenvío de Chronicle
Para configurar el servidor de flota y el servidor de reenvío de Chronicle, haz lo siguiente:
Para configurar el servidor de flota, haz lo siguiente:
Agrega hosts al servidor de la flota y, luego, instala el agente de osquery. Puedes agregar tu host al servidor de flota con un instalador de osquery. El servidor de flota ayuda a generar un instalador de Osquery con el comando bundlectl de paquete.
- Ejecuta el comando del paquete de poolctl mediante la instalación de la herramienta de línea de comandos de poolctl.
- Instala el agente de osquery con el comando poolctl.
Cuando instalas el instalador de osquery generado en un host, este se inscribe automáticamente en la instancia de flota especificada.
Recuperar los registros del agente de osquery Si quieres crear una consulta en la flota para recuperar los registros, consulta Crea una consulta. Si quieres programar una, visita Programa una consulta.
Configura el servidor de reenvío de Chronicle en un dispositivo central Linux para enviar los registros al sistema de Chronicle. Para obtener más información, visita Cómo instalar y configurar el servidor de reenvío en Linux. A continuación, se muestra un ejemplo de una configuración de servidor de reenvío de Chronicle:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Referencia de asignación de campos
En esta sección, se explica cómo el analizador de Chronicle asigna los campos de registro de osquery a los campos de Chronicle Unified Data Model (UDM) para el esquema y el sistema operativo. Para obtener más información, consulta el esquema de osquery para la versión 5.2.3 y la versión 5.3.0.
account_policy_data
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema account_policy_data y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema ad_config y a macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | about.labels.key/value |
| dominio | target.administrative_domain |
| opción | about.labels.key |
| valor | about.labels.value |
ELF
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el alf de esquema y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value |
| firewall_unload | about.labels.key/value |
| global_state | about.labels.key/value |
| logging_enabled | about.labels.key/value |
| logging_option | about.labels.key/value |
| stealth_enabled | about.labels.key/value |
| versión | target.platform_version |
alf_exceptions
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema alf_exceptions y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| state | about.labels.key/value |
alf_explicit_auths
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema alf_ Active_auths y OS para macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| inversa | target.process.pid |
app_schemes
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema app_schemes y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| esquema | about.labels.key/value |
| handler | about.labels.key/value |
| habilitada | about.labels.key/value |
| externa | about.labels.key/value |
| protegido | about.labels.key/value |
apparmor_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema apparmor_events y SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Tipo | about.labels.key/value |
| message | metadata.description |
| hora | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| operación | about.labels.key/value |
| parent | target.process.parent_process.pid |
| perfil | about.labels.key/value |
| name | about.labels.key/value |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value |
| nombre capit | about.labels.key/value |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capability | about.labels.key/value |
| requested_mask | target.process.access_mask |
| información | about.labels.key/value |
| error | security_result.summary |
| espacio de nombres | about.labels.key/value |
| etiqueta | about.labels.key/value |
apparmor_profiles
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema apparmor_profiles y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| name | target.resource.name |
| conectar | about.labels.key/value |
| Standard | about.labels.key/value |
| sha1 | target.file.sha1 |
de Google Chat
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes a las apps de esquema y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | target.application |
| ruta de acceso | target.file.full_path |
| bundle_executable | about.labels.key/value |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value |
| de producción | about.labels.key/value |
| elemento | about.labels.key/value |
| compilador | about.labels.key/value |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value |
| info_string | about.labels.key/value |
| minimum_system_version | about.labels.key/value |
| category | about.labels.key/value |
| applescript_enabled | about.labels.key/value |
| derechos de autor | about.labels.key/value |
| last_opened_time | target.file.last_seen_time |
asl
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema ASL y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| hora | about.labels.key/value |
| time_nano_sec | about.labels.key/value |
| host | target.hostname |
| remitente | about.labels.key/value |
| instalación | about.labels.key/value |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value |
| message | metadata.description |
| ref_pid | about.labels.key/value |
| ref_proc | about.labels.key/value |
| extra | about.labels.key/value |
auténtico
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la autenticación de esquema y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| original_program_name | about.labels.key/value |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| Resultado | security_result.summary |
authorization_mechanisms
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes a Schema Authorization_mechanisms y OS macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| etiqueta | about.labels.key/value |
| plugin | about.labels.key/value |
| mecanismo | about.labels.key/value |
| con privilegios | about.labels.key/value |
| entry. | about.labels.key/value |
autorizaciones
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las autorizaciones de esquema y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| etiqueta | about.labels.key/value |
| modificados | about.labels.key/value |
| allow_root | about.labels.key/value |
| tiempo de espera agotado | about.labels.key/value |
| versión | about.labels.key/value |
| tries | about.labels.key/value |
| authenticate_user | about.labels.key/value |
| compartidos | about.labels.key/value |
| comentario | about.labels.key/value |
| created | about.labels.key/value |
| clase | about.labels.key/value |
| session_owner | about.labels.key/value |
ejecución automática
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la ejecución automática del esquema y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| name | target.application |
