Raccogli i log di osquery
Questo documento descrive come raccogliere i log di osquery configurando osquery e un forwarder di Google Security Operations. Questo documento elenca anche i tipi di log supportati e versioni di osquery supportate.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra come gli agenti osquery e il server Fleet vengono configurati per inviare i log a Google Security Operations. Ogni deployment del cliente differiscono da questa rappresentazione e potrebbero essere più complesse.
Il diagramma dell'architettura mostra i seguenti componenti:
Sistema Linux: il sistema Linux da monitorare in cui è installato l'agente osquery
Sistema Microsoft Windows: il sistema Microsoft Windows da monitorare in cui è installato l'agente osquery
Sistema Mac: il sistema Mac da monitorare in cui è installato l'agente osquery
agente osquery: raccoglie informazioni da Microsoft Windows, Linux o Mac. e inoltra le informazioni al server del parco risorse
Server del parco risorse: monitora e riceve le informazioni dal osquery, analizza i log e li inoltra al server di inoltro di Google Security Operations
Inoltro di Google Security Operations: un componente software leggero, di cui viene eseguito il deployment nella rete del cliente per inoltrare i log a Google Security Operations
Google Security Operations: conserva e analizza i log di il parco risorse
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni in questo documento si applicano al parser
con l'etichetta di importazione OSQUERY_EDR.
Prima di iniziare
Installa Fleet Server. Per installare Fleet Server:
Utilizza una versione di osquery supportata dall'analizzatore sintattico di Google Security Operations, ovvero 5.2.3 e 5.3.0.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Assicurati che i nomi delle tabelle in Flotta siano conformi alla documentazione ufficiale di Flotta.
Configurare l'agente, il server e il forwarder di Google Security Operations di osquery
Per configurare il server del parco risorse e l'inoltro di Google Security Operations, segui questi passaggi:
Per configurare il server del parco risorse, segui questi passaggi:
Aggiungi host al server del parco risorse e installa l'agente osquery. Puoi aggiungere il tuo host al server del parco risorse con un programma di installazione di osquery. Il server parco risorse aiuta a generare un programma di installazione di osquery con il comando del pacchetto Fleetctl.
- Esegui il comando del pacchetto Fleetctl installando lo strumento a riga di comando Fleetctl.
- Installa l'agente osquery utilizzando il comando del pacchetto fleetctl.
Quando installi il programma di installazione di osquery generato su un host, l'host si registra automaticamente nell'istanza del parco risorse specificata.
Recupera i log dall'agente osquery. Per creare una query nel parco risorse per il recupero dei log, consulta Creare una query e, per pianificare una query, consulta Pianificare una query.
Configura il forwarder di Google Security Operations su un dispositivo Linux centrale per inviare i log al sistema di Google Security Operations. Per ulteriori informazioni, consulta Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione di un forwarder Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Riferimento per la mappatura dei campi
Questa sezione spiega in che modo l'analizzatore sintattico di Google Security Operations mappa i campi del log di osquery ai campi del modello Unified Data Model (UDM) di Google Security Operations per lo schema e il sistema operativo. Per saperne di più, consulta lo schema di osquery per la versione 5.2.3 e la versione 5.3.0.
account_policy_data
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema account_policy_data e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema ad_config e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| dominio | target.administrative_domain |
| opzione | about.labels.key (deprecato) additional.fields.key |
| valore | about.labels.value (deprecato) additional.fields.value.string_value |
alf
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema ALF e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (deprecato) additional.fields |
| firewall_unload | about.labels.key/value (deprecato) additional.fields |
| global_state | about.labels.key/value (deprecato) additional.fields |
| logging_enabled | about.labels.key/value (deprecato) additional.fields |
| logging_option | about.labels.key/value (deprecato) additional.fields |
| stealth_enabled | about.labels.key/value (deprecato) additional.fields |
| versione | target.platform_version |
alf_exceptions
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema alf_exceptions e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| state | about.labels.key/value (deprecato) additional.fields |
alf_explicit_auths
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema alf_explicit_auths e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| di diffusione | target.process.pid |
app_schemes
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema app_schemes e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| schema | about.labels.key/value (deprecato) additional.fields |
| handler | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| esterno | about.labels.key/value (deprecato) additional.fields |
| protetto | about.labels.key/value (deprecato) additional.fields |
apparmor_events
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema apparmor_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| messaggio | metadata.description |
| tempo | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | security_result.rule_id |
| Apparmor | security_result.action |
| operazione | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| profilo | about.labels.key/value (deprecato) additional.fields |
| nome | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (deprecato) additional.fields |
| capname | about.labels.key/value (deprecato) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capability | about.labels.key/value (deprecato) additional.fields |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value (deprecato) additional.fields |
| errore | security_result.summary |
| spazio dei nomi | about.labels.key/value (deprecato) additional.fields |
| etichetta | about.labels.key/value (deprecato) additional.fields |
apparmor_profiles
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema apparmor_profiles e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| nome | target.resource.name |
| collegare | about.labels.key/value (deprecato) additional.fields |
| modalità | about.labels.key/value (deprecato) additional.fields |
| sha1 | target.file.sha1 |
app
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per le app dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.application |
| percorso | target.file.full_path |
| bundle_executable | about.labels.key/value (deprecato) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (deprecato) additional.fields |
| produzione | about.labels.key/value (deprecato) additional.fields |
| elemento | about.labels.key/value (deprecato) additional.fields |
| compilatore | about.labels.key/value (deprecato) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (deprecato) additional.fields |
| info_string | about.labels.key/value (deprecato) additional.fields |
| minimum_system_version | about.labels.key/value (deprecato) additional.fields |
| categoria | about.labels.key/value (deprecato) additional.fields |
| applescript_enabled | about.labels.key/value (deprecato) additional.fields |
| copyright | about.labels.key/value (deprecato) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema asl e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | about.labels.key/value (deprecato) additional.fields |
| time_nano_sec | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
| mittente | about.labels.key/value (deprecato) additional.fields |
| struttura | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| livello | about.labels.key/value (deprecato) additional.fields |
| messaggio | metadata.description |
| ref_pid | about.labels.key/value (deprecato) additional.fields |
| ref_proc | about.labels.key/value (deprecato) additional.fields |
| extra | about.labels.key/value (deprecato) additional.fields |
authenticode
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema authenticode e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| original_program_name | about.labels.key/value (deprecato) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| risultato | security_result.summary |
authorization_mechanisms
