Raccogli dati di Microsoft Windows Sysmon

Questo documento:

  • descrive l'architettura di deployment e i passaggi di installazione, oltre a qualsiasi configurazione richiesta che produca log supportati dall'analizzatore sintattico di Chronicle per gli eventi Sysmon di Microsoft Windows. Per una panoramica dell'importazione dei dati di Chronicle, consulta la sezione Importazione dei dati su Chronicle.
  • include informazioni su come l'analizzatore sintattico mappa i campi nel log originale ai campi del modello di dati unificati Chronicle.

Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con l'etichetta di importazione WINDOWS_SYSMON. L'etichetta di importazione identifica quale analizzatore sintattico normalizza i dati di log non elaborati nel formato UDM strutturato.

Prima di iniziare

Questo diagramma rappresenta i componenti principali consigliati in una struttura di deployment per raccogliere e inviare i dati Sysmon di Microsoft Windows a Chronicle. Confronta queste informazioni con il tuo ambiente per assicurarti che questi componenti siano installati. Il deployment di ciascun cliente sarà diverso da quello indicato e potrebbe essere più complesso. È obbligatorio:

  • I sistemi nell'architettura di deployment sono configurati con il fuso orario UTC.
  • Sysmon viene installato su server, endpoint e controller di dominio.
  • Il server di raccolta Microsoft Windows riceve i log da server, endpoint e controller di dominio.
  • I sistemi Microsoft Windows nell'architettura di deployment utilizzano:

    • Abbonamenti avviati da origine per raccogliere eventi su più dispositivi.
    • Servizio WinRM per la gestione di sistemi da remoto.
  • NXLog è installato sul server Windows di Collector per inoltrare i log all'inoltratore di Chronicle.

  • L'inoltro Chronicle è installato su un server Microsoft Windows o Linux centrale.

    Architettura di deployment

Esamina le versioni e i dispositivi supportati

L'analizzatore sintattico di Chronicle supporta i log generati dalle seguenti versioni di server Microsoft Windows. Microsoft Windows Server è disponibile con le seguenti versioni: Foundation, Essentials, Standard e Datacenter. Lo schema di log generato da ogni versione non è diverso.

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012

L'analizzatore sintattico di Chronicle supporta i log generati da:

  • Sistemi client Microsoft Windows 7 e versioni successive
  • Sysmon versione 13.24.

L'analizzatore sintattico di Chronicle supporta i log raccolti da NXLog Community o Enterprise Edition.

Esamina i tipi di log supportati

L'analizzatore sintattico di Chronicle supporta i seguenti tipi di log generati da Microsoft Windows Sysmon. Per ulteriori informazioni su questi tipi di log, consulta la documentazione di Microsoft Windows Sysmon. Supporta i log generati con testo in lingua inglese e non sono supportati con i log generati in lingue diverse dall'inglese.

Tipo di log Descrizione
Log Sysmon Il canale Sysmon contiene 27 ID evento. (ID evento: da 1 a 26 e 255).
Per una descrizione di questo tipo di log, consulta la documentazione relativa agli eventi Sysmon di Microsoft Windows

Configura i server, gli endpoint e i controller di dominio di Microsoft Windows

  1. Installare e configurare i server, gli endpoint e i controller di dominio. Per informazioni, consulta la documentazione sulla configurazione di Microsoft Windows.
  2. Configura un server Windows Windows per la raccolta dei dati per analizzare i log raccolti da più sistemi.
  3. Configurare il server centrale di Microsoft Windows o Linux
  4. Configura tutti i sistemi con il fuso orario UTC.
  5. Configura i dispositivi in modo che inoltrino i log al server di raccolta di Microsoft Windows.