| source | target.resource.name |
bitlocker_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema bitlocker_info y Windows del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| versión | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema bpf_process_events y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| tid | about.labels.key/value |
| pid | target.process.pid |
| parent | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value |
| exit_code | about.labels.key/value |
| probe_error | about.labels.key/value |
| llamada de sistema | about.labels.key/value |
| ruta de acceso | target.process.file.full_path |
| CWD | about.labels.key/value |
| cmdline | target.process.command_line |
| duration | about.labels.key/value |
| json_cmdline | about.labels.key/value |
| ntime | about.labels.key/value |
| hora | about.labels.key/value |
| eid | metadata.product_log_id |
bpf_socket_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema bpf_socket_events y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| tid | about.labels.key/value |
| pid | principal.process.pid |
| parent | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value |
| exit_code | about.labels.key/value |
| probe_error | about.labels.key/value |
| llamada de sistema | about.labels.key/value |
| ruta de acceso | target.file.full_path |
| fd | about.labels.key/value |
| familia | about.labels.key/value |
| Tipo | about.labels.key/value |
| protocol | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value |
| ntime | about.labels.key/value |
| hora | about.labels.key/value |
| eid | metadata.product_log_id |
certificates
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los certificados de esquema y el SO macOS y Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| common_name | about.labels.key/value |
| asunto | network.tls.client.certificate.subject |
| entidad emisora | network.tls.client.certificate.issuer |
| ca | about.labels.key/value |
| self_signed | about.labels.key/value |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value |
| key_algorithm | about.labels.key/value |
| key_strength | about.labels.key/value |
| key_usage | about.labels.key/value |
| subject_key_id | about.labels.key/value |
| authority_key_id | about.labels.key/value |
| sha1 | network.tls.client.certificate.sha1 |
| ruta de acceso | about.labels.key/value |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value |
| store_location | about.labels.key/value |
| almacena | about.labels.key/value |
| nombre de usuario | principal.user.user_display_name |
| store_id | about.labels.key/value |
chassis_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema chassis_info y OS Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value |
| description | metadata.description |
| lock | about.labels.key/value |
| fabricante | principal.asset.hardware.manufacturer |
| model | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value |
| sku | about.labels.key/value |
| Calendario | about.labels.key/value |
| visible_alarm | about.labels.key/value |
chrome_extensions
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema chrome_extensions y al SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| perfil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identifier | target.resource.attribute.labels.key/value |
| versión | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| author | target.resource.attribute.labels.key/value |
| persistentes | target.resource.attribute.labels.key/value |
| ruta de acceso | target.file.full_path |
| permisos | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referencia | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| clave | target.resource.attribute.labels.key/value |
connectivity
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la conectividad del esquema y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| desconectado | about.labels.key/value |
| ipv4_no_traffic | about.labels.key/value |
| ipv6_no_traffic | about.labels.key/value |
| ipv4_subnet | about.labels.key/value |
| ipv4_local_network | about.labels.key/value |
| ipv4_internet | about.labels.key/value |
| ipv6_subnet | about.labels.key/value |
| ipv6_local_network | about.labels.key/value |
| ipv6_internet | about.labels.key/value |
cpu_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema cpu_info y Windows OS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| model | principal.asset.hardware.model |
| fabricante | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value |
| general | about.labels.key/value |
| cpu_status | about.labels.key/value |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value |
| address_width | about.labels.key/value |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value |
fallas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes a las fallas de esquema y a macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Tipo | about.labels.key/value |
| pid | target.process.pid |
| ruta de acceso | target.process.file.full_path |
| crash_path | target.file.full_path |
| identifier | about.labels.key/value |
| versión | about.labels.key/value |
| parent | target.process.parent_process.pid |
| responsable | about.labels.key/value |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value |
| stack_trace | about.labels.key/value |
| exception_type | about.labels.key/value |
| exception_codes | about.labels.key/value |
| exception_notes | about.labels.key/value |
| registros | about.labels.key/value |
crontab
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema crontab y al SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| evento | about.labels.key/value |
| minuto | about.labels.key/value |
| hora | about.labels.key/value |
| day_of_month | about.labels.key/value |
| mes | about.labels.key/value |
| day_of_week | about.labels.key/value |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| ruta de acceso | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value |
curl
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema curl y OS macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| url | network.http.referral_url |
| método | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| bytes | network.received_bytes |
| Resultado | about.labels.key/value |
curl_certificate
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema curl_certificate y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Nombre de host | principal.hostname |
| common_name | about.labels.key/value |
| organización | network.organization_name |
| organization_unit | about.labels.key/value |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| versión | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value |
| firma | about.labels.key/value |
| subject_key_identifier | about.labels.key/value |