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Authorization_mechanisms e macOS del sistema operativo:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| etichetta | about.labels.key/value (deprecato) additional.fields |
| plugin | about.labels.key/value (deprecato) additional.fields |
| meccanismo | about.labels.key/value (deprecato) additional.fields |
| con privilegi | about.labels.key/value (deprecato) additional.fields |
| voce | about.labels.key/value (deprecato) additional.fields |
autorizzazioni
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le autorizzazioni dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| etichetta | about.labels.key/value (deprecato) additional.fields |
| modificato | about.labels.key/value (deprecato) additional.fields |
| allow_root | about.labels.key/value (deprecato) additional.fields |
| timeout | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| prova | about.labels.key/value (deprecato) additional.fields |
| authenticate_user | about.labels.key/value (deprecato) additional.fields |
| condiviso | about.labels.key/value (deprecato) additional.fields |
| commento | about.labels.key/value (deprecato) additional.fields |
| creato | about.labels.key/value (deprecato) additional.fields |
| classe | about.labels.key/value (deprecato) additional.fields |
| session_owner | about.labels.key/value (deprecato) additional.fields |
autoexec
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema autoexec e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| nome | target.application |
| origine | target.resource.name |
bitlocker_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema bitlocker_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (deprecato) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| versione | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema bpf_process_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tid | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| principale | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| probe_error | about.labels.key/value (deprecato) additional.fields |
| syscall | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| cwd | about.labels.key/value (deprecato) additional.fields |
| cmdline | target.process.command_line |
| duration | about.labels.key/value (deprecato) additional.fields |
| json_cmdline | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema bpf_socket_events e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tid | about.labels.key/value (deprecato) additional.fields |
| pid | principal.process.pid |
| principale | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| probe_error | about.labels.key/value (deprecato) additional.fields |
| syscall | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| fd | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
certificati
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i certificati dello schema e il sistema operativo macOS, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| common_name | about.labels.key/value (deprecato) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value (deprecato) additional.fields |
| self_signed | about.labels.key/value (deprecato) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (deprecato) additional.fields |
| key_algorithm | about.labels.key/value (deprecato) additional.fields |
| key_strength | about.labels.key/value (deprecato) additional.fields |
| key_usage | about.labels.key/value (deprecato) additional.fields |
| subject_key_id | about.labels.key/value (deprecato) additional.fields |
| authority_key_id | about.labels.key/value (deprecato) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| percorso | about.labels.key/value (deprecato) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (deprecato) additional.fields |
| store_location | about.labels.key/value (deprecato) additional.fields |
| datastore | about.labels.key/value (deprecato) additional.fields |
| nome utente | principal.user.user_display_name |
| store_id | about.labels.key/value (deprecato) additional.fields |
chassis_info
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema chassis_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| cicalino | about.labels.key/value (deprecato) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (deprecato) additional.fields |
| description | metadata.description |
| lucchetto | about.labels.key/value (deprecato) additional.fields |
| produttore | principal.asset.hardware.manufacturer |
| modello | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (deprecato) additional.fields |
| sku | about.labels.key/value (deprecato) additional.fields |
| stato | about.labels.key/value (deprecato) additional.fields |
| avviso_visibile | about.labels.key/value (deprecato) additional.fields |
chrome_extensions
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema chrome_extensions e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| nome | target.resource.name |
| profilo | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identificatore | target.resource.attribute.labels.key/value |
| versione | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| autore | target.resource.attribute.labels.key/value |
| persistente | target.resource.attribute.labels.key/value |
| percorso | target.file.full_path |
| autorizzazioni | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| fatto riferimento | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| chiave | target.resource.attribute.labels.key/value |
Connettività
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per la connettività dello schema e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| disconnessa | about.labels.key/value (deprecato) additional.fields |
| ipv4_no_traffic | about.labels.key/value (deprecato) additional.fields |
| ipv6_no_traffic | about.labels.key/value (deprecato) additional.fields |
| ipv4_subnet | about.labels.key/value (deprecato) additional.fields |
| ipv4_local_network | about.labels.key/value (deprecato) additional.fields |
| ipv4_internet | about.labels.key/value (deprecato) additional.fields |
| ipv6_subnet | about.labels.key/value (deprecato) additional.fields |
| ipv6_local_network | about.labels.key/value (deprecato) additional.fields |
| ipv6_internet | about.labels.key/value (deprecato) additional.fields |
cpu_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema cpu_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| modello | principal.asset.hardware.model |
| produttore | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (deprecato) additional.fields |
| disponibilità | about.labels.key/value (deprecato) additional.fields |
| cpu_status | about.labels.key/value (deprecato) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (deprecato) additional.fields |
| address_width | about.labels.key/value (deprecato) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (deprecato) additional.fields |
arresti anomali
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per gli arresti anomali dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| percorso | target.process.file.full_path |
| crash_path | target.file.full_path |
| identificatore | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| responsabile | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| dataora | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (deprecato) additional.fields |
| stack_trace | about.labels.key/value (deprecato) additional.fields |
| exception_type | about.labels.key/value (deprecato) additional.fields |
| exception_codes | about.labels.key/value (deprecato) additional.fields |
| exception_notes | about.labels.key/value (deprecato) additional.fields |
| registri | about.labels.key/value (deprecato) additional.fields |
crontab
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per lo schema crontab e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| event | about.labels.key/value (deprecato) additional.fields |
| minuto | about.labels.key/value (deprecato) additional.fields |
| ora | about.labels.key/value (deprecato) additional.fields |
| day_of_month | about.labels.key/value (deprecato) additional.fields |
| mese | about.labels.key/value (deprecato) additional.fields |
| day_of_week | about.labels.key/value (deprecato) additional.fields |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| percorso | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
curl
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema curl e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| url | network.http.referral_url |
| metodo | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| byte | network.received_bytes |