Configura l'inoltro NXLog e Chronicle

  1. Installa NXLog sul server di raccolta Microsoft Windows. Segui la documentazione di NXLog, incluse informazioni sulla configurazione di NXLog per la raccolta di log da Sysmon.
  2. Crea un file di configurazione per NXLog. Utilizza il modulo di input im_msvistalog. Di seguito è riportata una configurazione di esempio di NXLog. Sostituisci i valori <hostname> e <port> con informazioni sul server Microsoft Windows o Linux centrale di destinazione. Per ulteriori informazioni, consulta la documentazione di NXLog sul modulo om_tcp.

    define ROOT     C:\Program Files (x86)\nxlog
    define SYSMON_OUTPUT_DESTINATION_ADDRESS <hostname>
    define SYSMON_OUTPUT_DESTINATION_PORT <port>
    define CERTDIR  %ROOT%\cert
    define CONFDIR  %ROOT%\conf
    define LOGDIR   %ROOT%\data
    define LOGFILE  %LOGDIR%\nxlog.log
    LogFile %LOGFILE%
    
    Moduledir %ROOT%\modules
    CacheDir  %ROOT%\data
    Pidfile   %ROOT%\data\nxlog.pid
    SpoolDir  %ROOT%\data
    
    <Extension _json>
        Module      xm_json
    </Extension>
    
    <Input windows_sysmon_eventlog>
        Module  im_msvistalog
        <QueryXML>
            <QueryList>
                <Query Id="0">
                    <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
                </Query>
            </QueryList>
        </QueryXML>
        ReadFromLast  False
        SavePos  False
    </Input>
    
    <Output out_chronicle_sysmon>
        Module      om_tcp
        Host        %SYSMON_OUTPUT_DESTINATION_ADDRESS%
        Port        %SYSMON_OUTPUT_DESTINATION_PORT%
        Exec        $EventTime = integer($EventTime) / 1000;
        Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
        Exec        to_json();
    </Output>
    
    <Route r2>
        Path    windows_sysmon_eventlog => out_chronicle_sysmon
    </Route>
    
  3. Installa lo strumento di inoltro Chronicle sul server centrale di Microsoft Windows o Linux. Per informazioni sull'installazione e la configurazione dell'inoltro, consulta Installare e configurare lo strumento di inoltro su Linux o Installare e configurare lo strumento di inoltro su Microsoft Windows.

  4. Configura lo strumento di inoltro di Chronicle per inviare i log a Chronicle. Ecco una configurazione di esempio.

      - syslog:
          common:
            enabled: true
            data_type: WINDOWS_SYSMON
            Data_hint:
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    
  5. Avvia il servizio NXLog.

Riferimento per la mappatura dei campi: campi evento dispositivo a campi UDM

In questa sezione viene descritto in che modo l'analizzatore sintattico mappa i campi di log del dispositivo originali ai campi UDM (Unified Data Model). La mappatura dei campi può variare in base all'ID evento.

Campi comuni

Campo NXLog Campo UDM
UtcTime metadata.event_timestamp
Categoria security_result.summary e metadata.product_event_type
NomeAccount entità.user.id
Dominio entità.administrative_domain
Numero di record metadata.product_log_id
NomeHost nome.entità
ID utente entità.user.windows_sid
GravitàValore security_result.severity
ID evento security_result.rule_name impostato su "EventID: %{EventID}"

metadata.product_event_type impostato su "%{Category} [%{EventID}]"

ID evento: 1

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_LAUNCH"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid target.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo target.process.pid
Immagine target.process.file.full_path
Descrizione metadata.description
Riga di comando target.process.command_line
Utente Dominio archiviato in entità.administrative_domain

Il nome utente memorizzato in entità.user.userid
Hash In base all'algoritmo hash.
  • MD5 archiviato in target.process.file.md5
  • SHA256 archiviato in target.process.file.sha256
  • SHA1 archiviato in target.process.file.sha1
ParentProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ParentProcessGuid>"
ID processo principale entità.process.pid
ImmaginePrincipale entità.process.file.full_path
Riga di comando principale entità.process.command_line