| authority_key_identifier | about.labels.key/value |
| key_usage | about.labels.key/value |
| extended_key_usage | about.labels.key/value |
| políticas | about.labels.key/value |
| subject_alternative_names | about.labels.key/value |
| issuer_alternative_names | about.labels.key/value |
| info_access | about.labels.key/value |
| subject_info_access | about.labels.key/value |
| policy_mappings | about.labels.key/value |
| has_expired | about.labels.key/value |
| basic_constraint | about.labels.key/value |
| name_constraints | about.labels.key/value |
| policy_constraints | about.labels.key/value |
| dump_certificate | about.labels.key/value |
| tiempo de espera agotado | about.labels.key/value |
| pem | about.labels.key/value |
device_file
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el device_file de esquema y el SO Linux, macOS, freebsd y Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| device | about.labels.key/value |
| partición | about.labels.key/value |
| ruta de acceso | target.file.full_path |
| filename | target.file.names |
| inodo | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Standard | about.labels.key/value |
| tamaño | target.file.size |
| block_size | about.labels.key/value |
| ahora | about.labels.key/value |
| hora de m | target.file.last_modification_time |
| ctime | about.labels.key/value |
| hard_links | about.labels.key/value |
| Tipo | about.labels.key/value |
device_hash
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema device_hash y SO Linux, macOS, freebsd y Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| device | target.file.full_path |
| partición | about.labels.key/value |
| inodo | about.labels.key/value |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema disk_info y SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| particiones | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| Tipo | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value |
| disk_size | principal.asset.attribute.labels.key/value |
| fabricante | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema dns_cache y a SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | network.dns.additional.name |
| Tipo | about.labels.key/value |
| flags | about.labels.key/value |
dns_resolvers
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema dns_resolvers y OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | about.labels.key/value |
| Tipo | about.labels.key/value |
| de la página web. | principal.ip |
| máscara de red | about.labels.key/value |
| opciones | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
docker_container_networks
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_container_networks y SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value |
| endpoint_id | about.labels.key/value |
| puerta de enlace | about.labels.key/value |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value |
| ipv6_gateway | about.labels.key/value |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value |
| mac_address | target.mac |
docker_container_ports
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_container_ports y a OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| Tipo | network.ip_protocol |
| puerto | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_container_processes y a OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| SGID | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value |
| resident_size | about.labels.key/value |
| total_size | about.labels.key/value |
| start_time | about.labels.key/value |
| parent | target.process.parent_process.pid |
| GrupopP | about.labels.key/value |
| threads | about.labels.key/value |
| amabilidad | about.labels.key/value |
| usuario | target.user.user_display_name |
| hora | about.labels.key/value |
| cpu | about.labels.key/value |
| mem | about.labels.key/value |
docker_container_stats
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_container_stats y SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| PID | about.labels.key/value |
| lectura | about.labels.key/value |
| lectura previa | about.labels.key/value |
| interval | about.labels.key/value |
| disk_read | about.labels.key/value |
| disk_write | about.labels.key/value |
| num_procs | about.labels.key/value |
| cpu_total_usage | about.labels.key/value |
| cpu_kernelmode_usage | about.labels.key/value |
| cpu_usermode_usage | about.labels.key/value |
| system_cpu_usage | about.labels.key/value |
| online_cpus | about.labels.key/value |
| pre_cpu_total_usage | about.labels.key/value |
| pre_cpu_kernelmode_usage | about.labels.key/value |
| pre_cpu_usermode_usage | about.labels.key/value |
| pre_system_cpu_usage | about.labels.key/value |
| pre_online_cpus | about.labels.key/value |
| memory_usage | about.labels.key/value |
| memory_max_usage | about.labels.key/value |
| memory_limit | about.labels.key/value |
| network_rx_bytes | about.labels.key/value |
| network_tx_bytes | about.labels.key/value |
docker_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_info y SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| containers | about.labels.key/value |
| containers_running | about.labels.key/value |
| containers_paused | about.labels.key/value |
| containers_stopped | about.labels.key/value |
| imágenes | about.labels.key/value |
| storage_driver | about.labels.key/value |
| memory_limit | about.labels.key/value |
| swap_limit | about.labels.key/value |
| kernel_memory | about.labels.key/value |
| cpu_cfs_period | about.labels.key/value |
| cpu_cfs_quota | about.labels.key/value |
| cpu_shares | about.labels.key/value |
| cpu_set | about.labels.key/value |
| ipv4_forwarding | about.labels.key/value |
| bridge_nf_iptables | about.labels.key/value |
| bridge_nf_ip6tables | about.labels.key/value |
| oom_kill_disable | about.labels.key/value |
| logging_driver | about.labels.key/value |
| cgroup_driver | about.labels.key/value |
| kernel_version | about.labels.key/value |
| os | about.labels.key/value |
| os_type | target.platform(enum) |
| arquitectura | about.labels.key/value |
| cpus | about.labels.key/value |
| memoria | about.labels.key/value |
| http_proxy | about.labels.key/value |
| https_proxy | about.labels.key/value |
| no_proxy | about.labels.key/value |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_network_labels y SO Linux, macOS, freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| clave | target.resource.attribute.labels.key/value |
| valor | about.labels.key/value |
docker_networks
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema docker_networks y SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | about.labels.key/value |
| conductor | about.labels.key/value |
| created | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value |
| subred | about.labels.key/value |
| puerta de enlace | about.labels.key/value |
ec2_instance_metadata