| risultato | about.labels.key/value (deprecato) additional.fields |
curl_certificate
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema curl_certificate e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome host | principal.hostname |
| common_name | about.labels.key/value (deprecato) additional.fields |
| organizzazione | network.organization_name |
| organization_unit | about.labels.key/value (deprecato) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (deprecato) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (deprecato) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| versione | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (deprecato) additional.fields |
| firma | about.labels.key/value (deprecato) additional.fields |
| subject_key_identifier | about.labels.key/value (deprecato) additional.fields |
| authority_key_identifier | about.labels.key/value (deprecato) additional.fields |
| key_usage | about.labels.key/value (deprecato) additional.fields |
| extended_key_usage | about.labels.key/value (deprecato) additional.fields |
| policies | about.labels.key/value (deprecato) additional.fields |
| subject_alternative_names | about.labels.key/value (deprecato) additional.fields |
| issuer_alternative_names | about.labels.key/value (deprecato) additional.fields |
| info_access | about.labels.key/value (deprecato) additional.fields |
| subject_info_access | about.labels.key/value (deprecato) additional.fields |
| policy_mappings | about.labels.key/value (deprecato) additional.fields |
| has_expired | about.labels.key/value (deprecato) additional.fields |
| basic_constraint | about.labels.key/value (deprecato) additional.fields |
| name_constraints | about.labels.key/value (deprecato) additional.fields |
| policy_constraints | about.labels.key/value (deprecato) additional.fields |
| dump_certificate | about.labels.key/value (deprecato) additional.fields |
| timeout | about.labels.key/value (deprecato) additional.fields |
| Pem | about.labels.key/value (deprecato) additional.fields |
file_dispositivo
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema device_file e i sistemi operativi Linux, macOS, freebsd e Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dispositivo | about.labels.key/value (deprecato) additional.fields |
| partizione | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| nomefile | target.file.names |
| Inode | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modalità | about.labels.key/value (deprecato) additional.fields |
| dimensioni | target.file.size |
| block_size | about.labels.key/value (deprecato) additional.fields |
| atime | about.labels.key/value (deprecato) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (deprecato) additional.fields |
| hard_links | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
device_hash
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema device_hash e i sistemi operativi Linux, macOS, freebsd e Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dispositivo | target.file.full_path |
| partizione | about.labels.key/value (deprecato) additional.fields |
| inode | about.labels.key/value (deprecato) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema disk_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| partizioni | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| tipo | principal.asset.attribute.labels.key/value |
| ID | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (deprecato) additional.fields |
| dimensione_disco | principal.asset.attribute.labels.key/value |
| produttore | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| nome | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema dns_cache e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | network.dns.additional.name |
| tipo | about.labels.key/value (deprecato) additional.fields |
| flags | about.labels.key/value (deprecato) additional.fields |
dns_resolvers
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema dns_resolvers e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| indirizzo | principal.ip |
| netmask | about.labels.key/value (deprecato) additional.fields |
| opzioni del modello. | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
docker_container_networks
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_networks e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| nome | network.carrier_name |
| network_id | about.labels.key/value (deprecato) additional.fields |
| endpoint_id (ID endpoint) | about.labels.key/value (deprecato) additional.fields |
| gateway | about.labels.key/value (deprecato) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (deprecato) additional.fields |
| ipv6_gateway | about.labels.key/value (deprecato) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (deprecato) additional.fields |
| mac_address | target.mac |
docker_container_ports
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema docker_container_ports e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| tipo | network.ip_protocol |
| porta | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_processes e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| pid | target.process.pid |
| nome | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgido | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (deprecato) additional.fields |
| resident_size | about.labels.key/value (deprecato) additional.fields |
| total_size | about.labels.key/value (deprecato) additional.fields |
| start_time | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| pgroup | about.labels.key/value (deprecato) additional.fields |
| thread | about.labels.key/value (deprecato) additional.fields |
| bello | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.user_display_name |
| tempo | about.labels.key/value (deprecato) additional.fields |
| cpu | about.labels.key/value (deprecato) additional.fields |
| mem | about.labels.key/value (deprecato) additional.fields |
docker_container_stats
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_stats e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| nome | target.resource.name |
| pids | about.labels.key/value (deprecato) additional.fields |
| read | about.labels.key/value (deprecato) additional.fields |
| prelettura | about.labels.key/value (deprecato) additional.fields |
| intervallo | about.labels.key/value (deprecato) additional.fields |
| disk_read | about.labels.key/value (deprecato) additional.fields |
| disk_write | about.labels.key/value (deprecato) additional.fields |
| num_procs | about.labels.key/value (deprecato) additional.fields |
| cpu_total_usage | about.labels.key/value (deprecato) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (deprecato) additional.fields |
| cpu_usermode_usage | about.labels.key/value (deprecato) additional.fields |
| system_cpu_usage | about.labels.key/value (deprecato) additional.fields |
| online_cpus | about.labels.key/value (deprecato) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (deprecato) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (deprecato) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (deprecato) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (deprecato) additional.fields |
| pre_online_cpus | about.labels.key/value (deprecato) additional.fields |
| memory_usage | about.labels.key/value (deprecato) additional.fields |
| memory_max_usage | about.labels.key/value (deprecato) additional.fields |
| memory_limit | about.labels.key/value (deprecato) additional.fields |
| network_rx_bytes | about.labels.key/value (deprecato) additional.fields |
| network_tx_bytes | about.labels.key/value (deprecato) additional.fields |
docker_info
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema docker_info e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| Container | about.labels.key/value (deprecato) additional.fields |
| containers_running | about.labels.key/value (deprecato) additional.fields |
| containers_paused | about.labels.key/value (deprecato) additional.fields |
| containers_stopped | about.labels.key/value (deprecato) additional.fields |
| immagini | about.labels.key/value (deprecato) additional.fields |
| storage_driver | about.labels.key/value (deprecato) additional.fields |
| memory_limit | about.labels.key/value (deprecato) additional.fields |
| swap_limit | about.labels.key/value (deprecato) additional.fields |
| kernel_memory | about.labels.key/value (deprecato) additional.fields |
| cpu_cfs_period | about.labels.key/value (deprecato) additional.fields |
| cpu_cfs_quota | about.labels.key/value (deprecato) additional.fields |
| cpu_shares | about.labels.key/value (deprecato) additional.fields |
