Recolha registos do osquery
Este documento descreve como pode recolher registos do osquery configurando o osquery e um encaminhador do Google Security Operations. Este documento também apresenta uma lista dos tipos de registos suportados e das versões do osquery suportadas.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Vista geral
O diagrama de arquitetura de implementação seguinte mostra como os agentes osquery e o servidor Fleet são configurados para enviar registos para o Google Security Operations. Cada implementação do cliente pode ser diferente desta representação e pode ser mais complexa.
O diagrama de arquitetura mostra os seguintes componentes:
Sistema Linux: o sistema Linux a ser monitorizado no qual o agente osquery está instalado
Sistema Microsoft Windows: o sistema Microsoft Windows a ser monitorizado no qual o agente osquery está instalado
Sistema Mac: o sistema Mac a ser monitorizado no qual o agente osquery está instalado
Agente osquery: recolhe informações do sistema Microsoft Windows, Linux ou Mac e encaminha as informações para o servidor Fleet
Servidor da frota: monitoriza e recebe informações dos agentes osquery, analisa os registos e encaminha-os para o encaminhador do Google Security Operations
Agente do Bindplane: o agente do Bindplane obtém registos do osquery e envia-os para o Google SecOps.
Encaminhador do Google Security Operations: um componente de software simples implementado na rede do cliente para encaminhar os registos para o Google Security Operations
Google Security Operations: retém e analisa os registos do servidor de frotas
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento OSQUERY_EDR.
Antes de começar
Instale o servidor Fleet. Para instalar o servidor do Fleet, faça o seguinte:
Use uma versão do osquery compatível com o analisador do Google Security Operations, ou seja, 5.2.3 e 5.3.0.
Verifique se todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
Verifique se os nomes das tabelas no Fleet estão de acordo com a documentação oficial do Fleet.
Configure o agente, o servidor e o encaminhador do Google Security Operations do osquery
Para configurar o servidor Fleet e o encaminhador do Google Security Operations, faça o seguinte:
Para configurar o servidor Fleet, faça o seguinte:
Adicione anfitriões ao servidor do Fleet e instale o agente osquery. Pode adicionar o seu anfitrião ao servidor do Fleet com um instalador do osquery. O servidor de frotas ajuda a gerar um instalador do osquery com o comando do pacote fleetctl.
- Execute o comando do pacote fleetctl instalando a ferramenta de linha de comandos fleetctl.
- Instale o agente osquery com o comando de pacote fleetctl.
Quando instala o instalador do osquery gerado num anfitrião, o anfitrião inscreve-se automaticamente na instância da frota especificada.
Obtenha os registos do agente osquery. Para criar uma consulta no Fleet para obter os registos, consulte Crie uma consulta e, para agendar uma consulta, consulte Agende uma consulta.
Configure o encaminhador do Google Security Operations num dispositivo Linux central para enviar os registos para o sistema Google Security Operations. Para mais informações, visite o artigo Instalar e configurar o encaminhador no Linux. Segue-se um exemplo de uma configuração de encaminhador do Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path> filter:
Encaminhe registos para o Google SecOps através do agente Bindplane
- Instale e configure uma máquina virtual Linux.
- Instale e configure o agente Bindplane no Linux para encaminhar registos para o Google SecOps. Para mais informações sobre como instalar e configurar o agente Bindplane, consulte as instruções de instalação e configuração do agente Bindplane.
Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.
Formatos de registo do osquery suportados
O analisador osquery suporta registos no formato JSON.
Registos de exemplo do osquery suportados
JSON:
{ "name": "account_policy_data", "hostIdentifier": "dummyhostidentifier", "calendarTime": "Tue May 17 11:27:28 2022 UTC", "unixTime": 1652786848, "epoch": 0, "counter": 0, "numerics": false, "decorations": { "host_uuid": "dummy_host_uuid", "hostname": "dummyhostname" }, "columns": { "creation_time": "1637733429.23442", "failed_login_count": "0", "failed_login_timestamp": "0.0", "password_last_set_time": "1645164584.43137", "uid": "501" }, "action": "added" }
Referência de mapeamento de campos
Esta secção explica como o analisador do Google Security Operations mapeia os campos de registo do osquery para os campos do modelo de dados unificado (UDM) do Google Security Operations para o esquema e o sistema operativo. Para mais informações, consulte o esquema do osquery para a versão 5.2.3 e a versão 5.3.0.
account_policy_data
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema account_policy_data e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
A tabela seguinte indica os campos de registo e as associações da UDM correspondentes para o esquema ad_config e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| domínio | target.administrative_domain |
| opção | about.labels.key (descontinuado) additional.fields.key |
| valor | about.labels.value (descontinuado) additional.fields.value.string_value |
alf
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema alf e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (descontinuado) additional.fields |
| firewall_unload | about.labels.key/value (descontinuado) additional.fields |
| global_state | about.labels.key/value (descontinuado) additional.fields |
| logging_enabled | about.labels.key/value (descontinuado) additional.fields |
| logging_option | about.labels.key/value (descontinuado) additional.fields |
| stealth_enabled | about.labels.key/value (descontinuado) additional.fields |
| versão | target.platform_version |
alf_exceptions
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema alf_exceptions e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| estado | about.labels.key/value (descontinuado) additional.fields |
alf_explicit_auths
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema alf_explicit_auths e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| processar | target.process.pid |
app_schemes
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para a app_schemes do esquema e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| esquema | about.labels.key/value (descontinuado) additional.fields |
| controlador | about.labels.key/value (descontinuado) additional.fields |
| ativada | about.labels.key/value (descontinuado) additional.fields |
| externo | about.labels.key/value (descontinuado) additional.fields |
| protegido | about.labels.key/value (descontinuado) additional.fields |
apparmor_events
A tabela seguinte apresenta os campos de registo e os mapeamentos UDM correspondentes para o esquema apparmor_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pai ou mãe | target.process.parent_process.pid |
| perfil | about.labels.key/value (descontinuado) additional.fields |
| nome | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (descontinuado) additional.fields |
| capname | about.labels.key/value (descontinuado) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capacidade | about.labels.key/value (descontinuado) additional.fields |
| requested_mask | target.process.access_mask |
| informação | about.labels.key/value (descontinuado) additional.fields |
| erro | security_result.summary |
| espaço de nome | about.labels.key/value (descontinuado) additional.fields |
| etiqueta | about.labels.key/value (descontinuado) additional.fields |
apparmor_profiles
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para a apparmor_profiles do esquema e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| nome | target.resource.name |
| anexar | about.labels.key/value (descontinuado) additional.fields |
| modo | about.labels.key/value (descontinuado) additional.fields |
| sha1 | target.file.sha1 |
apps
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para as apps de esquema e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | target.application |
| caminho | target.file.full_path |
| bundle_executable | about.labels.key/value (descontinuado) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (descontinuado) additional.fields |
| ambiente | about.labels.key/value (descontinuado) additional.fields |
| elemento | about.labels.key/value (descontinuado) additional.fields |
| compilador | about.labels.key/value (descontinuado) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (descontinuado) additional.fields |
| info_string | about.labels.key/value (descontinuado) additional.fields |
| minimum_system_version | about.labels.key/value (descontinuado) additional.fields |
| categoria | about.labels.key/value (descontinuado) additional.fields |
| applescript_enabled | about.labels.key/value (descontinuado) additional.fields |
| direitos de autor | about.labels.key/value (descontinuado) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema asl e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| time_nano_sec | about.labels.key/value (descontinuado) additional.fields |
| anfitrião | target.hostname |
| remetente | about.labels.key/value (descontinuado) additional.fields |