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema ec2_instance_metadata y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value |
| arquitectura | about.labels.key/value |
| region | target.location.country_or_region |
| availability_zone | about.labels.key/value |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value |
| iam_arn | about.labels.key/value |
| ami_id | about.labels.key/value |
| reservation_id | about.labels.key/value |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value |
es_process_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema es_process_events y macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| versión | target.platform_version |
| seq_num | about.labels.key/value |
| global_seq_num | about.labels.key/value |
| pid | target.process.pid |
| ruta de acceso | target.process.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value |
| env | about.labels.key/value |
| env_count | about.labels.key/value |
| CWD | about.labels.key/value |
| uid | target.user.userid |
| euid | about.labels.key/value |
| gid | target.group.product_object_id |
| egid | about.labels.key/value |
| nombre de usuario | target.user.user_display_name |
| signing_id | about.labels.key/value |
| team_id | about.labels.key/value |
| CDhash | about.labels.key/value |
| platform_binary | about.labels.key/value |
| exit_code | about.labels.key/value |
| child_pid | about.labels.key/value |
| hora | about.labels.key/value |
| event_type | about.labels.key/value |
| eid | metadata.product_log_id |
etc_hosts
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema etc_hosts y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| de la página web. | target.ip |
| nombres de host | about.hostname |
| pid_with_namespace | about.labels.key/value |
etc_protocols
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema etc_protocols y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | network.ip_protocol |
| número | about.labels.key/value |
| alias | about.labels.key/value |
| comentario | about.labels.key/value |
etc_services
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema etc_services y SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | target.resource.name |
| puerto | target.port |
| protocol | network.ip_protocol |
| aliases | about.labels.key/value |
| comentario | about.labels.key/value |
archivo
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el archivo de esquema y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| directorio | about.labels.key/value |
| filename | target.file.names |
| inodo | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Standard | about.labels.key/value |
| device | target.asset.asset_id |
| tamaño | target.file.size |
| block_size | about.labels.key/value |
| ahora | target.file.last_seen_time |
| hora de m | target.file.last_modification_time |
| ctime | about.labels.key/value |
| btime | about.labels.key/value |
| hard_links | about.labels.key/value |
| symlink | about.labels.key/value |
| Tipo | about.labels.key/value |
| attributes | about.labels.key/value |
| volume_serial | about.labels.key/value |
| file_id | about.labels.key/value |
| file_version | about.labels.key/value |
| product_version | about.labels.key/value |
| bsd_flags | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
file_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema file_events y SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| operación | about.labels.key/value |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| hora | about.labels.key/value |
| ejecutable | about.labels.key/value |
| parcial | about.labels.key/value |
| CWD | about.labels.key/value |
| ruta de acceso | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| audaz | about.labels.key/value |
| euid | about.labels.key/value |
| egid | about.labels.key/value |
| fsuid | about.labels.key/value |
| FIJO | about.labels.key/value |
| suid | about.labels.key/value |
| SGID | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| eid | metadata.product_log_id |
gatekeeper
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al guardián del esquema y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value |
| dev_id_enabled | about.labels.key/value |
| versión | target.asset.software.version |
| opaque_version | about.labels.key/value |
gatekeeper_approved_apps
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema gatekeeper_Approved_apps y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| requisito | about.labels.key/value |
| ctime | about.labels.key/value |
| hora de m | target.resource.attribute.last_update_time |
grupos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los grupos de esquemas y los SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| nombredelgrupo | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| comentario | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema hardware_events y SO Linux, macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| acción | security_result.action_details |
| ruta de acceso | target.asset.attribute.labels.key/value |
| Tipo | target.asset.attribute.labels.key/value |
| conductor | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| model | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| Revisión | target.asset.attribute.labels.key/value |
| hora | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el hash del esquema y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| directorio | about.labels.key/value |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
interface_addresses
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema Interface_addresses y SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Interfaz | about.labels.key/value |
| de la página web. | target.ip |
| enmascarar | about.labels.key/value |
| transmitir | about.labels.key/value |
| point_to_point | about.labels.key/value |
| Tipo | about.labels.key/value |
| friendly_name | about.labels.key/value |
interface_details
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema Interface_details y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Interfaz | about.labels.key/value |
| mac | target.mac |
| Tipo | about.labels.key/value |
| mtu | about.labels.key/value |
| métrica | about.labels.key/value |
| flags | about.labels.key/value |
| ipackets | about.labels.key/value |
| opaquetes | about.labels.key/value |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| errores | about.labels.key/value |
| errores | about.labels.key/value |
| idrops | about.labels.key/value |
| ódrops | about.labels.key/value |
| colisiones | about.labels.key/value |
| last_change | about.labels.key/value |
| link_speed | about.labels.key/value |
| pci_slot | about.labels.key/value |
| friendly_name | about.labels.key/value |
| description | about.labels.key/value |
| fabricante | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value |