| cpu_set | about.labels.key/value (deprecato) additional.fields |
| ipv4_forwarding | about.labels.key/value (deprecato) additional.fields |
| bridge_nf_iptables | about.labels.key/value (deprecato) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (deprecato) additional.fields |
| oom_kill_disable | about.labels.key/value (deprecato) additional.fields |
| logging_driver | about.labels.key/value (deprecato) additional.fields |
| cgroup_driver | about.labels.key/value (deprecato) additional.fields |
| kernel_version | about.labels.key/value (deprecato) additional.fields |
| os | about.labels.key/value (deprecato) additional.fields |
| os_type | target.platform(enum) |
| architettura | about.labels.key/value (deprecato) additional.fields |
| CPU | about.labels.key/value (deprecato) additional.fields |
| memoria | about.labels.key/value (deprecato) additional.fields |
| http_proxy | about.labels.key/value (deprecato) additional.fields |
| https_proxy | about.labels.key/value (deprecato) additional.fields |
| no_proxy | about.labels.key/value (deprecato) additional.fields |
| nome | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema docker_network_labels e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| chiave | target.resource.attribute.labels.key/value |
| valore | about.labels.key/value (deprecato) additional.fields |
docker_networks
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_networks e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| nome | about.labels.key/value (deprecato) additional.fields |
| conducente | about.labels.key/value (deprecato) additional.fields |
| creato | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (deprecato) additional.fields |
| subnet | about.labels.key/value (deprecato) additional.fields |
| gateway | about.labels.key/value (deprecato) additional.fields |
ec2_instance_metadata
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema ec2_instance_metadata e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (deprecato) additional.fields |
| architettura | about.labels.key/value (deprecato) additional.fields |
| regione | target.location.country_or_region |
| availability_zone | about.labels.key/value (deprecato) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| Mac | target.mac |
| security_groups | about.labels.key/value (deprecato) additional.fields |
| iam_arn | about.labels.key/value (deprecato) additional.fields |
| ami_id | about.labels.key/value (deprecato) additional.fields |
| reservation_id | about.labels.key/value (deprecato) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value (deprecato) additional.fields |
es_process_events
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema es_process_events e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| versione | target.platform_version |
| seq_num | about.labels.key/value (deprecato) additional.fields |
| global_seq_num | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| percorso | target.process.file.full_path |
| principale | target.process.parent_process.pid |
| original_parent | about.labels.key/value (deprecato) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (deprecato) additional.fields |
| env | about.labels.key/value (deprecato) additional.fields |
| env_count | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (deprecato) additional.fields |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| signing_id | about.labels.key/value (deprecato) additional.fields |
| team_id | about.labels.key/value (deprecato) additional.fields |
| cdhash | about.labels.key/value (deprecato) additional.fields |
| platform_binary | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| child_pid | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| event_type | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema etc_hosts e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| indirizzo | target.ip |
| nomi host | about.hostname |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
etc_protocols
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema etc_protocols e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | network.ip_protocol |
| numero | about.labels.key/value (deprecato) additional.fields |
| alias | about.labels.key/value (deprecato) additional.fields |
| commento | about.labels.key/value (deprecato) additional.fields |
etc_services
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema etc_services e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| porta | target.port |
| protocollo | network.ip_protocol |
| alias | about.labels.key/value (deprecato) additional.fields |
| commento | about.labels.key/value (deprecato) additional.fields |
file
La tabella seguente elenca i campi dei log e le relative mappature UDM per il file dello schema e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| directory | about.labels.key/value (deprecato) additional.fields |
| filename | target.file.names |
| Inode | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modalità | about.labels.key/value (deprecato) additional.fields |
| dispositivo | target.asset.asset_id |
| dimensioni | target.file.size |
| block_size | about.labels.key/value (deprecato) additional.fields |
| atime | target.file.last_seen_time |
| minuti | target.file.last_modification_time |
| ctime | about.labels.key/value (deprecato) additional.fields |
| btime | about.labels.key/value (deprecato) additional.fields |
| hard_links | about.labels.key/value (deprecato) additional.fields |
| symlink | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| attributes | about.labels.key/value (deprecato) additional.fields |
| volume_serial | about.labels.key/value (deprecato) additional.fields |
| file_id | about.labels.key/value (deprecato) additional.fields |
| file_version | about.labels.key/value (deprecato) additional.fields |
| product_version | about.labels.key/value (deprecato) additional.fields |
| bsd_flags | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
| mount_namespace_id | about.labels.key/value (deprecato) additional.fields |
file_events
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per lo schema file_events e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| operazione | about.labels.key/value (deprecato) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eseguibile | about.labels.key/value (deprecato) additional.fields |
| parziale | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| percorso | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (deprecato) additional.fields |
| euid | about.labels.key/value (deprecato) additional.fields |
| egid | about.labels.key/value (deprecato) additional.fields |
| fsuid | about.labels.key/value (deprecato) additional.fields |
| fsgid | about.labels.key/value (deprecato) additional.fields |
| Suid | about.labels.key/value (deprecato) additional.fields |
| sgid | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
gatekeeper
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per lo schema gatekeeper e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (deprecato) additional.fields |
| dev_id_enabled | about.labels.key/value (deprecato) additional.fields |
| versione | target.asset.software.version |
| opaque_version | about.labels.key/value (deprecato) additional.fields |
gatekeeper_approved_apps
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema gatekeeper_approval_apps e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| requisito | about.labels.key/value (deprecato) additional.fields |
| ctime | about.labels.key/value (deprecato) additional.fields |
| minuti | target.resource.attribute.last_update_time |
gruppi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i gruppi di schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| nomegruppo | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| commento | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
La tabella seguente elenca i campi di log e le relative mappature UDM per lo schema hardware_events e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| azione | security_result.action_details |
| percorso | target.asset.attribute.labels.key/value |
| tipo | target.asset.attribute.labels.key/value |
| conducente | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| modello | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| revisione | target.asset.attribute.labels.key/value |
| tempo | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per l'hash dello schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| directory | about.labels.key/value (deprecato) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