| instalação | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| nível | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| ref_pid | about.labels.key/value (descontinuado) additional.fields |
| ref_proc | about.labels.key/value (descontinuado) additional.fields |
| extra | about.labels.key/value (descontinuado) additional.fields |
authenticode
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema authenticode e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| original_program_name | about.labels.key/value (descontinuado) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| result | security_result.summary |
authorization_mechanisms
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema authorization_mechanisms e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| etiqueta | about.labels.key/value (descontinuado) additional.fields |
| plugin | about.labels.key/value (descontinuado) additional.fields |
| mecanismo | about.labels.key/value (descontinuado) additional.fields |
| privilegiado | about.labels.key/value (descontinuado) additional.fields |
| entrada | about.labels.key/value (descontinuado) additional.fields |
autorizações
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para as autorizações de esquemas e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| etiqueta | about.labels.key/value (descontinuado) additional.fields |
| modificada | about.labels.key/value (descontinuado) additional.fields |
| allow_root | about.labels.key/value (descontinuado) additional.fields |
| tempo limite excedido | about.labels.key/value (descontinuado) additional.fields |
| versão | about.labels.key/value (descontinuado) additional.fields |
| tenta | about.labels.key/value (descontinuado) additional.fields |
| authenticate_user | about.labels.key/value (descontinuado) additional.fields |
| partilhada | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
| criado | about.labels.key/value (descontinuado) additional.fields |
| classe | about.labels.key/value (descontinuado) additional.fields |
| session_owner | about.labels.key/value (descontinuado) additional.fields |
autoexec
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema autoexec e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| nome | target.application |
| fonte | target.resource.name |
bitlocker_info
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema bitlocker_info e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (descontinuado) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| versão | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema bpf_process_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tid | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| pai ou mãe | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| probe_error | about.labels.key/value (descontinuado) additional.fields |
| syscall | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.process.file.full_path |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| duração | about.labels.key/value (descontinuado) additional.fields |
| json_cmdline | about.labels.key/value (descontinuado) additional.fields |
| ntime | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
A tabela seguinte apresenta os campos de registo e os mapeamentos UDM correspondentes para o esquema bpf_socket_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tid | about.labels.key/value (descontinuado) additional.fields |
| pid | principal.process.pid |
| pai ou mãe | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| probe_error | about.labels.key/value (descontinuado) additional.fields |
| syscall | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.file.full_path |
| fd | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duração | about.labels.key/value (descontinuado) additional.fields |
| ntime | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
certificados
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para os certificados de esquema e o SO macOS, Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| common_name | about.labels.key/value (descontinuado) additional.fields |
| assunto | network.tls.client.certificate.subject |
| emissor | network.tls.client.certificate.issuer |
| ca | about.labels.key/value (descontinuado) additional.fields |
| self_signed | about.labels.key/value (descontinuado) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (descontinuado) additional.fields |
| key_algorithm | about.labels.key/value (descontinuado) additional.fields |
| key_strength | about.labels.key/value (descontinuado) additional.fields |
| key_usage | about.labels.key/value (descontinuado) additional.fields |
| subject_key_id | about.labels.key/value (descontinuado) additional.fields |
| authority_key_id | about.labels.key/value (descontinuado) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| caminho | about.labels.key/value (descontinuado) additional.fields |
| número de série | network.tls.client.certificate.serial |
| sid | about.labels.key/value (descontinuado) additional.fields |
| store_location | about.labels.key/value (descontinuado) additional.fields |
| loja | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | principal.user.user_display_name |
| store_id | about.labels.key/value (descontinuado) additional.fields |
chassis_info
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema chassis_info e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value (descontinuado) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (descontinuado) additional.fields |
| descrição | metadata.description |
| bloquear | about.labels.key/value (descontinuado) additional.fields |
| fabricante | principal.asset.hardware.manufacturer |
| modelo | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| número de série | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (descontinuado) additional.fields |
| sku | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| visible_alarm | about.labels.key/value (descontinuado) additional.fields |
chrome_extensions
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema chrome_extensions e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| nome | target.resource.name |
| perfil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identificador | target.resource.attribute.labels.key/value |
| versão | target.resource.attribute.labels.key/value |
| descrição | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| autor | target.resource.attribute.labels.key/value |
| persistente | target.resource.attribute.labels.key/value |
| caminho | target.file.full_path |
| autorizações | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenciado | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| estado | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| chave | target.resource.attribute.labels.key/value |
conetividade
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para a conetividade do esquema e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| desligado | about.labels.key/value (descontinuado) additional.fields |
| ipv4_no_traffic | about.labels.key/value (descontinuado) additional.fields |
| ipv6_no_traffic | about.labels.key/value (descontinuado) additional.fields |
| ipv4_subnet | about.labels.key/value (descontinuado) additional.fields |
| ipv4_local_network | about.labels.key/value (descontinuado) additional.fields |
| ipv4_internet | about.labels.key/value (descontinuado) additional.fields |
| ipv6_subnet | about.labels.key/value (descontinuado) additional.fields |
| ipv6_local_network | about.labels.key/value (descontinuado) additional.fields |
| ipv6_internet | about.labels.key/value (descontinuado) additional.fields |
cpu_info
A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o esquema cpu_info e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| modelo | principal.asset.hardware.model |
| fabricante | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (descontinuado) additional.fields |
| disponibilidade | about.labels.key/value (descontinuado) additional.fields |
| cpu_status | about.labels.key/value (descontinuado) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (descontinuado) additional.fields |
| address_width | about.labels.key/value (descontinuado) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (descontinuado) additional.fields |
falhas de sistema
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para as falhas de esquema e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| caminho | target.process.file.full_path |
| crash_path | target.file.full_path |
| identificador | about.labels.key/value (descontinuado) additional.fields |
| versão | about.labels.key/value (descontinuado) additional.fields |
| pai ou mãe | target.process.parent_process.pid |
| responsável | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (descontinuado) additional.fields |
| stack_trace | about.labels.key/value (descontinuado) additional.fields |
| exception_type | about.labels.key/value (descontinuado) additional.fields |
| exception_codes | about.labels.key/value (descontinuado) additional.fields |
| exception_notes | about.labels.key/value (descontinuado) additional.fields |
| registos | about.labels.key/value (descontinuado) additional.fields |
crontab