| connection_status | about.labels.key/value |
| habilitada | about.labels.key/value |
| physical_adapter | about.labels.key/value |
| speed | about.labels.key/value |
| servicio | target.application |
| dhcp_enabled | about.labels.key/value |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value |
| dns_host_name | about.labels.key/value |
| dns_server_search_order | about.labels.key/value |
interface_ipv6
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquemainterface_ipv6 y OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Interfaz | about.labels.key/value |
| hop_limit | about.labels.key/value |
| forwarding_enabled | about.labels.key/value |
| redirect_accept | about.labels.key/value |
| rtadv_accept | about.labels.key/value |
iptables
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las iptables de esquema y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| filter_name | about.labels.key/value |
| cadena | about.labels.key/value |
| de alertas | about.labels.key/value |
| objetivo | about.labels.key/value |
| protocol | about.labels.key/value |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value |
| inicial | about.labels.key/value |
| iniface_mask | about.labels.key/value |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value |
| cara | about.labels.key/value |
| outiface_mask | about.labels.key/value |
| coincidencia | about.labels.key/value |
| paquetes | about.labels.key/value |
| bytes | network.received_bytes |
kernel_panics
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema kernel_panics y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| hora | about.labels.key/value |
| registros | about.labels.key/value |
| frame_backtrace | about.labels.key/value |
| module_backtrace | about.labels.key/value |
| dependencias | about.labels.key/value |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value |
| system_model | target.asset.hardware.model |
| tiempo de actividad | about.labels.key/value |
| last_loaded | about.labels.key/value |
| last_unloaded | about.labels.key/value |
keychain_acls
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema keychain_acls y el SO macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value |
| autorizaciones | about.labels.key/value |
| ruta de acceso | target.file.full_path |
| description | metadata.description |
| etiqueta | about.labels.key/value |
known_hosts
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema known_hosts y el SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| uid | target.user.userid |
| clave | about.labels.key/value |
| key_file | target.file.full_path |
última
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el último esquema y el SO Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| nombre de usuario | target.user.user_display_name |
| tty | about.labels.key/value |
| pid | target.process.pid |
| Tipo | about.labels.key/value |
| type_name | about.labels.key/value |
| hora | about.labels.key/value |
| host | target.hostname |
listening_ports
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los Schema Listen_ports y OS macOS, Linux, Windows y freebsd.
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| pid | target.process.pid |
| puerto | target.port |
| protocol | network.ip_protocol |
| familia | about.labels.key/value |
| de la página web. | target.ip |
| fd | about.labels.key/value |
| socket | about.labels.key/value |
| ruta de acceso | target.process.file.full_path |
| net_namespace | about.labels.key/value |
logged_in_users
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema logs_in_users y macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Tipo | about.labels.key/value |
| usuario | target.user.userid |
| tty | about.labels.key/value |
| host | target.hostname |
| hora | about.labels.key/value |
| pid | target.process.pid |
| sid | about.labels.key/value |
| registry_hive | about.labels.key/value |
logon_sessions
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema logon_sessions y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| logon_id | about.labels.key/value |
| usuario | target.user.user_display_name |
| logon_domain | about.labels.key/value |
| authentication_package | about.labels.key/value |
| logon_type | about.labels.key/value |
| session_id | network.session_id |
| logon_sid | about.labels.key/value |
| logon_time | about.labels.key/value |
| logon_server | about.labels.key/value |
| dns_domain_name | network.dns_domain |
| aumento | about.labels.key/value |
| logon_script | about.labels.key/value |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value |
| home_directory_drive | about.labels.key/value |
lxd_certificates
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema lxd_certificates y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | security_result.detection_fields.key/value |
| Tipo | security_result.detection_fields.key/value |
| Fingerprint | security_result.detection_fields.key/value |
| certificado | security_result.detection_fields.key/value |
lxd_networks
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema lxd_networks y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | about.labels.key/value |
| Tipo | about.labels.key/value |
| administrada | about.labels.key/value |
| ipv4_address | about.labels.key/value |
| ipv6_address | about.labels.key/value |
| used_by | about.labels.key/value |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value |
| packets_sent | about.labels.key/value |
| hwaddr | about.labels.key/value |
| state | about.labels.key/value |
| mtu | about.labels.key/value |
managed_policies
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las políticas administradas de esquema y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| dominio | target.administrative_domain |
| uuid | about.labels.key/value |
| name | about.labels.key/value |
| valor | about.labels.key/value |
| nombre de usuario | target.user.user_display_name |
| manual | about.labels.key/value |
memory_devices
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema memory_devices y SO Linux, macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| handle | about.labels.key/value |
| array_handle | about.labels.key/value |
| form_factor | about.labels.key/value |
| total_width | about.labels.key/value |
| data_width | about.labels.key/value |
| tamaño | about.labels.key/value |
| set | about.labels.key/value |
| device_locator | about.labels.key/value |
| bank_locator | about.labels.key/value |
| memory_type | about.labels.key/value |
| memory_type_details | about.labels.key/value |
| max_speed | about.labels.key/value |
| configured_clock_speed | about.labels.key/value |
| fabricante | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value |
| min_voltage | about.labels.key/value |
| max_voltage | about.labels.key/value |
| configured_voltage | about.labels.key/value |
ntdomains