ID evento: 2

Campo NXLog Campo UDM
metadata.event_type impostato su "FILE_MODIFICATION"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Nome file di destinazione target.file.full_path
CreazioneUtcTime target.resource.attribute.labels.key set to "CreationUtcTime" and value stored in target.resource.attribute.labels.value
TempoPrecedenteCreationUtc target.resource.attribute.labels.key set to "PreviousCreationUtcTime" e valuestore in.resource.attribute.labels.value

ID evento: 3

Campo NXLog Campo UDM
metadata.event_type impostato su "NETWORK_CONNECTION"

security_result.action impostato su "ALLOW"

network.direction" impostato su "OUTBOUND"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Utente Dominio archiviato in entità.administrative_domain

Il nome utente memorizzato in entità.user.userid"
Protocollo network.ip_protocol
IP di origine entità.ip
Porta di origine entità.port
Destinazione target.ip
Nome host destinazione nome host.target
Porta di destinazione target.port

ID evento: 4

Campo NXLog Campo UDM
metadata.event_type impostato su "SETTING_MODIFICATION"

target.resource.resource_type impostato su "SETTING"

resource.resource_subtype set to "State"
UtcTime metadata.event_timestamp
Stato target.resource.name
Versione metadata.product_version

ID evento: 5

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_TERMINATION"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>
ID processo target.process.pid
Immagine target.process.file.full_path

ID evento: 6

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_MODULE_LOAD"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
Caricamento immagine entità.process.file.full_path
Hash Il campo compilato viene determinato dall'algoritmo Hash.
  • MD5 archiviato in target.process.file.md5
  • SHA256 archiviato in target.process.file.sha256
  • SHA1 archiviato in target.process.file.sha1
Firmata target.resource.attribute.labels.key set to "Signed" and value set to target.resource.attribute.labels.value
Firma target.resource.attribute.labels.key set to "quot;Signature" e il valore memorizzato in target.resource.attribute.labels.value
FirmaStato target.resource.attribute.labels.key set to "SignatureStatus" and value stored in target.resource.attribute.labels.value

ID evento: 7

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_MODULE_LOAD"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>
ID processo entità.process.pid
Immagine entità.process.file.full_path
Caricamento immagine target.process.file.full_path
Descrizione metadata.description
Hash Il campo compilato viene determinato dall'algoritmo Hash.
  • MD5 archiviato in target.process.file.md5
  • SHA256 archiviato in target.process.file.sha256
  • SHA1 archiviato in target.process.file.sha1
Firmata target.resource.attribute.labels.key set to "Signed" and value importanti in target.resource.attribute.labels.value
Firma target.resource.attribute.labels.key set to "Signature"
Valore della firma in target.resource.attribute.labels.value
FirmaStato target.resource.attribute.labels.key set to "SignatureStatus" and value stored in target.resource.attribute.labels.value

ID evento: 8

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_MODULE_LOAD"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
SourceProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<SourceProcessGuid>"
ID processo di origine entità.process.pid
Immagine di origine entità.process.file.full_path
TargetProcessGuid target.process.product_specific_process_id impostato su "SYSMON:<TargetProcessGuid>"
ID processo di elaborazione target.process.pid
Immagine di destinazione target.process.file.full_path

ID evento: 9

Campo NXLog Campo UDM
metadata.event_type impostato su "FILE_READ"

Se il campo Log dei dispositivi, necessario per convalidare il tipo di evento FILE_READ UDM, non è disponibile, l'attributo metadata.event_type è impostato su "GENERIC_EVENT".

NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>
ID processo entità.process.pid
Immagine entità.process.file.full_path
Dispositivo target.file.full_path

ID evento: 10

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_OPEN"

target.resource.resource_subtype impostato su "GrantedAccess"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ID processo di origine entità.process.product_specific_process_id impostato su "SYSMON:<SourceProcessGuid>"
ID processo di origine entità.process.pid
Immagine di origine entità.process.file.full_path
TargetProcessGUID target.process.product_specific_process_id impostato su "SYSMON:<TargetProcessGuid>"
ID processo di elaborazione target.process.pid
Immagine di destinazione target.process.file.full_path
Accesso concesso target.resource.name

ID evento: 11

Campo NXLog Campo UDM
metadata.event_type impostato su "FILE_CREATION"

target.resource.resource_subtype set to "CreationUtcTime"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Nome file di destinazione target.file.full_path
CreazioneUtcTime target.resource.name

ID evento: 12

Campo NXLog Campo UDM
Se il campo Il messaggio contiene "CreateKey|CreateValue", metadata.event_type impostato su "REGISTRY_CREATION"

Se il campo Messaggio contiene "DeleteKey|DeleteValue",
metadata.event_type impostato su REGISTRY_DELETION

In caso contrario, metadata.event_REG &
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Oggetto di destinazione target.registry.registry_key

ID evento: 13

Campo NXLog Campo UDM
metadata.event_type impostato su "REGISTRY_MODIFICATION"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Oggetto di destinazione target.registry.registry_key
Dettagli target.registry.registry_value_data

ID evento: 14

Campo NXLog Campo UDM
metadata.event_type impostato su "REGISTRY_MODIFICATION"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Oggetto di destinazione src.registry.registry_key
Nuovo nome target.registry.registry_key

ID evento: 15

Campo NXLog Campo UDM
metadata.event_type impostato su FILE_CREATION
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine entità.process.file.full_path
Nome file di destinazione target.file.full_path
CreazioneUtcTime target.resource.attribute.labels.key set to "CreationUtcTime" and value stored in target.resource.attribute.labels.value
Hash Il campo compilato viene determinato dall'algoritmo Hash.
  • Se specifichi MD5, il valore viene memorizzato in target.process.file.md5
  • Se SHA256 è impostato sul valore è archiviato in target.process.file.sha256
  • Se SHA1, il valore è archiviato in target.process.file.sha1

ID evento: 16

Campo NXLog Campo UDM
metadata.event_type impostato su "SETTING_MODIFICATION"
UtcTime metadata.event_timestamp
ID processo target.process.pid
Configurazione Il valore viene memorizzato in target.process.command_line quando questo valore di campo contiene qualsiasi riga di comando o processo

Il valore viene memorizzato in target.process.file.full_path quando questo valore di campo contiene il percorso del file di configurazione.
HashFilediConfigurazione Il campo compilato viene determinato dall'algoritmo Hash.
  • Se specifichi MD5, il valore viene memorizzato in target.process.file.md5
  • Se SHA256 è impostato sul valore è archiviato in target.process.file.sha256
  • Se SHA1, il valore è archiviato in target.process.file.sha1

ID evento: 17

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_UNCATEGORIZED"

target.resource.resource_type set to "PIPE"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid target.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo target.process.pid
Nome barra verticale target.resource.name
Immagine target.process.file.full_path

ID evento: 18

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_UNCATEGORIZED"

target.resource.resource_type set to "PIPE"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid target.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo target.process.pid
Nome barra verticale target.resource.name
Immagine target.process.file.full_path

ID evento: 19

Campo NXLog Campo UDM
metadata.event_type impostato su USER_RESOURCE_ACCESS
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
Operazione
Utente Il dominio è archiviato in entità.administrative_domain

Il nome utente è memorizzato in main.user.userid
Spazio dei nomi degli eventi target.file.full_path
Nome target.application
Query target.resource.name

ID evento: 20

Campo NXLog Campo UDM
metadata.event_type impostato su "USER_RESOURCE_ACCESS"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
Operazione target.resource.attribute.labels.key set to "Operation" e il valore viene memorizzato in target.resource.attribute.labels.value
Utente Il dominio è archiviato in entità.administrative_domain

Il nome utente è memorizzato in primary.user.userid
Nome target.resource.attribute.labels.key set to "Name"
Nome del valore in target.resource.attribute.labels.value
Tipo target.resource.attribute.labels.key set to "Type" e il valore viene memorizzato in target.resource.attribute.labels.value
Destinazione target.resource.name