| mount_namespace_id | about.labels.key/value (deprecato) additional.fields |
interface_addresses
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema interface_addresses e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| indirizzo | target.ip |
| maschera | about.labels.key/value (deprecato) additional.fields |
| trasmettere | about.labels.key/value (deprecato) additional.fields |
| point_to_point | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| friendly_name | about.labels.key/value (deprecato) additional.fields |
interface_details
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema interface_details e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| mac | target.mac |
| tipo | about.labels.key/value (deprecato) additional.fields |
| mtu | about.labels.key/value (deprecato) additional.fields |
| metrica | about.labels.key/value (deprecato) additional.fields |
| flags | about.labels.key/value (deprecato) additional.fields |
| ipackets | about.labels.key/value (deprecato) additional.fields |
| opacket | about.labels.key/value (deprecato) additional.fields |
| ibyte | network.sent_bytes |
| obyte | network.received_bytes |
| ierrors | about.labels.key/value (deprecato) additional.fields |
| oerrors | about.labels.key/value (deprecato) additional.fields |
| idrop | about.labels.key/value (deprecato) additional.fields |
| odrops | about.labels.key/value (deprecato) additional.fields |
| collisioni | about.labels.key/value (deprecato) additional.fields |
| last_change | about.labels.key/value (deprecato) additional.fields |
| link_speed | about.labels.key/value (deprecato) additional.fields |
| pci_slot | about.labels.key/value (deprecato) additional.fields |
| friendly_name | about.labels.key/value (deprecato) additional.fields |
| description | about.labels.key/value (deprecato) additional.fields |
| produttore | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (deprecato) additional.fields |
| connection_status | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| physical_adapter | about.labels.key/value (deprecato) additional.fields |
| velocità | about.labels.key/value (deprecato) additional.fields |
| servizio | target.application |
| dhcp_enabled | about.labels.key/value (deprecato) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (deprecato) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (deprecato) additional.fields |
| dns_host_name | about.labels.key/value (deprecato) additional.fields |
| dns_server_search_order | about.labels.key/value (deprecato) additional.fields |
interface_ipv6
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema interface_ipv6 e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| hop_limit | about.labels.key/value (deprecato) additional.fields |
| forwarding_enabled | about.labels.key/value (deprecato) additional.fields |
| redirect_accept | about.labels.key/value (deprecato) additional.fields |
| rtadv_accept | about.labels.key/value (deprecato) additional.fields |
iptables
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema iptables e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (deprecato) additional.fields |
| catena | about.labels.key/value (deprecato) additional.fields |
| criterio | about.labels.key/value (deprecato) additional.fields |
| target | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (deprecato) additional.fields |
| iniface | about.labels.key/value (deprecato) additional.fields |
| iniface_mask | about.labels.key/value (deprecato) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (deprecato) additional.fields |
| faccia esterna | about.labels.key/value (deprecato) additional.fields |
| outiface_mask | about.labels.key/value (deprecato) additional.fields |
| corrispondenza | about.labels.key/value (deprecato) additional.fields |
| pacchetti | about.labels.key/value (deprecato) additional.fields |
| byte | network.received_bytes |
kernel_panics
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per lo schema kernel_panics e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| tempo | about.labels.key/value (deprecato) additional.fields |
| registri | about.labels.key/value (deprecato) additional.fields |
| frame_backtrace | about.labels.key/value (deprecato) additional.fields |
| module_backtrace | about.labels.key/value (deprecato) additional.fields |
| delle dipendenze | about.labels.key/value (deprecato) additional.fields |
| nome | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (deprecato) additional.fields |
| system_model | target.asset.hardware.model |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| last_loaded | about.labels.key/value (deprecato) additional.fields |
| last_unloaded | about.labels.key/value (deprecato) additional.fields |
keychain_acls
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema keychain_acls e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (deprecato) additional.fields |
| autorizzazioni | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| description | metadata.description |
| etichetta | about.labels.key/value (deprecato) additional.fields |
known_hosts
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema known_hosts e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | target.user.userid |
| chiave | about.labels.key/value (deprecato) additional.fields |
| key_file | target.file.full_path |
ultima
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema precedente e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome utente | target.user.user_display_name |
| TTY | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| tipo | about.labels.key/value (deprecato) additional.fields |
| type_name | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
listening_ports
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema Listen_ports e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| porta | target.port |
| protocollo | network.ip_protocol |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| indirizzo | target.ip |
| fd | about.labels.key/value (deprecato) additional.fields |
| socket | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| net_namespace | about.labels.key/value (deprecato) additional.fields |
logged_in_users
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema logs_in_users e per il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.userid |
| TTY | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
| tempo | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (deprecato) additional.fields |
| registry_hive | about.labels.key/value (deprecato) additional.fields |
logon_sessions
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema logon_sessions e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.user_display_name |
| logon_domain | about.labels.key/value (deprecato) additional.fields |
| authentication_package | about.labels.key/value (deprecato) additional.fields |
| logon_type | about.labels.key/value (deprecato) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (deprecato) additional.fields |
| logon_time | about.labels.key/value (deprecato) additional.fields |
| logon_server | about.labels.key/value (deprecato) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (deprecato) additional.fields |
| logon_script | about.labels.key/value (deprecato) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (deprecato) additional.fields |
| home_directory_drive | about.labels.key/value (deprecato) additional.fields |
lxd_certificates
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema lxd_certificates e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | security_result.detection_fields.key/value |
| tipo | security_result.detection_fields.key/value |
| impronta | security_result.detection_fields.key/value |
| certificato | security_result.detection_fields.key/value |
lxd_networks
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema lxd_networks e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| gestita | about.labels.key/value (deprecato) additional.fields |
| ipv4_address | about.labels.key/value (deprecato) additional.fields |
| ipv6_address | about.labels.key/value (deprecato) additional.fields |
| used_by | about.labels.key/value (deprecato) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (deprecato) additional.fields |
| pacchetti_inviati | about.labels.key/value (deprecato) additional.fields |
| hwaddr | about.labels.key/value (deprecato) additional.fields |
| state | about.labels.key/value (deprecato) additional.fields |
| mtu | about.labels.key/value (deprecato) additional.fields |
managed_policies