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los ntdomains del esquema y los SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | about.labels.key/value |
| client_site_name | about.labels.key/value |
| dc_site_name | about.labels.key/value |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value |
| domain_name | target.administrative_domain |
| Calendario | about.labels.key/value |
ntfs_acl_permissions
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema ntfs_acl_permissions y los SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| Tipo | about.labels.key/value |
| principal | about.labels.key/value |
| access | about.labels.key/value |
| inherited_from | about.labels.key/value |
os_version
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema os_version y OS en macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | about.labels.key/value |
| versión | principal.platform_version |
| estudio | about.labels.key/value |
| menor | about.labels.key/value |
| patch | principal.platform_patch_level |
| compilación | about.labels.key/value |
| plataforma | principal.platform |
| platform_like | about.labels.key/value |
| nombre interno | about.labels.key/value |
| arco | about.labels.key/value |
| install_date | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
osquery_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema osquery_events y SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | target.resource.name |
| publicador | about.label.key/value |
| Tipo | about.label.key/value |
| suscripciones | about.label.key/value |
| eventos | about.label.key/value |
| refreshes | about.label.key/value |
| activo | about.label.key/value |
parches
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los parches de esquema y las ventanas del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| nombre del CSS | target.hostname |
| hotfix_id | about.labels.key/value |
| leyenda | about.labels.key/value |
| description | metadata.description |
| fix_comments | about.labels.key/value |
| installed_by | about.labels.key/value |
| install_date | about.labels.key/value |
| installed_on | about.labels.key/value |
pci_devices
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema pci_devices y a SO Linux, macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value |
| pci_class | principal.labels.key/value |
| conductor | principal.labels.key/value |
| vendor | principal.labels.key/value |
| vendor_id | principal.labels.key/value |
| model | principal.asset.hardware.model |
| model_id | principal.labels.key/value |
| subsistema | principal.labels.key/value |
| exprés | principal.labels.key/value |
| rayo | principal.labels.key/value |
| extraíble | principal.labels.key/value |
| pci_class_id | principal.labels.key/value |
| pci_subclass_id | principal.labels.key/value |
| pci_subclass | principal.labels.key/value |
| subsystem_vendor_id | principal.labels.key/value |
| subsystem_vendor | principal.labels.key/value |
| subsystem_model_id | principal.labels.key/value |
| subsystem_model | principal.labels.key/value |
canalizaciones
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los canales del esquema y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | target.resource.name |
| instancias | about.labels.key/value |
| max_instances | about.labels.key/value |
| flags | about.labels.key/value |
powershell_events
En la siguiente tabla se indican los campos de registro y las asignaciones de UDM correspondientes para el esquema powershell_events y Windows OS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| hora | metadata.collected_timestamp |
| datetime | about.labels.key/value |
| script_block_id | about.labels.key/value |
| script_block_count | about.labels.key/value |
| script_text | about.labels.key/value |
| script_name | about.labels.key/value |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value |
process_envs
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el schema process_envs y OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| pid | target.process.pid |
| clave | about.labels.key |
| valor | about.labels.value |
process_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los process_events de Schema y para macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| versión | target.platform_version |
| seq_num | about.labels.key/value |
| global_seq_num | about.labels.key/value |
| pid | target.process.pid |
| ruta de acceso | target.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value |
| env | about.labels.key/value |
| env_count | about.labels.key/value |
| CWD | about.labels.key/value |
| uid | target.user.userid |
| euid | about.labels.key/value |
| gid | target.group.product_object_id |
| egid | about.labels.key/value |
| nombre de usuario | target.user.user_display_name |
| signing_id | about.labels.key/value |
| team_id | about.labels.key/value |
| CDhash | about.labels.key/value |
| platform_binary | about.labels.key/value |
| exit_code | about.labels.key/value |
| child_pid | about.labels.key/value |
| hora | about.labels.key/value |
| event_type | about.labels.key/value |
| eid | about.labels.key/value |
process_file_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el schema process_file_events y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| operación | about.labels.key/value |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| hora | about.labels.key/value |
| ejecutable | about.labels.key/value |
| parcial | about.labels.key/value |
| CWD | about.labels.key/value |
| ruta de acceso | target.file.full_path |
| dest_path | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| audaz | about.labels.key/value |
| euid | about.labels.key/value |
| egid | about.labels.key/value |
| fsuid | about.labels.key/value |
| FIJO | about.labels.key/value |
| suid | about.labels.key/value |
| SGID | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| eid | metadata.product_log_id |
process_open_sockets
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema process_open_sockets y el SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value |
| socket | about.labels.key/value |
| familia | about.labels.key/value |
| protocol | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| ruta de acceso | target.file.full_path |
| state | about.labels.key/value |
| net_namespace | about.labels.key/value |
Procesos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los procesos de esquema y los SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | about.labels.key/value |
| ruta de acceso | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| CWD | about.labels.key/value |
| raíz | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value |
| egid | about.labels.key/value |
| suid | about.labels.key/value |
| SGID | about.labels.key/value |
| on_disk | about.labels.key/value |
| wired_size | about.labels.key/value |
| resident_size | about.labels.key/value |
| total_size | about.labels.key/value |
| user_time | about.labels.key/value |
| system_time | about.labels.key/value |
| disk_bytes_read | about.labels.key/value |
| disk_bytes_written | about.labels.key/value |
| start_time | about.labels.key/value |
| parent | target.process.parent_process.pid |
| GrupopP | about.labels.key/value |
| threads | about.labels.key/value |
| amabilidad | about.labels.key/value |
| elevated_token | about.labels.key/value |
| secure_process | about.labels.key/value |
| protection_type | about.labels.key/value |
| virtual_process | about.labels.key/value |
| elapsed_time | about.labels.key/value |
| handle_count | about.labels.key/value |
| percent_processor_time | about.labels.key/value |
| tímido | about.labels.key/value |
| tímido | about.labels.key/value |
| cpu_type | about.labels.key/value |
| cpu_subtype | about.labels.key/value |
programas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los programas de esquema y las ventanas del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | target.resource.name |
| versión | target.platform_version |
| install_location | about.labels.key/value |
| install_source | about.labels.key/value |
| language | about.labels.key/value |
| publicador | about.labels.key/value |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value |
| identifying_number | about.labels.key/value |
scheduled_tasks
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema scheduled_tasks y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | target.resource.name |
| acción | security_result.action_details |
| ruta de acceso | target.file.full_path |
| habilitada | about.labels.key/value |
| state | about.labels.key/value |
| de pesos | about.labels.key/value |
| last_run_time | about.labels.key/value |
| next_run_time | about.labels.key/value |
| last_run_message | about.labels.key/value |
| last_run_code | about.labels.key/value |
seccomp_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema seccomp_events y SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| hora | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| audaz | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value |
| pid | target.process.pid |
| comm | about.labels.key/value |
| exe | target.file.full_path |
| sig | about.labels.key/value |
| arco | about.labels.key/value |
| llamada de sistema | about.labels.key/value |
| compat | about.labels.key/value |
| ip | about.labels.key/value |
| código | about.labels.key/value |
seLinux_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema seLinux_events y SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Tipo | about.labels.key/value |
| message | metadata.description |
| hora | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| eid | metadata.product_log_id |
shadow
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el shadow del esquema y el SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| password_status | about.labels.key/value |
| hash_alg | about.labels.key/value |
| last_change | about.labels.key/value |
| temp. | about.labels.key/value |
| temp. | about.labels.key/value |
| advertencia | about.labels.key/value |
| inactivo | about.labels.key/value |
| expire | about.labels.key/value |
| marca | about.labels.key/value |
| nombre de usuario | principal.user.user_display_name |
shell_history
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema shell_history y OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| hora | about.labels.key/value |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el shimcache de esquema y Windows OS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| entry. | about.labels.key/value |
| ruta de acceso | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value |
firma
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la firma del esquema y macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| hash_resources | about.labels.key/value |
| arco | about.labels.key/value |
| firmó | target.file.pe_file.signature_info.verified |
| identifier | target.file.pe_file.signature_info.signer |
| CDhash | about.labels.key/value |
| team_identifier | about.labels.key/value |
| authority | about.labels.key/value |
sip_config
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema sip_config y a macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| config_flag | about.labels.key/value |
| habilitada | about.labels.key/value |
| enabled_nvram | about.labels.key/value |
socket_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema socket_events y SO Linux, macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| acción | security_result.action_details |
| pid | target.process.pid |
| ruta de acceso | target.process.file.full_path |
| fd | about.labels.key/value |
| audaz | target.user.userid |
| Calendario | about.labels.key/value |
| familia | about.labels.key/value |
| protocol | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value |
| hora | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| eid | metadata.product_log_id |
| correcto | about.labels.key/value |
sudoers
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los esquemas sudoers y OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| source | about.labels.key/value |
| encabezado | about.labels.key/value |
| rule_details | about.labels.key/value |
syslog_events
La siguiente tabla incluye los campos de registro y las asignaciones de UDM correspondientes para el esquema syslog_events y SO Linux:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| hora | about.labels.key/value |
| datetime | about.labels.key/value |
| host | target.hostname |
| gravedad, | security_result.severity (enumeración) |
| instalación | about.labels.key/value |
| etiqueta | about.labels.key/value |
| message | about.labels.key/value |
| eid | metadata.product_log_id |
system_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para schema system_info y OS macOS, Linux, Windows, freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Nombre de host | principal.administrative_domain |
| uuid | about.labels.key/value |
| cpu_type | about.labels.key/value |
| cpu_subtype | about.labels.key/value |
| cpu_brand | about.labels.key/value |
| cpu_physical_cores | about.labels.key/value |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value |
| physical_memory | about.labels.key/value |
| hardware_vendor | about.labels.key/value |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value |
| board_model | about.labels.key/value |
| board_version | about.labels.key/value |
| board_serial | about.labels.key/value |
| computer_name | about.labels.key/value |
| local_hostname | about.labels.key/value |
tpm_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema tpm_info y SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| activado | about.labels.key/value |