ID evento: 21

Campo NXLog Campo UDM
metadata.event_type impostato su "USER_RESOURCE_ACCESS"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
Operazione target.resource.attribute.labels.key set to "Operation" e il valore viene memorizzato in target.resource.attribute.labels.value
Utente Il dominio è memorizzato in come entità.administrative_domain

Il nome utente è memorizzato in come entità.userid.user
Consumer target.resource.attribute.labels.key set to "Consumer" e il valore viene memorizzato in target.resource.attribute.labels.value
Filtra target.resource.name

ID evento: 22

Campo NXLog Campo UDM
metadata.event_type impostato su "NETWORK_DNS"

network.application_protocol impostato su "DNS"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
NomeQuery network.dns.questions
Stato Query Archiviato in security_result.summary come "Stato query: "
RisultatiQuery Il tipo viene salvato su network.dns.answers.type con valori separati da un punto e virgola (;).
I dati vengono salvati in network.dns.answers.data
. I valori senza tipo sono mappati a network.dns.answers.data.
Immagine entità.process.file.full_path

ID evento: 23

Campo NXLog Campo UDM
metadata.event_type impostato su "FILE_DELETION"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Utente Dominio archiviato in entità.administrative_domain

Il nome utente memorizzato in entità.user.userid
Immagine entità.process.file.full_path
Nome file di destinazione target.file.full_path
Hash Il campo compilato viene determinato dall'algoritmo Hash.
  • MD5 impostato su target.process.file.md5
  • SHA256 impostato su target.process.file.sha256
  • SHA1 impostato su target.process.file.sha1
Eseguibile Campo target.resource.attribute.labels.key set to "IsExecutable" e il valore viene memorizzato in target.resource.attribute.labels.value
Archiviata target.resource.attribute.labels.key set to "Archived" e il valore viene memorizzato in target.resource.attribute.labels.value

ID evento: 24

Campo NXLog Campo UDM
metadata.event_type impostato su "RESOURCE_READ"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid target.process.product_specific_process_id impostato su "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine target.process.file.full_path

target.resource.name
ClientInfo ip archiviato in target.ip
nome host memorizzato in target.hostname
utente archiviato in entità.user.userid
Hash Il campo compilato viene determinato dall'algoritmo Hash.
  • Se MD5, valore memorizzato in target.process.file.md5
  • Se SHA256, valore memorizzato in target.process.file.sha256
  • Se SHA1, valore memorizzato in target.process.file.sha1
Archiviata target.resource.attribute.labels.key set to "Archived" and value importanti in target.resource.attribute.labels.value

ID evento: 25

Campo NXLog Campo UDM
metadata.event_type impostato su "PROCESS_LAUNCH"
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid target.process.product_specific_process_id archiviato come "SYSMON:<ProcessGuid>"
ID processo entità.process.pid
Immagine target.process.file.full_path

ID evento: 26

Campo NXLog Campo UDM
metadata.event_type impostato su FILE_DELETION
NomeRegola security_result.rule_name [nome_regola_di_sicurezza]
UtcTime metadata.event_timestamp
ProcessGuid entità.process.product_specific_process_id impostato su "SYSMON:%{ProcessGuid}
ID processo entità.process.pid
Utente Dominio impostato su entità.administrative_domain

Nome utente impostato su entità.user.userid
Immagine entità.process.file.full_path
Nome file di destinazione target.file.full_path
Hash In base all'algoritmo hash.
MD5 impostato su target.process.file.md5
SHA256 impostato su target.process.file.sha256
SHA1 impostato su target.process.file.sha1
Eseguibile target.resource.attribute.labels.key set to "IsExecutable" & value in target.resource.attribute.labels.value

ID evento: 255

Campo NXLog Campo UDM
metadata.event_type impostato su SERVICE_UNSPECIFIED

metadata.product_event_type impostato su "Error - [255]"

target.application impostato su "Microsoft Sysmon"
UtcTime metadata.event_timestamp
ID security_result.summary
Descrizione security_result.description