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema managed_policies e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dominio | target.administrative_domain |
| uuid | about.labels.key/value (deprecato) additional.fields |
| nome | about.labels.key/value (deprecato) additional.fields |
| valore | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| manuale | about.labels.key/value (deprecato) additional.fields |
memory_devices
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema memory_devices e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| handle | about.labels.key/value (deprecato) additional.fields |
| array_handle | about.labels.key/value (deprecato) additional.fields |
| form_factor | about.labels.key/value (deprecato) additional.fields |
| total_width | about.labels.key/value (deprecato) additional.fields |
| data_width | about.labels.key/value (deprecato) additional.fields |
| dimensioni | about.labels.key/value (deprecato) additional.fields |
| set | about.labels.key/value (deprecato) additional.fields |
| device_locator | about.labels.key/value (deprecato) additional.fields |
| bank_locator | about.labels.key/value (deprecato) additional.fields |
| memory_type | about.labels.key/value (deprecato) additional.fields |
| memory_type_details | about.labels.key/value (deprecato) additional.fields |
| max_speed | about.labels.key/value (deprecato) additional.fields |
| configured_clock_speed | about.labels.key/value (deprecato) additional.fields |
| produttore | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (deprecato) additional.fields |
| min_voltage | about.labels.key/value (deprecato) additional.fields |
| max_voltage | about.labels.key/value (deprecato) additional.fields |
| configured_voltage | about.labels.key/value (deprecato) additional.fields |
ntdomains
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per ntdomains dello schema e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| client_site_name | about.labels.key/value (deprecato) additional.fields |
| dc_site_name | about.labels.key/value (deprecato) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (deprecato) additional.fields |
| domain_name | target.administrative_domain |
| stato | about.labels.key/value (deprecato) additional.fields |
ntfs_acl_permissions
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema ntfs_acl_permissions e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| tipo | about.labels.key/value (deprecato) additional.fields |
| entità | about.labels.key/value (deprecato) additional.fields |
| accesso | about.labels.key/value (deprecato) additional.fields |
| inherited_from | about.labels.key/value (deprecato) additional.fields |
os_version
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema os_version e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| versione | principal.platform_version |
| principale | about.labels.key/value (deprecato) additional.fields |
| minore | about.labels.key/value (deprecato) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value (deprecato) additional.fields |
| piattaforma | principal.platform |
| platform_like | about.labels.key/value (deprecato) additional.fields |
| nome in codice | about.labels.key/value (deprecato) additional.fields |
| arch | about.labels.key/value (deprecato) additional.fields |
| install_date | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
| mount_namespace_id | about.labels.key/value (deprecato) additional.fields |
osquery_events
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema osquery_events e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| publisher | about.label.key/value |
| tipo | about.label.key/value |
| abbonamenti | about.label.key/value |
| eventi | about.label.key/value |
| aggiornamenti | about.label.key/value |
| attivo | about.label.key/value |
di sicurezza
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per le patch dello schema e per Windows OS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (deprecato) additional.fields |
| didascalia | about.labels.key/value (deprecato) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (deprecato) additional.fields |
| installed_by | about.labels.key/value (deprecato) additional.fields |
| install_date | about.labels.key/value (deprecato) additional.fields |
| installed_on | about.labels.key/value (deprecato) additional.fields |
pci_devices
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema pci_devices e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (deprecato) additional.fields |
| pci_class | principal.labels.key/value (deprecato) additional.fields |
| conducente | principal.labels.key/value (deprecato) additional.fields |
| vendor | principal.labels.key/value (deprecato) additional.fields |
| vendor_id | principal.labels.key/value (deprecato) additional.fields |
| modello | principal.asset.hardware.model |
| model_id | principal.labels.key/value (deprecato) additional.fields |
| sottosistema | principal.labels.key/value (deprecato) additional.fields |
| Express | principal.labels.key/value (deprecato) additional.fields |
| Thunderbolt | principal.labels.key/value (deprecato) additional.fields |
| rimovibile | principal.labels.key/value (deprecato) additional.fields |
| pci_class_id | principal.labels.key/value (deprecato) additional.fields |
| pci_subclass_id | principal.labels.key/value (deprecato) additional.fields |
| pci_subclass | principal.labels.key/value (deprecato) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (deprecato) additional.fields |
| subsystem_vendor | principal.labels.key/value (deprecato) additional.fields |
| subsystem_model_id | principal.labels.key/value (deprecato) additional.fields |
| subsystem_model | principal.labels.key/value (deprecato) additional.fields |
tubi
La tabella seguente elenca i campi dei log e le relative mappature UDM per i pipe dello schema e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | target.resource.name |
| istanze | about.labels.key/value (deprecato) additional.fields |
| max_instances | about.labels.key/value (deprecato) additional.fields |
| flags | about.labels.key/value (deprecato) additional.fields |
powershell_events
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema powershell_events e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | metadata.collected_timestamp |
| dataora | about.labels.key/value (deprecato) additional.fields |
| script_block_id | about.labels.key/value (deprecato) additional.fields |
| script_block_count | about.labels.key/value (deprecato) additional.fields |
| script_text | about.labels.key/value (deprecato) additional.fields |
| script_name | about.labels.key/value (deprecato) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (deprecato) additional.fields |
process_envs
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema process_envs e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| chiave | about.labels.key |
| valore | about.labels.value |
process_events
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema process_events e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| versione | target.platform_version |
| seq_num | about.labels.key/value (deprecato) additional.fields |
| global_seq_num | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| percorso | target.file.full_path |
| principale | target.process.parent_process.pid |
| original_parent | about.labels.key/value (deprecato) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (deprecato) additional.fields |
| env | about.labels.key/value (deprecato) additional.fields |
| env_count | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (deprecato) additional.fields |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| signing_id | about.labels.key/value (deprecato) additional.fields |
| team_id | about.labels.key/value (deprecato) additional.fields |
| cdhash | about.labels.key/value (deprecato) additional.fields |
| platform_binary | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| child_pid | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| event_type | about.labels.key/value (deprecato) additional.fields |
| eid | about.labels.key/value (deprecato) additional.fields |
process_file_events
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema process_file_events e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| operazione | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eseguibile | about.labels.key/value (deprecato) additional.fields |
| parziale | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| dest_path | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Auid | about.labels.key/value (deprecato) additional.fields |