| habilitada | about.labels.key/value |
| que es propiedad de un proveedor de servicios | about.labels.key/value |
| manufacturer_version | about.labels.key/value |
| manufacturer_id | about.labels.key/value |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value |
| spec_version | about.labels.key/value |
usb_devices
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema usb_devices y SO Linux, macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| usb_address | about.labels.key/value |
| usb_port | about.labels.key/value |
| vendor | about.labels.key/value |
| vendor_id | about.labels.key/value |
| versión | about.labels.key/value |
| model | target.asset.hardware.model |
| model_id | about.labels.key/value |
| serial | target.asset.hardware.serial_number |
| clase | about.labels.key/value |
| subclase | about.labels.key/value |
| protocol | about.labels.key/value |
| extraíble | about.labels.key/value |
user_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema user_events y OS Linux, macOS y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| audaz | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| message | metadata.description |
| Tipo | about.labels.key/value |
| ruta de acceso | target.file.full_path |
| de la página web. | about.labels.key/value |
| terminal | about.labels.key/value |
| hora | metadata.collected_timestamp |
| tiempo de actividad | about.labels.key/value |
| eid | metadata.product_log_id |
user_groups
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes a los grupos de usuarios del esquema y los SO Linux, macOS y Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
de usuarios
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los usuarios del esquema y los SO macOS, Linux, Windows y freebsd:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value |
| gid_signed | about.labels.key/value |
| nombre de usuario | principal.user.user_display_name |
| description | about.labels.key/value |
| directorio | about.labels.key/value |
| shell | about.labels.key/value |
| uuid | principal.user.product_object_id |
| Tipo | about.labels.key/value |
| is_hidden | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
wifi_networks
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema wifi_networks y macOS del SO:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| SIID | target.labels.key/value |
| network_name | target.labels.key/value |
| security_type | target.labels.key/value |
| last_connected | about.labels.key/value |
| punto de acceso | about.labels.key/value |
| possibly_hidden | about.labels.key/value |
| Roaming | about.labels.key/value |
| roaming_profile | about.labels.key/value |
| captive_portal | about.labels.key/value |
| auto_login | target.labels.key/value |
| temporarily_disabled | target.labels.key/value |
| inhabilitada | target.labels.key/value |
windows_crashes
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema Windows_crashes y SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| datetime | about.labels.key/value |
| module | about.labels.key/value |
| ruta de acceso | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value |
| versión | about.labels.key/value |
| process_uptime | about.labels.key/value |
| stack_trace | about.labels.key/value |
| exception_code | about.labels.key/value |
| exception_message | about.labels.key/value |
| exception_address | about.labels.key/value |
| registros | about.labels.key/value |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value |
| nombre de usuario | target.user.user_display_name |
| machine_name | about.labels.key/value |
| major_version | about.labels.key/value |
| minor_version | about.labels.key/value |
| build_number | target.platform_version |
| Tipo | about.labels.key/value |
| crash_path | about.labels.key/value |
windows_eventlog
El analizador de eventos de Windows (WINEVTLOG) asigna estos eventos. Consulta Recopilar datos de eventos de Microsoft Windows para obtener más información."
windows_events
El analizador de eventos de Windows (WINEVTLOG) asigna estos eventos. Para obtener más información, consulta Recopila datos de eventos de Microsoft Windows.
windows_firewall_rules
En la siguiente tabla se enumeran los campos de registro y las asignaciones de UDM correspondientes al esquema Windows_firewall_rules y al SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | about.labels.key/value |
| app_name | target.application |
| acción | security_result.action (enumeración) |
| habilitada | about.labels.key/value |
| agrupamiento | about.labels.key/value |
| direction | network.direction |
| protocol | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value |
| profile_domain | about.labels.key/value |
| profile_private | about.labels.key/value |
| profile_public | about.labels.key/value |
| service_name | about.labels.key/value |
windows_security_center
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema Windows_security_center y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| actualización automática | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| software antiespía | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
En la siguiente tabla se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema Windows_security_products y el SO Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| Tipo | about.labels.key/value |
| name | target.resource.name |
| state | about.labels.key/value |
| state_timestamp | about.labels.key/value |
| remediation_path | about.labels.key/value |
| signatures_up_to_date | about.labels.key/value |
wmi_bios_info
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema wmi_bios_info y OS Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| name | about.labels.key/value |
| valor | about.labels.key/value |
karité
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema Yara y OS Linux, macOS, freebsd y Windows:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| ruta de acceso | target.file.full_path |
| coincide con | about.labels.key/value |
| recuento | about.labels.key/value |
| sig_group | security_result.detection_fields.key/value |
| archivo sig | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| cadenas | about.labels.key/value |
| tags | about.labels.key/value |
| URL sig | security_result.detection_fields.key/value |
yara_events
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el esquema yara_events y el SO Linux, macOS:
| Campo de registro | Asignación de UDM |
|---|---|
| metadata.event_type se asigna a SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| category | about.labels.key/value |
| acción | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| coincide con | about.labels.key/value |
| recuento | about.labels.key/value |
| cadenas | about.labels.key/value |
| tags | about.labels.key/value |
| hora | about.labels.key/value |
| eid | metadata.product_log_id |