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema crontab e os SO Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| evento | about.labels.key/value (descontinuado) additional.fields |
| minuto | about.labels.key/value (descontinuado) additional.fields |
| hora | about.labels.key/value (descontinuado) additional.fields |
| day_of_month | about.labels.key/value (descontinuado) additional.fields |
| mês | about.labels.key/value (descontinuado) additional.fields |
| day_of_week | about.labels.key/value (descontinuado) additional.fields |
| comando | principal.process.command_line |
| caminho | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
curl
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema curl e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| url | network.http.referral_url |
| método | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| bytes | network.received_bytes |
| result | about.labels.key/value (descontinuado) additional.fields |
curl_certificate
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema curl_certificate e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| hostname | principal.hostname |
| common_name | about.labels.key/value (descontinuado) additional.fields |
| organização | network.organization_name |
| organization_unit | about.labels.key/value (descontinuado) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (descontinuado) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (descontinuado) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| versão | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (descontinuado) additional.fields |
| assinatura | about.labels.key/value (descontinuado) additional.fields |
| subject_key_identifier | about.labels.key/value (descontinuado) additional.fields |
| authority_key_identifier | about.labels.key/value (descontinuado) additional.fields |
| key_usage | about.labels.key/value (descontinuado) additional.fields |
| extended_key_usage | about.labels.key/value (descontinuado) additional.fields |
| políticas | about.labels.key/value (descontinuado) additional.fields |
| subject_alternative_names | about.labels.key/value (descontinuado) additional.fields |
| issuer_alternative_names | about.labels.key/value (descontinuado) additional.fields |
| info_access | about.labels.key/value (descontinuado) additional.fields |
| subject_info_access | about.labels.key/value (descontinuado) additional.fields |
| policy_mappings | about.labels.key/value (descontinuado) additional.fields |
| has_expired | about.labels.key/value (descontinuado) additional.fields |
| basic_constraint | about.labels.key/value (descontinuado) additional.fields |
| name_constraints | about.labels.key/value (descontinuado) additional.fields |
| policy_constraints | about.labels.key/value (descontinuado) additional.fields |
| dump_certificate | about.labels.key/value (descontinuado) additional.fields |
| tempo limite excedido | about.labels.key/value (descontinuado) additional.fields |
| pem | about.labels.key/value (descontinuado) additional.fields |
device_file
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o dispositivo de esquema de ficheiros e os SOs Linux, macOS, freebsd e Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| dispositivo | about.labels.key/value (descontinuado) additional.fields |
| partição | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.file.full_path |
| nome de ficheiro | target.file.names |
| inode | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modo | about.labels.key/value (descontinuado) additional.fields |
| tamanho | target.file.size |
| block_size | about.labels.key/value (descontinuado) additional.fields |
| atime | about.labels.key/value (descontinuado) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| hard_links | about.labels.key/value (descontinuado) additional.fields |
| escrever | about.labels.key/value (descontinuado) additional.fields |
device_hash
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema device_hash e os SOs Linux, macOS, freebsd e Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| dispositivo | target.file.full_path |
| partição | about.labels.key/value (descontinuado) additional.fields |
| inode | about.labels.key/value (descontinuado) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o esquema disk_info e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| partições | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| escrever | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (descontinuado) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| fabricante | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| nome | principal.asset.attribute.labels.key/value |
| número de série | principal.asset.hardware.serial_number |
| descrição | principal.asset.attribute.labels.key/value |
dns_cache
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema dns_cache e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | network.dns.additional.name |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
dns_resolvers
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema dns_resolvers e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | about.labels.key/value (descontinuado) additional.fields |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| morada | principal.ip |
| netmask | about.labels.key/value (descontinuado) additional.fields |
| de configuração | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
docker_container_networks
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema docker_container_networks e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| nome | network.carrier_name |
| network_id | about.labels.key/value (descontinuado) additional.fields |
| endpoint_id | about.labels.key/value (descontinuado) additional.fields |
| gateway | about.labels.key/value (descontinuado) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (descontinuado) additional.fields |
| ipv6_gateway | about.labels.key/value (descontinuado) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (descontinuado) additional.fields |
| mac_address | target.mac |
docker_container_ports
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema docker_container_ports e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| escrever | network.ip_protocol |
| porta | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema docker_container_processes e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| nome | target.process.file.full_path |
| cmdline | target.process.command_line |
| estado | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (descontinuado) additional.fields |
| resident_size | about.labels.key/value (descontinuado) additional.fields |
| total_size | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| pai ou mãe | target.process.parent_process.pid |
| pgroup | about.labels.key/value (descontinuado) additional.fields |
| discussões | about.labels.key/value (descontinuado) additional.fields |
| nice | about.labels.key/value (descontinuado) additional.fields |
| utilizador | target.user.user_display_name |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| cpu | about.labels.key/value (descontinuado) additional.fields |
| mem | about.labels.key/value (descontinuado) additional.fields |
docker_container_stats
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema docker_container_stats e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| nome | target.resource.name |
| pids | about.labels.key/value (descontinuado) additional.fields |
| ler | about.labels.key/value (descontinuado) additional.fields |
| preread | about.labels.key/value (descontinuado) additional.fields |
| intervalo | about.labels.key/value (descontinuado) additional.fields |
| disk_read | about.labels.key/value (descontinuado) additional.fields |
| disk_write | about.labels.key/value (descontinuado) additional.fields |
| num_procs | about.labels.key/value (descontinuado) additional.fields |
| cpu_total_usage | about.labels.key/value (descontinuado) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (descontinuado) additional.fields |
| cpu_usermode_usage | about.labels.key/value (descontinuado) additional.fields |
| system_cpu_usage | about.labels.key/value (descontinuado) additional.fields |
| online_cpus | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (descontinuado) additional.fields |
| pre_online_cpus | about.labels.key/value (descontinuado) additional.fields |
| memory_usage | about.labels.key/value (descontinuado) additional.fields |
| memory_max_usage | about.labels.key/value (descontinuado) additional.fields |
| memory_limit | about.labels.key/value (descontinuado) additional.fields |
| network_rx_bytes | about.labels.key/value (descontinuado) additional.fields |
| network_tx_bytes | about.labels.key/value (descontinuado) additional.fields |
docker_info
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema docker_info e o SO Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| contentores | about.labels.key/value (descontinuado) additional.fields |
| containers_running | about.labels.key/value (descontinuado) additional.fields |
| containers_paused | about.labels.key/value (descontinuado) additional.fields |