| euid | about.labels.key/value (deprecato) additional.fields |
| egid | about.labels.key/value (deprecato) additional.fields |
| fsuid | about.labels.key/value (deprecato) additional.fields |
| fsgid | about.labels.key/value (deprecato) additional.fields |
| Suid | about.labels.key/value (deprecato) additional.fields |
| sgid | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema process_open_sockets e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (deprecato) additional.fields |
| socket | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| percorso | target.file.full_path |
| state | about.labels.key/value (deprecato) additional.fields |
| net_namespace | about.labels.key/value (deprecato) additional.fields |
processi
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per i processi dello schema e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (deprecato) additional.fields |
| root | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (deprecato) additional.fields |
| egid | about.labels.key/value (deprecato) additional.fields |
| Suid | about.labels.key/value (deprecato) additional.fields |
| sgid | about.labels.key/value (deprecato) additional.fields |
| on_disk | about.labels.key/value (deprecato) additional.fields |
| wired_size | about.labels.key/value (deprecato) additional.fields |
| resident_size | about.labels.key/value (deprecato) additional.fields |
| total_size | about.labels.key/value (deprecato) additional.fields |
| user_time | about.labels.key/value (deprecato) additional.fields |
| system_time | about.labels.key/value (deprecato) additional.fields |
| byte_letto_disco | about.labels.key/value (deprecato) additional.fields |
| disk_bytes_written | about.labels.key/value (deprecato) additional.fields |
| start_time | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| pgroup | about.labels.key/value (deprecato) additional.fields |
| thread | about.labels.key/value (deprecato) additional.fields |
| bello | about.labels.key/value (deprecato) additional.fields |
| elevated_token | about.labels.key/value (deprecato) additional.fields |
| secure_process | about.labels.key/value (deprecato) additional.fields |
| protection_type | about.labels.key/value (deprecato) additional.fields |
| virtual_process | about.labels.key/value (deprecato) additional.fields |
| elapsed_time | about.labels.key/value (deprecato) additional.fields |
| handle_count | about.labels.key/value (deprecato) additional.fields |
| percent_processor_time | about.labels.key/value (deprecato) additional.fields |
| upid | about.labels.key/value (deprecato) additional.fields |
| uppid | about.labels.key/value (deprecato) additional.fields |
| cpu_type | about.labels.key/value (deprecato) additional.fields |
| cpu_subtype | about.labels.key/value (deprecato) additional.fields |
programmi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i programmi schema e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| versione | target.platform_version |
| install_location | about.labels.key/value (deprecato) additional.fields |
| install_source | about.labels.key/value (deprecato) additional.fields |
| lingua | about.labels.key/value (deprecato) additional.fields |
| publisher | about.labels.key/value (deprecato) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (deprecato) additional.fields |
| identifying_number | about.labels.key/value (deprecato) additional.fields |
scheduled_tasks
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per lo schema scheduled_tasks e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| azione | security_result.action_details |
| percorso | target.file.full_path |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| state | about.labels.key/value (deprecato) additional.fields |
| nascosto | about.labels.key/value (deprecato) additional.fields |
| last_run_time | about.labels.key/value (deprecato) additional.fields |
| next_run_time | about.labels.key/value (deprecato) additional.fields |
| last_run_message | about.labels.key/value (deprecato) additional.fields |
| last_run_code | about.labels.key/value (deprecato) additional.fields |
seccomp_events
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema seccomp_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| auid | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ss | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (deprecato) additional.fields |
| exe | target.file.full_path |
| SIG | about.labels.key/value (deprecato) additional.fields |
| arch | about.labels.key/value (deprecato) additional.fields |
| syscall | about.labels.key/value (deprecato) additional.fields |
| compatibile | about.labels.key/value (deprecato) additional.fields |
| ip | about.labels.key/value (deprecato) additional.fields |
| codice | about.labels.key/value (deprecato) additional.fields |
seLinux_events
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema seLinux_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| messaggio | metadata.description |
| tempo | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
shadow
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per lo schema shadow e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| password_status | about.labels.key/value (deprecato) additional.fields |
| hash_alg | about.labels.key/value (deprecato) additional.fields |
| last_change | about.labels.key/value (deprecato) additional.fields |
| min | about.labels.key/value (deprecato) additional.fields |
| max | about.labels.key/value (deprecato) additional.fields |
| avviso | about.labels.key/value (deprecato) additional.fields |
| non attivo | about.labels.key/value (deprecato) additional.fields |
| expire | about.labels.key/value (deprecato) additional.fields |
| flag | about.labels.key/value (deprecato) additional.fields |
| nome utente | principal.user.user_display_name |
shell_history
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema shell_history e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| tempo | about.labels.key/value (deprecato) additional.fields |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema shimcache e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| voce | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (deprecato) additional.fields |
firma
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per la firma dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| hash_resources | about.labels.key/value (deprecato) additional.fields |
| arch | about.labels.key/value (deprecato) additional.fields |
| firma apposta | target.file.pe_file.signature_info.verified |
| identificatore | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (deprecato) additional.fields |
| team_identifier | about.labels.key/value (deprecato) additional.fields |
| autorità | about.labels.key/value (deprecato) additional.fields |
sip_config
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema sip_config e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| enabled_nvram | about.labels.key/value (deprecato) additional.fields |
socket_events
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema socket_events e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| azione | security_result.action_details |
| pid | target.process.pid |
| percorso | target.process.file.full_path |
| fd | about.labels.key/value (deprecato) additional.fields |
| Auid | target.user.userid |
| stato | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
| operazione riuscita | about.labels.key/value (deprecato) additional.fields |
sudoers
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema sudoers e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| origine | about.labels.key/value (deprecato) additional.fields |
| intestazione | about.labels.key/value (deprecato) additional.fields |
| rule_details | about.labels.key/value (deprecato) additional.fields |
syslog_events
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema syslog_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | about.labels.key/value (deprecato) additional.fields |
| dataora | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
| gravità | risultato_sicurezza.severity (enum) |
| struttura | about.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| messaggio | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
system_info
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema system_info e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome host | principal.administrative_domain |
| UUID | about.labels.key/value (deprecato) additional.fields |
| cpu_type | about.labels.key/value (deprecato) additional.fields |