| containers_stopped | about.labels.key/value (descontinuado) additional.fields |
| imagens | about.labels.key/value (descontinuado) additional.fields |
| storage_driver | about.labels.key/value (descontinuado) additional.fields |
| memory_limit | about.labels.key/value (descontinuado) additional.fields |
| swap_limit | about.labels.key/value (descontinuado) additional.fields |
| kernel_memory | about.labels.key/value (descontinuado) additional.fields |
| cpu_cfs_period | about.labels.key/value (descontinuado) additional.fields |
| cpu_cfs_quota | about.labels.key/value (descontinuado) additional.fields |
| cpu_shares | about.labels.key/value (descontinuado) additional.fields |
| cpu_set | about.labels.key/value (descontinuado) additional.fields |
| ipv4_forwarding | about.labels.key/value (descontinuado) additional.fields |
| bridge_nf_iptables | about.labels.key/value (descontinuado) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (descontinuado) additional.fields |
| oom_kill_disable | about.labels.key/value (descontinuado) additional.fields |
| logging_driver | about.labels.key/value (descontinuado) additional.fields |
| cgroup_driver | about.labels.key/value (descontinuado) additional.fields |
| kernel_version | about.labels.key/value (descontinuado) additional.fields |
| os | about.labels.key/value (descontinuado) additional.fields |
| os_type | target.platform(enum) |
| arquitetura | about.labels.key/value (descontinuado) additional.fields |
| cpus | about.labels.key/value (descontinuado) additional.fields |
| memória | about.labels.key/value (descontinuado) additional.fields |
| http_proxy | about.labels.key/value (descontinuado) additional.fields |
| https_proxy | about.labels.key/value (descontinuado) additional.fields |
| no_proxy | about.labels.key/value (descontinuado) additional.fields |
| nome | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema docker_network_labels e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| chave | target.resource.attribute.labels.key/value |
| valor | about.labels.key/value (descontinuado) additional.fields |
docker_networks
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema docker_networks e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| nome | about.labels.key/value (descontinuado) additional.fields |
| condutor | about.labels.key/value (descontinuado) additional.fields |
| criado | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (descontinuado) additional.fields |
| sub-rede | about.labels.key/value (descontinuado) additional.fields |
| gateway | about.labels.key/value (descontinuado) additional.fields |
ec2_instance_metadata
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema ec2_instance_metadata e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (descontinuado) additional.fields |
| arquitetura | about.labels.key/value (descontinuado) additional.fields |
| região | target.location.country_or_region |
| availability_zone | about.labels.key/value (descontinuado) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (descontinuado) additional.fields |
| iam_arn | about.labels.key/value (descontinuado) additional.fields |
| ami_id | about.labels.key/value (descontinuado) additional.fields |
| reservation_id | about.labels.key/value (descontinuado) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value (descontinuado) additional.fields |
es_process_events
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema es_process_events e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| versão | target.platform_version |
| seq_num | about.labels.key/value (descontinuado) additional.fields |
| global_seq_num | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| caminho | target.process.file.full_path |
| pai ou mãe | target.process.parent_process.pid |
| original_parent | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (descontinuado) additional.fields |
| env | about.labels.key/value (descontinuado) additional.fields |
| env_count | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (descontinuado) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | target.user.user_display_name |
| signing_id | about.labels.key/value (descontinuado) additional.fields |
| team_id | about.labels.key/value (descontinuado) additional.fields |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| platform_binary | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| child_pid | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| event_type | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema etc_hosts e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| morada | target.ip |
| hostnames | about.hostname |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
etc_protocols
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema etc_protocols e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | network.ip_protocol |
| número | about.labels.key/value (descontinuado) additional.fields |
| alias | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
etc_services
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema etc_services e os SO macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| porta | target.port |
| protocolo | network.ip_protocol |
| aliases | about.labels.key/value (descontinuado) additional.fields |
| comentário | about.labels.key/value (descontinuado) additional.fields |
ficheiro
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o ficheiro de esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| nome de ficheiro | target.file.names |
| inode | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modo | about.labels.key/value (descontinuado) additional.fields |
| dispositivo | target.asset.asset_id |
| tamanho | target.file.size |
| block_size | about.labels.key/value (descontinuado) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| btime | about.labels.key/value (descontinuado) additional.fields |
| hard_links | about.labels.key/value (descontinuado) additional.fields |
| symlink | about.labels.key/value (descontinuado) additional.fields |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| atributos | about.labels.key/value (descontinuado) additional.fields |
| volume_serial | about.labels.key/value (descontinuado) additional.fields |
| file_id | about.labels.key/value (descontinuado) additional.fields |
| file_version | about.labels.key/value (descontinuado) additional.fields |
| product_version | about.labels.key/value (descontinuado) additional.fields |
| bsd_flags | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
file_events
A tabela seguinte apresenta os campos de registo e os mapeamentos UDM correspondentes para o esquema file_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| executável | about.labels.key/value (descontinuado) additional.fields |
| parcial | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| caminho | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (descontinuado) additional.fields |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| fsuid | about.labels.key/value (descontinuado) additional.fields |
| fsgid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
gatekeeper
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o gatekeeper de esquemas e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (descontinuado) additional.fields |
| dev_id_enabled | about.labels.key/value (descontinuado) additional.fields |
| versão | target.asset.software.version |
| opaque_version | about.labels.key/value (descontinuado) additional.fields |
gatekeeper_approved_apps
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema gatekeeper_approved_apps e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| requisito | about.labels.key/value (descontinuado) additional.fields |
| ctime | about.labels.key/value (descontinuado) additional.fields |
| mtime | target.resource.attribute.last_update_time |
groups
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para os grupos de esquemas e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| comentário | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o esquema hardware_events e os SOs Linux e macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| ação | security_result.action_details |
| caminho | target.asset.attribute.labels.key/value |
| escrever | target.asset.attribute.labels.key/value |
| condutor | target.asset.attribute.labels.key/value |
| fornecedor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| modelo | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| número de série | target.asset.attribute.labels.key/value |
| revisão | target.asset.attribute.labels.key/value |
| tempo | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o hash do esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
interface_addresses
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema interface_addresses e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| interface | about.labels.key/value (descontinuado) additional.fields |
| morada | target.ip |
| máscara | about.labels.key/value (descontinuado) additional.fields |
| transmitir | about.labels.key/value (descontinuado) additional.fields |
| point_to_point | about.labels.key/value (descontinuado) additional.fields |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| friendly_name | about.labels.key/value (descontinuado) additional.fields |
interface_details
A tabela seguinte indica os campos de registo e as associações UDM correspondentes para a interface_details do esquema e os SO macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| interface | about.labels.key/value (descontinuado) additional.fields |
| mac | target.mac |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| mtu | about.labels.key/value (descontinuado) additional.fields |
| métrica | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
| ipackets | about.labels.key/value (descontinuado) additional.fields |
| opackets | about.labels.key/value (descontinuado) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value (descontinuado) additional.fields |
| oerrors | about.labels.key/value (descontinuado) additional.fields |
| idrops | about.labels.key/value (descontinuado) additional.fields |
| odrops | about.labels.key/value (descontinuado) additional.fields |
| colisões | about.labels.key/value (descontinuado) additional.fields |
| last_change | about.labels.key/value (descontinuado) additional.fields |
| link_speed | about.labels.key/value (descontinuado) additional.fields |
| pci_slot | about.labels.key/value (descontinuado) additional.fields |
| friendly_name | about.labels.key/value (descontinuado) additional.fields |
| descrição | about.labels.key/value (descontinuado) additional.fields |
| fabricante | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (descontinuado) additional.fields |
| connection_status | about.labels.key/value (descontinuado) additional.fields |
| ativada | about.labels.key/value (descontinuado) additional.fields |
| physical_adapter | about.labels.key/value (descontinuado) additional.fields |
| velocidade | about.labels.key/value (descontinuado) additional.fields |
| serviço | target.application |
| dhcp_enabled | about.labels.key/value (descontinuado) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (descontinuado) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (descontinuado) additional.fields |
| dns_host_name | about.labels.key/value (descontinuado) additional.fields |
| dns_server_search_order | about.labels.key/value (descontinuado) additional.fields |
interface_ipv6
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema interface_ipv6 e os SO Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| interface | about.labels.key/value (descontinuado) additional.fields |
| hop_limit | about.labels.key/value (descontinuado) additional.fields |
| forwarding_enabled | about.labels.key/value (descontinuado) additional.fields |
| redirect_accept | about.labels.key/value (descontinuado) additional.fields |
| rtadv_accept | about.labels.key/value (descontinuado) additional.fields |
iptables
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema iptables e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (descontinuado) additional.fields |
| cadeia | about.labels.key/value (descontinuado) additional.fields |
| política | about.labels.key/value (descontinuado) additional.fields |
| alvo | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (descontinuado) additional.fields |
| iniface | about.labels.key/value (descontinuado) additional.fields |
| iniface_mask | about.labels.key/value (descontinuado) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (descontinuado) additional.fields |
| outiface | about.labels.key/value (descontinuado) additional.fields |
| outiface_mask | about.labels.key/value (descontinuado) additional.fields |
| correspondência | about.labels.key/value (descontinuado) additional.fields |
| pacotes | about.labels.key/value (descontinuado) additional.fields |
| bytes | network.received_bytes |
kernel_panics
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema kernel_panics e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| registos | about.labels.key/value (descontinuado) additional.fields |
| frame_backtrace | about.labels.key/value (descontinuado) additional.fields |
| module_backtrace | about.labels.key/value (descontinuado) additional.fields |
| dependências | about.labels.key/value (descontinuado) additional.fields |
| nome | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (descontinuado) additional.fields |
| system_model | target.asset.hardware.model |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| last_loaded | about.labels.key/value (descontinuado) additional.fields |
| last_unloaded | about.labels.key/value (descontinuado) additional.fields |
keychain_acls
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema keychain_acls e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (descontinuado) additional.fields |
| autorizações | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.file.full_path |
| descrição | metadata.description |
| etiqueta | about.labels.key/value (descontinuado) additional.fields |
known_hosts
A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o esquema known_hosts e os SO Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | target.user.userid |
| chave | about.labels.key/value (descontinuado) additional.fields |
| key_file | target.file.full_path |
último
A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o esquema last e o SO Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome de utilizador | target.user.user_display_name |
| tty | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| type_name | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| anfitrião | target.hostname |
listening_ports
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema listening_ports e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| porta | target.port |
| protocolo | network.ip_protocol |
| família | about.labels.key/value (descontinuado) additional.fields |
| morada | target.ip |
| fd | about.labels.key/value (descontinuado) additional.fields |
| ligação | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.process.file.full_path |
| net_namespace | about.labels.key/value (descontinuado) additional.fields |
logged_in_users
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema logged_in_users e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| utilizador | target.user.userid |
| tty | about.labels.key/value (descontinuado) additional.fields |
| anfitrião | target.hostname |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (descontinuado) additional.fields |
| registry_hive | about.labels.key/value (descontinuado) additional.fields |
logon_sessions
A tabela seguinte lista os campos de registo e as associações da UDM correspondentes para o esquema logon_sessions e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (descontinuado) additional.fields |
| utilizador | target.user.user_display_name |
| logon_domain | about.labels.key/value (descontinuado) additional.fields |
| authentication_package | about.labels.key/value (descontinuado) additional.fields |
| logon_type | about.labels.key/value (descontinuado) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (descontinuado) additional.fields |
| logon_time | about.labels.key/value (descontinuado) additional.fields |
| logon_server | about.labels.key/value (descontinuado) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (descontinuado) additional.fields |
| logon_script | about.labels.key/value (descontinuado) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (descontinuado) additional.fields |
| home_directory_drive | about.labels.key/value (descontinuado) additional.fields |
lxd_certificates
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o esquema lxd_certificates e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | security_result.detection_fields.key/value |
| escrever | security_result.detection_fields.key/value |
| impressão digital | security_result.detection_fields.key/value |
| certificado | security_result.detection_fields.key/value |
lxd_networks
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema lxd_networks e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| gerida | about.labels.key/value (descontinuado) additional.fields |
| ipv4_address | about.labels.key/value (descontinuado) additional.fields |
| ipv6_address | about.labels.key/value (descontinuado) additional.fields |
| used_by | about.labels.key/value (descontinuado) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (descontinuado) additional.fields |
| packets_sent | about.labels.key/value (descontinuado) additional.fields |
| hwaddr | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| mtu | about.labels.key/value (descontinuado) additional.fields |
managed_policies
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema managed_policies e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| domínio | target.administrative_domain |
| uuid | about.labels.key/value (descontinuado) additional.fields |
| nome | about.labels.key/value (descontinuado) additional.fields |
| valor | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | target.user.user_display_name |
| manual | about.labels.key/value (descontinuado) additional.fields |
memory_devices
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para a memória_devices do esquema e os SOs Linux e macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| identificador | about.labels.key/value (descontinuado) additional.fields |
| array_handle | about.labels.key/value (descontinuado) additional.fields |
| form_factor | about.labels.key/value (descontinuado) additional.fields |
| total_width | about.labels.key/value (descontinuado) additional.fields |
| data_width | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.labels.key/value (descontinuado) additional.fields |
| definido | about.labels.key/value (descontinuado) additional.fields |
| device_locator | about.labels.key/value (descontinuado) additional.fields |
| bank_locator | about.labels.key/value (descontinuado) additional.fields |
| memory_type | about.labels.key/value (descontinuado) additional.fields |
| memory_type_details | about.labels.key/value (descontinuado) additional.fields |
| max_speed | about.labels.key/value (descontinuado) additional.fields |
| configured_clock_speed | about.labels.key/value (descontinuado) additional.fields |
| fabricante | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (descontinuado) additional.fields |
| min_voltage | about.labels.key/value (descontinuado) additional.fields |
| max_voltage | about.labels.key/value (descontinuado) additional.fields |
| configured_voltage | about.labels.key/value (descontinuado) additional.fields |
ntdomains
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema ntdomains e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| client_site_name | about.labels.key/value (descontinuado) additional.fields |
| dc_site_name | about.labels.key/value (descontinuado) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (descontinuado) additional.fields |
| domain_name | target.administrative_domain |
| estado | about.labels.key/value (descontinuado) additional.fields |
ntfs_acl_permissions
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema ntfs_acl_permissions e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| capital | about.labels.key/value (descontinuado) additional.fields |
| aceder | about.labels.key/value (descontinuado) additional.fields |
| inherited_from | about.labels.key/value (descontinuado) additional.fields |
os_version
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema os_version e os sistemas operativos macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| versão | principal.platform_version |
| principal | about.labels.key/value (descontinuado) additional.fields |
| menor | about.labels.key/value (descontinuado) additional.fields |
| patch | principal.platform_patch_level |
| criar | about.labels.key/value (descontinuado) additional.fields |
| plataforma | principal.platform |
| platform_like | about.labels.key/value (descontinuado) additional.fields |
| nome de código | about.labels.key/value (descontinuado) additional.fields |
| arco | about.labels.key/value (descontinuado) additional.fields |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
| mount_namespace_id | about.labels.key/value (descontinuado) additional.fields |
osquery_events
A tabela seguinte apresenta os campos de registo e as respetivas associações da UDM para o esquema osquery_events e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| editora | about.label.key/value |
| escrever | about.label.key/value |
| subscrições | about.label.key/value |
| eventos | about.label.key/value |
| atualiza | about.label.key/value |
| ativo | about.label.key/value |
patches
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para os patches de esquemas e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (descontinuado) additional.fields |
| Legenda | about.labels.key/value (descontinuado) additional.fields |
| descrição | metadata.description |
| fix_comments | about.labels.key/value (descontinuado) additional.fields |
| installed_by | about.labels.key/value (descontinuado) additional.fields |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| installed_on | about.labels.key/value (descontinuado) additional.fields |
pci_devices
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema pci_devices e o SO Linux, macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (descontinuado) additional.fields |
| pci_class | principal.labels.key/value (descontinuado) additional.fields |
| condutor | principal.labels.key/value (descontinuado) additional.fields |
| fornecedor | principal.labels.key/value (descontinuado) additional.fields |
| vendor_id | principal.labels.key/value (descontinuado) additional.fields |
| modelo | principal.asset.hardware.model |
| model_id | principal.labels.key/value (descontinuado) additional.fields |
| subsistema | principal.labels.key/value (descontinuado) additional.fields |
| expresso | principal.labels.key/value (descontinuado) additional.fields |
| relâmpago | principal.labels.key/value (descontinuado) additional.fields |
| amovível | principal.labels.key/value (descontinuado) additional.fields |
| pci_class_id | principal.labels.key/value (descontinuado) additional.fields |
| pci_subclass_id | principal.labels.key/value (descontinuado) additional.fields |
| pci_subclass | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_vendor | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_model_id | principal.labels.key/value (descontinuado) additional.fields |
| subsystem_model | principal.labels.key/value (descontinuado) additional.fields |
tubos
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para os pipes de esquema e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | target.resource.name |
| instâncias | about.labels.key/value (descontinuado) additional.fields |
| max_instances | about.labels.key/value (descontinuado) additional.fields |
| flags | about.labels.key/value (descontinuado) additional.fields |
powershell_events
A tabela seguinte apresenta os campos de registo e os mapeamentos UDM correspondentes para o esquema powershell_events e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | metadata.collected_timestamp |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| script_block_id | about.labels.key/value (descontinuado) additional.fields |
| script_block_count | about.labels.key/value (descontinuado) additional.fields |
| script_text | about.labels.key/value (descontinuado) additional.fields |
| script_name | about.labels.key/value (descontinuado) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (descontinuado) additional.fields |
process_envs
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema process_envs e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| chave | about.labels.key |
| valor | about.labels.value |
process_events
A tabela seguinte apresenta os campos de registo e as associações da UDM correspondentes para o esquema process_events e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| versão | target.platform_version |
| seq_num | about.labels.key/value (descontinuado) additional.fields |
| global_seq_num | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| caminho | target.file.full_path |
| pai ou mãe | target.process.parent_process.pid |
| original_parent | about.labels.key/value (descontinuado) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (descontinuado) additional.fields |
| env | about.labels.key/value (descontinuado) additional.fields |
| env_count | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (descontinuado) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | target.user.user_display_name |
| signing_id | about.labels.key/value (descontinuado) additional.fields |
| team_id | about.labels.key/value (descontinuado) additional.fields |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| platform_binary | about.labels.key/value (descontinuado) additional.fields |
| exit_code | about.labels.key/value (descontinuado) additional.fields |
| child_pid | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| event_type | about.labels.key/value (descontinuado) additional.fields |
| eid | about.labels.key/value (descontinuado) additional.fields |
process_file_events
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema process_file_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| operação | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| executável | about.labels.key/value (descontinuado) additional.fields |
| parcial | about.labels.key/value (descontinuado) additional.fields |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.file.full_path |
| dest_path | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (descontinuado) additional.fields |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| fsuid | about.labels.key/value (descontinuado) additional.fields |
| fsgid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema process_open_sockets e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (descontinuado) additional.fields |
| ligação | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| caminho | target.file.full_path |
| estado | about.labels.key/value (descontinuado) additional.fields |
| net_namespace | about.labels.key/value (descontinuado) additional.fields |
processos
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para os processos de esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.process.file.full_path |
| cmdline | target.process.command_line |
| estado | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (descontinuado) additional.fields |
| raiz | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (descontinuado) additional.fields |
| egid | about.labels.key/value (descontinuado) additional.fields |
| suid | about.labels.key/value (descontinuado) additional.fields |
| sgid | about.labels.key/value (descontinuado) additional.fields |
| on_disk | about.labels.key/value (descontinuado) additional.fields |
| wired_size | about.labels.key/value (descontinuado) additional.fields |
| resident_size | about.labels.key/value (descontinuado) additional.fields |
| total_size | about.labels.key/value (descontinuado) additional.fields |
| user_time | about.labels.key/value (descontinuado) additional.fields |
| system_time | about.labels.key/value (descontinuado) additional.fields |
| disk_bytes_read | about.labels.key/value (descontinuado) additional.fields |
| disk_bytes_written | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| pai ou mãe | target.process.parent_process.pid |
| pgroup | about.labels.key/value (descontinuado) additional.fields |
| discussões | about.labels.key/value (descontinuado) additional.fields |
| nice | about.labels.key/value (descontinuado) additional.fields |
| elevated_token | about.labels.key/value (descontinuado) additional.fields |
| secure_process | about.labels.key/value (descontinuado) additional.fields |
| protection_type | about.labels.key/value (descontinuado) additional.fields |
| virtual_process | about.labels.key/value (descontinuado) additional.fields |
| elapsed_time | about.labels.key/value (descontinuado) additional.fields |
| handle_count | about.labels.key/value (descontinuado) additional.fields |
| percent_processor_time | about.labels.key/value (descontinuado) additional.fields |
| upid | about.labels.key/value (descontinuado) additional.fields |
| uppid | about.labels.key/value (descontinuado) additional.fields |
| cpu_type | about.labels.key/value (descontinuado) additional.fields |
| cpu_subtype | about.labels.key/value (descontinuado) additional.fields |
programas
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para os programas de esquemas e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| versão | target.platform_version |
| install_location | about.labels.key/value (descontinuado) additional.fields |
| install_source | about.labels.key/value (descontinuado) additional.fields |
| idioma | about.labels.key/value (descontinuado) additional.fields |
| editora | about.labels.key/value (descontinuado) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (descontinuado) additional.fields |
| identifying_number | about.labels.key/value (descontinuado) additional.fields |
scheduled_tasks
A tabela seguinte indica os campos de registo e as associações da UDM correspondentes para o esquema scheduled_tasks e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | target.resource.name |
| ação | security_result.action_details |
| caminho | target.file.full_path |
| ativada | about.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| oculto | about.labels.key/value (descontinuado) additional.fields |
| last_run_time | about.labels.key/value (descontinuado) additional.fields |
| next_run_time | about.labels.key/value (descontinuado) additional.fields |
| last_run_message | about.labels.key/value (descontinuado) additional.fields |
| last_run_code | about.labels.key/value (descontinuado) additional.fields |
seccomp_events
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o esquema seccomp_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| auid | about.labels.key/value (descontinuado) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value (descontinuado) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (descontinuado) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (descontinuado) additional.fields |
| arco | about.labels.key/value (descontinuado) additional.fields |
| syscall | about.labels.key/value (descontinuado) additional.fields |
| compat | about.labels.key/value (descontinuado) additional.fields |
| ip | about.labels.key/value (descontinuado) additional.fields |
| código | about.labels.key/value (descontinuado) additional.fields |
seLinux_events
A tabela seguinte apresenta os campos de registo e os mapeamentos da UDM correspondentes para o esquema seLinux_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| mensagem | metadata.description |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
sombra
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema shadow e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| password_status | about.labels.key/value (descontinuado) additional.fields |
| hash_alg | about.labels.key/value (descontinuado) additional.fields |
| last_change | about.labels.key/value (descontinuado) additional.fields |
| min | about.labels.key/value (descontinuado) additional.fields |
| máx. | about.labels.key/value (descontinuado) additional.fields |
| aviso | about.labels.key/value (descontinuado) additional.fields |
| inativo | about.labels.key/value (descontinuado) additional.fields |
| expirar | about.labels.key/value (descontinuado) additional.fields |
| flag | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | principal.user.user_display_name |
shell_history
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema shell_history e os SO Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| comando | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema shimcache e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| entrada | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (descontinuado) additional.fields |
assinatura
A tabela seguinte lista os campos de registo e as associações UDM correspondentes para a assinatura do esquema e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| hash_resources | about.labels.key/value (descontinuado) additional.fields |
| arco | about.labels.key/value (descontinuado) additional.fields |
| assinou | target.file.pe_file.signature_info.verified |
| identificador | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (descontinuado) additional.fields |
| team_identifier | about.labels.key/value (descontinuado) additional.fields |
| autoridade | about.labels.key/value (descontinuado) additional.fields |
sip_config
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema sip_config e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (descontinuado) additional.fields |
| ativada | about.labels.key/value (descontinuado) additional.fields |
| enabled_nvram | about.labels.key/value (descontinuado) additional.fields |
socket_events
A tabela seguinte apresenta os campos de registo e os mapeamentos da UDM correspondentes para o esquema socket_events e os SOs Linux e macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| ação | security_result.action_details |
| pid | target.process.pid |
| caminho | target.process.file.full_path |
| fd | about.labels.key/value (descontinuado) additional.fields |
| auid | target.user.userid |
| estado | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| ligação | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
| êxito | about.labels.key/value (descontinuado) additional.fields |
sudoers
A tabela seguinte indica os campos de registo e as correspondentes associações da UDM para o esquema sudoers e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| fonte | about.labels.key/value (descontinuado) additional.fields |
| header | about.labels.key/value (descontinuado) additional.fields |
| rule_details | about.labels.key/value (descontinuado) additional.fields |
syslog_events
A tabela seguinte apresenta os campos de registo e os mapeamentos UDM correspondentes para o esquema syslog_events e o SO Linux:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| anfitrião | target.hostname |
| gravidade | security_result.severity (enum) |
| instalação | about.labels.key/value (descontinuado) additional.fields |
| etiqueta | about.labels.key/value (descontinuado) additional.fields |
| mensagem | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
system_info
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema system_info e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| hostname | principal.administrative_domain |
| uuid | about.labels.key/value (descontinuado) additional.fields |
| cpu_type | about.labels.key/value (descontinuado) additional.fields |
| cpu_subtype | about.labels.key/value (descontinuado) additional.fields |
| cpu_brand | about.labels.key/value (descontinuado) additional.fields |
| cpu_physical_cores | about.labels.key/value (descontinuado) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (descontinuado) additional.fields |
| physical_memory | about.labels.key/value (descontinuado) additional.fields |
| hardware_vendor | about.labels.key/value (descontinuado) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (descontinuado) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (descontinuado) additional.fields |
| board_model | about.labels.key/value (descontinuado) additional.fields |
| board_version | about.labels.key/value (descontinuado) additional.fields |
| board_serial | about.labels.key/value (descontinuado) additional.fields |
| computer_name | about.labels.key/value (descontinuado) additional.fields |
| local_hostname | about.labels.key/value (descontinuado) additional.fields |
tpm_info
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema tpm_info e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| ativada | about.labels.key/value (descontinuado) additional.fields |
| pertencente | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_version | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_id | about.labels.key/value (descontinuado) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (descontinuado) additional.fields |
| spec_version | about.labels.key/value (descontinuado) additional.fields |
usb_devices
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema usb_devices e os SOs Linux e macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (descontinuado) additional.fields |
| usb_port | about.labels.key/value (descontinuado) additional.fields |
| fornecedor | about.labels.key/value (descontinuado) additional.fields |
| vendor_id | about.labels.key/value (descontinuado) additional.fields |
| versão | about.labels.key/value (descontinuado) additional.fields |
| modelo | target.asset.hardware.model |
| model_id | about.labels.key/value (descontinuado) additional.fields |
| número de série | target.asset.hardware.serial_number |
| classe | about.labels.key/value (descontinuado) additional.fields |
| subclasse | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| amovível | about.labels.key/value (descontinuado) additional.fields |
user_events
A tabela seguinte lista os campos de registo e as correspondentes associações da UDM para o esquema user_events e os SOs Linux, macOS e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| mensagem | metadata.description |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.file.full_path |
| morada | about.labels.key/value (descontinuado) additional.fields |
| terminal | about.labels.key/value (descontinuado) additional.fields |
| tempo | metadata.collected_timestamp |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
user_groups
A tabela seguinte lista os campos de registo e as associações UDM correspondentes para o esquema user_groups e os SOs Linux, macOS e Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
utilizadores
A tabela seguinte lista os campos de registo e as mapeamentos UDM correspondentes para os utilizadores do esquema e os SOs macOS, Linux, Windows e freebsd:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (descontinuado) additional.fields |
| gid_signed | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | principal.user.user_display_name |
| descrição | about.labels.key/value (descontinuado) additional.fields |
| diretório | about.labels.key/value (descontinuado) additional.fields |
| shell | about.labels.key/value (descontinuado) additional.fields |
| uuid | principal.user.product_object_id |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| is_hidden | about.labels.key/value (descontinuado) additional.fields |
| pid_with_namespace | about.labels.key/value (descontinuado) additional.fields |
wifi_networks
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o esquema wifi_networks e o SO macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| ssid | target.labels.key/value (descontinuado) additional.fields |
| network_name | target.labels.key/value (descontinuado) additional.fields |
| security_type | target.labels.key/value (descontinuado) additional.fields |
| last_connected | about.labels.key/value (descontinuado) additional.fields |
| passpoint | about.labels.key/value (descontinuado) additional.fields |
| possibly_hidden | about.labels.key/value (descontinuado) additional.fields |
| roaming | about.labels.key/value (descontinuado) additional.fields |
| roaming_profile | about.labels.key/value (descontinuado) additional.fields |
| captive_portal | about.labels.key/value (descontinuado) additional.fields |
| auto_login | target.labels.key/value (descontinuado) additional.fields |
| temporarily_disabled | target.labels.key/value (descontinuado) additional.fields |
| desativado | target.labels.key/value (descontinuado) additional.fields |
windows_crashes
A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o esquema Windows_crashes e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| datetime | about.labels.key/value (descontinuado) additional.fields |
| módulo | about.labels.key/value (descontinuado) additional.fields |
| caminho | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (descontinuado) additional.fields |
| versão | about.labels.key/value (descontinuado) additional.fields |
| process_uptime | about.labels.key/value (descontinuado) additional.fields |
| stack_trace | about.labels.key/value (descontinuado) additional.fields |
| exception_code | about.labels.key/value (descontinuado) additional.fields |
| exception_message | about.labels.key/value (descontinuado) additional.fields |
| exception_address | about.labels.key/value (descontinuado) additional.fields |
| registos | about.labels.key/value (descontinuado) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (descontinuado) additional.fields |
| nome de utilizador | target.user.user_display_name |
| machine_name | about.labels.key/value (descontinuado) additional.fields |
| major_version | about.labels.key/value (descontinuado) additional.fields |
| minor_version | about.labels.key/value (descontinuado) additional.fields |
| build_number | target.platform_version |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| crash_path | about.labels.key/value (descontinuado) additional.fields |
windows_eventlog
O analisador do evento do Windows (WINEVTLOG) mapeia estes eventos. Consulte o artigo Recolha dados de eventos do Microsoft Windows para mais informações."
windows_events
O analisador do evento do Windows (WINEVTLOG) mapeia estes eventos. Consulte o artigo Recolha dados de eventos do Microsoft Windows para mais informações.
windows_firewall_rules
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema Windows_firewall_rules e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| app_name | target.application |
| ação | security_result.action (enum) |
| ativada | about.labels.key/value (descontinuado) additional.fields |
| agrupamento | about.labels.key/value (descontinuado) additional.fields |
| direção | network.direction |
| protocolo | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (descontinuado) additional.fields |
| profile_domain | about.labels.key/value (descontinuado) additional.fields |
| profile_private | about.labels.key/value (descontinuado) additional.fields |
| profile_public | about.labels.key/value (descontinuado) additional.fields |
| service_name | about.labels.key/value (descontinuado) additional.fields |
windows_security_center
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema Windows_security_center e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| atualização automática | security_result.detection_fields.key/value |
| antivírus | security_result.detection_fields.key/value |
| anti-spyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o esquema Windows_security_products e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| escrever | about.labels.key/value (descontinuado) additional.fields |
| nome | target.resource.name |
| estado | about.labels.key/value (descontinuado) additional.fields |
| state_timestamp | about.labels.key/value (descontinuado) additional.fields |
| remediation_path | about.labels.key/value (descontinuado) additional.fields |
| signatures_up_to_date | about.labels.key/value (descontinuado) additional.fields |
wmi_bios_info
A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o esquema wmi_bios_info e o SO Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| nome | about.labels.key/value (descontinuado) additional.fields |
| valor | about.labels.key/value (descontinuado) additional.fields |
yara
A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o esquema yara e o SO Linux, macOS, freebsd e Windows:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| caminho | target.file.full_path |
| corresponde a | about.labels.key/value (descontinuado) additional.fields |
| contagem | about.labels.key/value (descontinuado) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| strings | about.labels.key/value (descontinuado) additional.fields |
| etiquetas | about.labels.key/value (descontinuado) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
A tabela seguinte apresenta os campos de registo e as associações UDM correspondentes para o esquema yara_events e os SO Linux e macOS:
| Campo de registo | Mapeamento do UDM |
|---|---|
| metadata.event_type está mapeado para SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| categoria | about.labels.key/value (descontinuado) additional.fields |
| ação | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| corresponde a | about.labels.key/value (descontinuado) additional.fields |
| contagem | about.labels.key/value (descontinuado) additional.fields |
| strings | about.labels.key/value (descontinuado) additional.fields |
| etiquetas | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
| eid | metadata.product_log_id |
O que se segue?
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.