| cpu_subtype | about.labels.key/value (deprecato) additional.fields |
| cpu_brand | about.labels.key/value (deprecato) additional.fields |
| cpu_physical_cores | about.labels.key/value (deprecato) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (deprecato) additional.fields |
| physical_memory | about.labels.key/value (deprecato) additional.fields |
| hardware_vendor | about.labels.key/value (deprecato) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (deprecato) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (deprecato) additional.fields |
| board_model | about.labels.key/value (deprecato) additional.fields |
| board_version | about.labels.key/value (deprecato) additional.fields |
| board_serial | about.labels.key/value (deprecato) additional.fields |
| computer_name | about.labels.key/value (deprecato) additional.fields |
| local_hostname | about.labels.key/value (deprecato) additional.fields |
tpm_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema tpm_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| attivato | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| di proprietà | about.labels.key/value (deprecato) additional.fields |
| manufacturer_version | about.labels.key/value (deprecato) additional.fields |
| manufacturer_id | about.labels.key/value (deprecato) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (deprecato) additional.fields |
| spec_version | about.labels.key/value (deprecato) additional.fields |
usb_devices
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema usb_devices e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (deprecato) additional.fields |
| usb_port | about.labels.key/value (deprecato) additional.fields |
| vendor | about.labels.key/value (deprecato) additional.fields |
| vendor_id | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| modello | target.asset.hardware.model |
| model_id | about.labels.key/value (deprecato) additional.fields |
| serial | target.asset.hardware.serial_number |
| classe | about.labels.key/value (deprecato) additional.fields |
| sottoclasse | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| rimovibile | about.labels.key/value (deprecato) additional.fields |
user_events
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema user_events e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| messaggio | metadata.description |
| tipo | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| indirizzo | about.labels.key/value (deprecato) additional.fields |
| terminale | about.labels.key/value (deprecato) additional.fields |
| tempo | metadata.collected_timestamp |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
user_groups
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema user_groups e il sistema operativo Linux, macOS, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
utenti
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per gli utenti dello schema e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (deprecato) additional.fields |
| gid_signed | about.labels.key/value (deprecato) additional.fields |
| nome utente | principal.user.user_display_name |
| description | about.labels.key/value (deprecato) additional.fields |
| directory | about.labels.key/value (deprecato) additional.fields |
| shell | about.labels.key/value (deprecato) additional.fields |
| uuid | principal.user.product_object_id |
| tipo | about.labels.key/value (deprecato) additional.fields |
| is_hidden | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
wifi_networks
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema wifi_networks e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| SSID | target.labels.key/value (deprecato) additional.fields |
| network_name | target.labels.key/value (deprecato) additional.fields |
| security_type | target.labels.key/value (deprecato) additional.fields |
| last_connected | about.labels.key/value (deprecato) additional.fields |
| passpoint | about.labels.key/value (deprecato) additional.fields |
| possibly_hidden | about.labels.key/value (deprecato) additional.fields |
| roaming | about.labels.key/value (deprecato) additional.fields |
| roaming_profile | about.labels.key/value (deprecato) additional.fields |
| captive_portal | about.labels.key/value (deprecato) additional.fields |
| auto_login | target.labels.key/value (deprecato) additional.fields |
| temporarily_disabled | target.labels.key/value (deprecato) additional.fields |
| disattivata | target.labels.key/value (deprecato) additional.fields |
windows_crashes
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema Windows_crashes e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dataora | about.labels.key/value (deprecato) additional.fields |
| modulo | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| process_uptime | about.labels.key/value (deprecato) additional.fields |
| stack_trace | about.labels.key/value (deprecato) additional.fields |
| exception_code | about.labels.key/value (deprecato) additional.fields |
| exception_message | about.labels.key/value (deprecato) additional.fields |
| exception_address | about.labels.key/value (deprecato) additional.fields |
| registri | about.labels.key/value (deprecato) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| machine_name | about.labels.key/value (deprecato) additional.fields |
| major_version | about.labels.key/value (deprecato) additional.fields |
| minor_version | about.labels.key/value (deprecato) additional.fields |
| build_number | target.platform_version |
| tipo | about.labels.key/value (deprecato) additional.fields |
| crash_path | about.labels.key/value (deprecato) additional.fields |
windows_eventlog
L'analizzatore sintattico degli eventi Windows (WinEVTLOG) mappa questi eventi. Per ulteriori informazioni, consulta Raccolta di dati sugli eventi di Microsoft Windows."
windows_events
L'analizzatore sintattico degli eventi Windows (WinEVTLOG) mappa questi eventi. Per ulteriori informazioni, consulta Raccolta di dati sugli eventi di Microsoft Windows.
windows_firewall_rules
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema Windows_firewall_rules e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| app_name | target.application |
| azione | security_result.action (enum) |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| raggruppamento | about.labels.key/value (deprecato) additional.fields |
| direction | network.direction |
| protocollo | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (deprecato) additional.fields |
| profile_domain | about.labels.key/value (deprecato) additional.fields |
| profile_private | about.labels.key/value (deprecato) additional.fields |
| profile_public | about.labels.key/value (deprecato) additional.fields |
| service_name | about.labels.key/value (deprecato) additional.fields |
windows_security_center
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema Windows_security_center e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| aggiornamento automatico | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema Windows_security_products e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| nome | target.resource.name |
| state | about.labels.key/value (deprecato) additional.fields |
| state_timestamp | about.labels.key/value (deprecato) additional.fields |
| remediation_path | about.labels.key/value (deprecato) additional.fields |
| signatures_up_to_date | about.labels.key/value (deprecato) additional.fields |
wmi_bios_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema wmi_bios_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| valore | about.labels.key/value (deprecato) additional.fields |
Yara
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema yara e i sistemi operativi Linux, macOS, freebsd, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| corrisponde a | about.labels.key/value (deprecato) additional.fields |
| conteggio | about.labels.key/value (deprecato) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| Sigrule | security_result.detection_fields.key/value |
| stringhe | about.labels.key/value (deprecato) additional.fields |
| tags | about.labels.key/value (deprecato) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema yara_events e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| categoria | about.labels.key/value (deprecato) additional.fields |
| azione | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| corrisponde a | about.labels.key/value (deprecato) additional.fields |
| conteggio | about.labels.key/value (deprecato) additional.fields |
| stringhe | about.labels.key/value (deprecato) additional.fields |
| tags | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |