Recopilar registros de OSSEC
En este documento se describe cómo puede recoger registros de OSSEC configurando OSSEC y un reenviador de Google Security Operations. En este documento también se indican los tipos de registros y la versión de OSSEC compatibles.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Información general
En el siguiente diagrama de arquitectura de implementación se muestra cómo se configuran los agentes y servidores de OSSEC para enviar registros a Google Security Operations. Cada implementación de cliente puede ser diferente de esta representación y puede ser más compleja.
En el diagrama de arquitectura se muestran los siguientes componentes:
Sistema Linux. El sistema Linux que se va a monitorizar. El sistema Linux consta de los archivos que se van a monitorizar y del agente de OSSEC.
Sistema Microsoft Windows. El sistema Microsoft Windows que se va a monitorizar en el que está instalado el agente OSSEC.
Agente de OSSEC. El agente de OSSEC recoge información del sistema Microsoft Windows o Linux y la reenvía al servidor de OSSEC.
Servidor OSSEC. El servidor OSSEC monitoriza y recibe información de los agentes OSSEC, analiza los registros y los reenvía al reenviador de Google Security Operations.
Agente de Bindplane: el agente de Bindplane obtiene registros de osquery y los envía a Google SecOps.
Reenvío de Google Security Operations. El reenviador de Google Security Operations es un componente de software ligero que se implementa en la red del cliente y admite syslog. El reenviador de Google Security Operations reenvía los registros a Google Security Operations.
Google Security Operations. Google Security Operations conserva y analiza los registros del servidor OSSEC.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión OSSEC.
Antes de empezar
Asegúrate de que el agente OSSEC esté instalado en los sistemas Microsoft Windows o Linux que quieras monitorizar. Para obtener más información sobre la instalación del agente de OSSEC, consulta Instalación de OSSEC.
Usa una versión de OSSEC compatible con el analizador de Google Security Operations. El analizador de Google Security Operations es compatible con la versión 3.6.0 de OSSEC.
Asegúrate de que el servidor OSSEC esté instalado y configurado en el servidor Linux central.
Verifica los tipos de registro que admite el analizador de Google Security Operations. En la siguiente tabla se indican los productos y las rutas de los archivos de registro que admite el analizador de Google Security Operations:
Sistema operativo Producto Ruta del archivo de registro Microsoft Windows Microsoft Windows Registros de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux Linux /var/log/ulog/syslogemu.log Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux rkhunter /var/log/rkhunter.log Linux: servidor OSSEC OSSEC /var/ossec/logs/ossec.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux rundeck /var/log/rundeck/rundeck.api.log Linux rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configurar el agente y el servidor de OSSEC, así como el reenviador de Google Security Operations
Para configurar el agente y el servidor de OSSEC, así como el reenviador de Google Security Operations, sigue estos pasos:
Para monitorizar los registros que generan los sistemas Linux, crea un archivo
ossec.confpara especificar la configuración de monitorización de registros del agente. Este es un ejemplo de archivo de configuración del agente en el sistema Linux:<ossec_config> <!-- Files to monitor (localfiles) --> <localfile> <log_format>syslog</log_format> <location>/var/ossec/logs/ossec.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/mail.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/other_vhost_access.log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/apache2/nonvnc-server-access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/access.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/nginx/error.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/openvpnas.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rkhunter.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/rundeck/service.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/samba/log.winbindd</location> </localfile> <localfile> <log_format>command</log_format> <command>df -P</command> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/audit/audit.log</location> </localfile> <localfile> <log_format>full_command</log_format> <command>netstat -tan |grep LISTEN |egrep -v '(192.0.2.1| ::1)' | sort</command> </localfile> <localfile> <log_format>full_command</log_format> <command>last -n 5</command> </localfile> </ossec_config>Para monitorizar los registros que generan los sistemas Microsoft Windows, crea un archivo
ossec.confpara especificar la configuración de monitorización de registros del agente. Aquí tienes un ejemplo de archivo de configuración del agente en el sistema Microsoft Windows:<ossec_config> <!-- Channels to monitor (localfiles) --> <localfile> <log_format>Security</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>System</log_format> <location>eventchannel</location> </localfile> <localfile> <log_format>Application</log_format> <location>eventchannel</location> </localfile> </ossec_config>Para reenviar los registros del servidor OSSEC a Google Security Operations mediante el protocolo syslog, crea el archivo de configuración del servidor OSSEC
syslog.confcon el siguiente formato:.*.@<CHRONICLE_FORWARDER_IP>:<CHRONICLE_FORWARDER_PORT>Configura el reenviador de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instalar y configurar el reenviador en Linux. A continuación, se muestra un ejemplo de configuración de un reenviador de Google Security Operations:
- syslog: common: enabled: true data_type: OSSEC batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Reenviar registros a Google SecOps mediante el agente Bindplane
- Instala y configura una máquina virtual Linux.
- Instala y configura el agente de Bindplane en Linux para reenviar registros a Google SecOps. Para obtener más información sobre cómo instalar y configurar el agente de Bindplane, consulta las instrucciones de instalación y configuración del agente de Bindplane.
Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de SecOps de Google.
Formatos de registro de OSSEC admitidos
El analizador de OSSEC admite registros en formato SYSLOG+JSON, SYSLOG y SYSLOG+KV.
Registros de ejemplo de OSSEC admitidos
SYSLOG+JSON:
2022 Jan 30 23: 13: 05 (wintest) 198.51.100.0->EventChannel { "win": { "system": { "providerName": "Microsoft-Windows-PowerShell", "providerGuid": "{A0C1853B-5C40-ABCD-1234-3CF1C58F985A}", "eventID": "4104", "version": "1", "level": "5", "task": "2", "opcode": "15", "keywords": "0x0", "systemTime": "2021-07-29T12:57:03.579362300Z", "eventRecordID": "150518739", "processID": "16520", "threadID": "6036", "channel": "Microsoft-Windows-PowerShell/Operational", "computer": "WINTEST.cbn.local", "severityValue": "VERBOSE", "message": "\\"Creating Scriptblock text (1 of 1):\\"" }, "eventdata": { "messageNumber": "1", "messageTotal": "1", "scriptBlockText": "$global:?", "scriptBlockId": "8d4870bf-4032-5432-1234-51ae1e6a05d5" } } }SYSLOG:
2024/04/02 15:31:58 ossec-testrule: INFO: Reading local decoder file.SYSLOG+KV:
2022 Jan 30 12:57:02 (ossectest) 198.51.100.0->/var/log/audit/audit.log type=LOGIN msg=audit(1627367436.123:8618732): pid=18281 uid=0 old-auid=1234967321 auid=996 tty=(none) old-ses=1234967321 ses=102952 res=1
Referencia de asignación de campos
En esta sección se explica cómo aplica el analizador de Google Security Operations patrones grok para sistemas Linux y Microsoft Windows, y cómo asigna los campos de registro de OSSEC a los campos del modelo de datos unificado (UDM) de Google Security Operations para cada tipo de registro.
Para obtener información sobre la asignación de referencia de campos comunes, consulta Campos comunes.
Para obtener información de referencia sobre las rutas de registro, los patrones grok de los registros de ejemplo, los tipos de eventos y los campos de UDM en sistemas Linux, consulta las siguientes secciones:
- Linux
- Auditoría
- Tipo de evento del registro de auditoría
- Correo
- Tipo de evento de registro de correo
Para obtener información sobre los eventos de Microsoft Windows admitidos y los campos de UDM correspondientes, consulta el artículo Datos de eventos de Microsoft Windows.
Campos comunes
En la siguiente tabla se indican los campos de registro habituales y sus campos de UDM correspondientes.
| Campo de registro común | Campo de UDM |
|---|---|
| collected_time | metadata.collected_timestamp |
| página | principal.application |
| log | metadata.description |
| ip | target.ip o principal.ip |
| nombre de host | target.hostname o principal.hostname |
Sistema Linux
En la siguiente tabla se muestran las rutas de registro del sistema Linux, el patrón grok de los registros de ejemplo, el tipo de evento y las asignaciones de UDM:
| Ruta del registro | Registro de ejemplo | Patrón de Grok | Tipo de evento | Asignación de UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [client 1.200.32.47:59840] failed to make connection | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | timestamp se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity. pid se asigna a target.process.parent_process.pid tid se asigna a target.process.pid client_ip se asigna a principal.ip. client_port se asigna a principal.port error_message se asigna a security_result.description network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] failed to make connection | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | timestamp se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity. pid se asigna a target.process.parent_process.pid tid se asigna a target.process.pid error_message se asigna a security_result.description network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/error.log | [Thu Apr 28 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Command line: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [client {client_ip}:{client_port}]|) (?<error_message>.*),referer{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" timestamp se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity. pid se asigna a target.process.parent_process.pid tid se asigna a target.process.pid client_ip se asigna a principal.ip. client_port se asigna a principal.port error_message se asigna a security_result.description target.platform tiene el valor "LINUX" referer_url se asigna a network.http.referral_url |
| /var/log/apache2/error.log | Sun Jan 30 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [client 1.200.32.47:59840] AH01114: HTTP: failed to make connection to backend: 192.0.2.1 , referer altostrat.com | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | NETWORK_HTTP | timestamp se asigna a metadata.event_timestamp log_module se asigna a target.resource.name log_level se asigna a security_result.severity. pid se asigna a target.process.parent_process.pid tid se asigna a target.process.pid client_ip se asigna a principal.ip. client_port se asigna a principal.port error_message se asigna a security_result.description target_ip se asigna a target.ip referer_url se asigna a network.http.referral_url network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New connection: [connection: gTxkX8Z6tjk] [client 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp se asigna a metadata.event_timestamp client_ip se asigna a principal.ip. client_port se asigna a principal.port connection_id se asigna a network.session_id network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] New request: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | timestamp se asigna a metadata.event_timestamp request_id se asigna a security_result.detection_fields.(clave/valor). client_ip se asigna a principal.ip. client_port se asigna a principal.port pid se asigna a target.process.parent_process.pid connection_id se asigna a network.session_id network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/error.log | [Sat Feb 02 00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [client 192.0.2.1:50784] AH00128: File does not exist: /usr/local/apache2/htdocs/favicon.ico | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[client {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | timestamp se asigna a metadata.event_timestamp log_level se asigna a security_result.severity. request_id se asigna a security_result.detection_fields.(clave/valor). client_ip se asigna a principal.ip. client_port se asigna a principal.port pid se asigna a target.process.parent_process.pid connection_id se asigna a network.session_id error_message se asigna a security_result.description file_path se asigna a target.file.full_path network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/access.log | 10.50.0.1 - - [28/Apr/2022:18:02:13 +0530] "POST /test/first.html HTTP/1.1" 200 491 "http://192.0.2.1/test/first.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | NETWORK_HTTP | client_ip se asigna a principal.ip. userid se asigna a principal.user.userid host se asigna a principal.hostname timestamp se asigna a metadata.event_timestamp method se asigna a network.http.method El recurso se asigna a principal.resource.name. client_protocol se asigna a network.application_protocol. result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol tiene el valor "TCP" network.direction se ha definido como "OUTBOUND" network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| var/log/apache2/other_vhosts_access.log | wintest.example.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | NETWORK_HTTP | target_host se asigna a target.hostname. target_port se asigna a target.port client_ip se asigna a principal.ip. userid se asigna a principal.user.userid host se asigna a principal.hostname timestamp se asigna a metadata.event_timestamp method se asigna a network.http.method El recurso se asigna a principal.resource.name. result_status se asigna a network.http.response_code object_size se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent network.ip_protocol tiene el valor "TCP" network.direction se ha definido como "OUTBOUND" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" network.application_protocol tiene el valor "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /altostrat.com | (<optional_field>{referer_url}?)->(<optional_field>{path}?) | GENERIC_EVENT | path se asigna a target.url. referer_url se asigna a network.http.referral_url network.direction se ha definido como "OUTBOUND" target.platform tiene el valor "LINUX" network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<optional_field>{user_agent}) | GENERIC_EVENT | user_agent se asigna a network.http.user_agent network.direction se ha definido como "OUTBOUND" target.platform tiene el valor "LINUX" network.application_protocol tiene el valor "HTTP" target.platform tiene el valor "LINUX" metadata.vendor_name tiene el valor "Apache" metadata.product_name tiene el valor "Apache HTTP Server" |
| var/log/nginx/access.log | 172.16.19.228 - admin [05/May/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://192.0.2.1/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36" | {principal_ip} - (<optional_field>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | NETWORK_HTTP | El tiempo se asigna a metadata.timestamp. ip se asigna a target.ip. principal_ip se asigna a principal.ip principal_user_userid se asigna a principal.user.userid metadata_timestamp se asigna a timestamp http_method se asigna a network.http.method. resource_name se asigna a principal.resource.name El protocolo se asigna a network.application_protocol = (HTTP) response_code se asigna a network.http.response_code received_bytes se asigna a network.sent_bytes referer_url se asigna a network.http.referral_url user_agent se asigna a network.http.user_agent target.platform tiene el valor "LINUX" metadata.vendor_name se ha definido como "NGINX" metadata.product_name se ha definido como "NGINX" network.ip_protocol tiene el valor "TCP" network.direction se ha definido como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" failed (2: No such file or directory), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status HTTP/1.1\", host: \"192.0.2.1:8080\" | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 se asigna a "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} failed ({security_description})", "\*{cid}{security_description}", "{security_description}" |
NETWORK_HTTP | thread_id se asigna a principal.process.pid La gravedad se asigna a security_result.severity. (debug se asigna a UNKNOWN_SEVERITY, info se asigna a INFORMATIONAL, notice se asigna a LOW, warn se asigna a MEDIUM, error se asigna a ERROR, crit se asigna a CRITICAL y alert se asigna a HIGH). target_file_full_path se asigna a target.file.full_path principal_ip se asigna a principal.ip target_hostname se asigna a target.hostname http_method se asigna a network.http.method. resource_name se asigna a principal.resource.name El protocolo se asigna a "TCP". target_ip se asigna a target.ip target_port se asigna a target.port security_description + security_result_description_2 se asigna a security_result.description pid se asigna a principal.process.parent_process.pid network.application_protocol tiene el valor "HTTP" La marca de tiempo se asigna a %{year}/%{day}/%{month} %{time} target.platform tiene el valor "LINUX" metadata.vendor_name se ha definido como "NGINX" metadata.product_name se ha definido como "NGINX" network.ip_protocol tiene el valor "TCP" network.direction se ha definido como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Required commands check failed | [<message_text>]{security_description} | STATUS_UPDATE | El tiempo se asigna a metadata.timestamp. securtiy_description se asigna a security_result.description principal.platform tiene el valor "LINUX" metadata.vendor_name se ha definido como "RootKit Hunter" metadata.product_name tiene el valor "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Checking for file '/dev/.oz/.nap/rkit/terror' [ Not found ] | [<message_text>] {security_description} {file_path}[{metadata_description}] | FILE_UNCATEGORIZED | metadata_description se asigna a metadata.description file_path se asigna a target.file.full_path security_description se asigna a security_result.description. principal.platform tiene el valor "LINUX" metadata.vendor_name se ha definido como "RootKit Hunter" metadata.product_name tiene el valor "RootKit Hunter" |
| var/log/rkhunter.log | ossec: se ha reducido el tamaño del archivo (el inode no ha cambiado): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | El tiempo se asigna a metadata.timestamp. metadata_description se asigna a metadata.description file_path se asigna a target.file.full_path principal.platform tiene el valor "LINUX" metadata.vendor_name se ha definido como "RootKit Hunter" metadata.product_name tiene el valor "RootKit Hunter" |
| /var/log/kern.log | 7 de julio, 18:48:32 zynvpnsvr kernel: [2081387.006876] IPv4: martian source 1.20.32.39 from 192.0.2.1, on dev as0t5 | {timestamp}{principal_hostname}{metadata_product_event_type}: [<message_text>?] <message_text>?{target_ip}\from{principal_ip}, on dev {target_user_userid} | NETWORK_CONNECTION | timestamp se asigna a "metadata.event_timestamp" principal_hostname se asigna a "principal.hostname" metadata_product_event_type se asigna a "metadata.product_event_type" target_ip se asigna a "target.ip" principal_ip se asigna a "principal.ip" target_user_userid se asigna a "target.user.userid" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| /var/log/kern.log | 25 de octubre, 10:10:51 localhost kernel: [ 31.974576] audit: type=1400 audit(1635136846.152:2): apparmor="STATUS" operation="profile_load" profile="unconfined" name="/usr/bin/lxc-start" pid=752 | {timestamp}{principal_hostname}{metadata_product_event_type}: <message_text>\operation="{metadata_description}"\profile="<message_text>"\name="{file_path}"\pid={pid} |
STATUS_UPDATE | timestamp se asigna a "metadata.event_timestamp" principal_hostname se asigna a "principal.hostname" metadata_product_event_type se asigna a "metadata.product_event_type" metadata_description se asigna a "metadata.description" file_path se asigna a "principal.process.file" pid se asigna a "principal.process.pid" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| /var/log/kern.log | 28 de abril, 12:41:35 localhost kernel: [ 5079.912215] ctnetlink v0.93: registering with nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>?]{metadata_description} | STATUS_UPDATE | timestamp se asigna a "metadata.event_timestamp" principal_hostname se asigna a "principal.hostname" metadata_product_event_type se asigna a "metadata.product_event_type" metadata_description se asigna a "metadata.description" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| /var/log/kern.log | 28 de abril, 11:17:01 localhost kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (familia: 0x6, modelo: 0x55, stepping: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_UPDATE | timestamp se asigna a "metadata.event_timestamp" principal_hostname se asigna a "principal.hostname" metadata_product_event_type se asigna a "metadata.product_event_type" principal_asset_hardware_cpu_model se asigna a "principal.asset.hardware.cpu_model" metadata_description se asigna a "metadata.description" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" cpu_model se asigna a principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 29 de enero 13:51:46 winevt env[29194]: [29/Jan/2022:13:51:46] REQUES GET 200 /api/systems/0000-0041 (10.0.1.1) 3179 | {collected_timestamp}{hostname}{command_line}[{pid}]:[{date}<message_text>]REQUES{http_method}{response_code}(<optional_field>{resource}?)({target_ip}){received_bytes} | NETWORK_CONNECTION | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid http_method se asigna a network.http.method. response_code se asigna a network.http.response_code El recurso se asigna a target.url. target_ip se asigna a target.ip received_bytes se asigna a network.received_bytes metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" command_line se asigna a principal.process.command_line |
| /var/log/syslog.log | 26 de julio, 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: Received request for a new agent (zsecmgr0000-0719) from: 3.4.5.6 | {collected_timestamp}<message_text>{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{message}({hostname})from: {target_ip} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid log_level se asigna a security_result.severity. message se asigna a metadata.description. command_line se asigna a principal.process.command_line metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" target_ip se asigna a target.ip |
| /var/log/syslog.log | 26 de jul 23:13:03 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: INFO: New connection from 3.4.5.6 | {collected_time}{hostname}{command_line}[{pid}]:{date} {time} {command_line}:{log_level}:{description}from {target_ip} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid log_level se asigna a security_result.severity. description se asigna a security_result.description command_line se asigna a principal.process.command_line metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| /var/log/syslog.log | 29 de enero, 13:51:46 zynossec ossec-authd[1096]: 2021/07/26 23:13:03 ossec-authd: ERROR: Invalid agent name zsecmgr0000-0719 (duplicated) | {collected_timestamp}<message_text>{command_line}[{pid}]:{date}<message_text>:{log_level}:{description}{hostname}({reason}) | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid log_level se asigna a security_result.severity. description + reason se asigna a security_result.description command_line se asigna a principal.process.command_line metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| /var/log/syslog.log | 2 de mayo 06:25:01 localhost apachectl[64942]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using ::1. Define la directiva "ServerName" de forma global para suprimir este mensaje | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid message se asigna a metadata.description. metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" command_line se asigna a principal.process.command_line |
| /var/log/syslog.log | 2 de mayo 00:00:45 localhost fstrim[64727]: /: 6,7 GiB (7205015552 bytes) recortados | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid message se asigna a metadata.description. metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" command_line se asigna a principal.process.command_line |
| /var/log/syslog.log | 3 may 10:14:37 localhost rsyslogd: rsyslogd's userid changed to 102 | {collected_timestamp}{hostname}{command_line}:{message}to{user_id} | STATUS_UPDATE | collected_time se asigna a metadata.collected_timestamp hostname se asigna a principal.hostname. message se asigna a metadata.description. user_id se asigna a principal.user.userid. command_line se asigna a principal.process.command_line metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| /var/log/syslog.log | 5 de mayo, 10:36:48 localhost systemd[1]: Starting System Logging Service... | {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{message} | STATUS_UPDATE | collected_time se asigna a metadata.event_timestamp hostname se asigna a principal.hostname. pid se asigna a principal.process.pid message se asigna a metadata.description. metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" command_line se asigna a principal.process.command_line |
| /var/log/mail.log | Mar 16 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<ossecm@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009341@Ubuntu18.cdsys.local>, proto=SMTP, daemon=MTA-v4, relay=localhost [192.0.2.1] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | STATUS_UPDATE | target_hostname se asigna a target.hostname application se asigna a target.application. pid se asigna a target.process.pid metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/mail.log | 7 de abril, 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname application se asigna a target.application. pid se asigna a target.process.pid metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/mail.log | 7 de abr 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | STATUS_UPDATE | target_hostname se asigna a target.hostname application se asigna a target.application. pid se asigna a target.process.pid resource_name se asigna a target.resource.name metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/mail.log | 7 de abril, 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (queue active) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname application se asigna a target.application. pid se asigna a target.process.pid metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/mail.log | 7 de abril, 13:44:01 prod postfix/smtp[23436]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400d:c03::1b]:25: Network is unreachable | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | STATUS_UPDATE | target_hostname se asigna a target.hostname application se asigna a target.application. pid se asigna a target.process.pid metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/mail.log | 7 de abril, 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, relay=local, delay=0.01, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | EMAIL_UNCATEGORIZED | target_hostname se asigna a target.hostname application se asigna a target.application. pid se asigna a target.process.pid metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] WARN config.NavigableMap - Acceder a la clave de configuración "[filterNames]" mediante la notación de puntos está obsoleto y se eliminará en una versión futura. En su lugar, use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, en {command_line}\({file_path}:<message_text>\) |
STATUS_UPDATE | command_line se asigna a "target.process.command_line" file_path se asigna a "target.process.file.full_path" timestamp se asigna a "metadata.event_timestamp" La gravedad se asigna a "security_result.severity". El resumen se asigna a "security_result.summary". security_description se asigna a "security_result.description" metadata.product_name tiene el valor "OSSEC" metadata.vendor_name tiene el valor "OSSEC" |
| /var/log/auth.log | Apr 27 21:03:03 Ubuntu18 systemd-logind[836]: Removed session 3080. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGOUT | timestamp se asigna a "metadata.timestamp" Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname". Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application". De lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id se asigna a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". "principal.platform" se asigna a "LINUX" if(removed_session) event_type is set to USER_LOGOUT extensions.auth.type tiene el valor AUTHTYPE_UNSPECIFIED metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/auth.log | 28 de abril, 11:33:24 Ubuntu18 systemd-logind[836]: New session 3205 of user root. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(of user{principal_user_userid})? | USER_LOGIN | timestamp se asigna a "metadata.timestamp" Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname". Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application". De lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" network_session_id se asigna a "network.session_id" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". "principal.platform" se asigna a "LINUX" "network.application_protocol" se asigna a "SSH" if(new_session) event_type se define como USER_LOGIN extensions.auth.type tiene el valor AUTHTYPE_UNSPECIFIED metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/auth.log | 28 de abril, 11:35:31 Ubuntu18 sshd[23573]: Accepted password for root from 10.0.1.1 port 40503 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user )?{principal_user_userid} from {principal_ip} port {principal_port} ssh2(:{security_result_detection_fileds_ssh_kv}SHA256:{security_result_detection_fileds_kv})? | USER_LOGIN | timestamp se asigna a "metadata.timestamp" Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname". Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application". De lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". principal_ip se asigna a "principal.ip" principal_port se asigna a "principal.port" security_result_detection_fields_ssh_kv se asigna a "security_result.detection_fields.key/value" security_result_detection_fields_kv se asigna a "security_result.detection_fields.key/value" "principal.platform" tiene el valor "LINUX" "network.application_protocol" tiene el valor "SSH" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/auth.log | 28 de abril 11:50:20 Ubuntu18 sshd[24145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.1.1 user=root | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> <message_text>: {security_description};logname=(<message_text>)?uid=({principal_user_userid})?euid=({principal_user_attribute_labels_euid_kv})?tty=(<message_text>)?ruser=({principal_ruser_userid})?rhost=({target_ip})?(user=(<optional_field>{principal_user_userid}|{principal_user_userid})?)? | USER_LOGIN | timestamp se asigna a "metadata.timestamp" Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname". Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application". De lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" principal_user_uuserid se asigna a "principal.user.attribute.labels" principal_user_attribute_labels_euid_kv se asigna a "principal.user.attribute.labels.key/value" principal_ruser_userid se asigna a "principal.user.attribute.labels.key/value" target_ip se asigna a "target.ip" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". "principal.platform" tiene el valor "LINUX" "network.application_protocol" tiene el valor "SSH" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/auth.log | Feb 24 00:13:02 precise32 sudo: tsg : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; COMMAND={principal_process_command_line_2} | STATUS_UPDATE | timestamp se asigna a metadata.timestamp. principal_hostname se asigna a principal.hostname principal_application se asigna a principal.application pid se asigna a principal.process.pid principal_user_userid se asigna a target.user.userid security_description se asigna a "security_result.description" principal_process_command_line_1 se asigna a "principal.process.command_line" principal_process_command_line_2 se asigna a "principal.process.command_line" principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" tiene el valor "LINUX" |
| /var/log/auth.log | 26 de abril, 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): sesión abierta para el usuario root por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGIN | timestamp se asigna a metadata.timestamp. Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname". Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application". De lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a "principal.user.attribute.labels.key/value" "principal.platform" tiene el valor "LINUX" "network.application_protocol" tiene el valor "SSH" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/auth.log | 26 de abr 07:39:01 Ubuntu18 CRON[2126]: pam_unix(cron:session): session closed for user root | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} for (invalid user|user)?{principal_user_userid}(by (uid={principal_user_attribute_labels_uid_kv}))?$ | USER_LOGOUT | timestamp se asigna a metadata.timestamp. Si metadata.event_type es USER_LOGOUT, principal_hostname se asigna a "target.hostname". De lo contrario, se asigna a "principal.hostname". Si metadata.event_type es USER_LOGOUT, principal_application se asigna a "target.application". De lo contrario, se asigna a "principal.application". Si metadata.event_type es USER_LOGOUT, pid se asigna a "target.process.pid". De lo contrario, se asigna a "principal.process.pid". security_description se asigna a "security_result.description" Si metadata.event_type es USER_LOGOUT, principal_user_userid se asigna a "principal.user.userid". De lo contrario, se asigna a "target.user.userid". principal_user_attribute_labels_uid_kv se asigna a principal.user.attribute.labels.key/value "principal.platform" tiene el valor "LINUX" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| /var/log/auth.log | 24 de mayo 12:56:31 ip-10-50-2-176 sshd[119931]: Timeout, client not responding. | {timestamp} {principal_hostname}{principal_application}([{pid}])<optional_field> {security_result_description} | STATUS_UPDATE | timestamp se asigna a metadata.timestamp. principal_hostname se asigna a principal.hostname principal_application se asigna a principal.application pid se asigna a principal.process.pid security_result_description se asigna a security_result_description "principal.platform" tiene el valor "LINUX" metadata.vendor_name se ha definido como OSSEC metadata.product_name se ha definido como OSSEC |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)initialize_winbindd_cache: clearing cache and re-creating with version number 2 | {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | STATUS_UPDATE | timestamp se asigna a "metadata.timestamp" pid se asigna a "principal.process.pid" principal_user_attribute_labels_kv se asigna a "principal.user.attribute.labels" principal_group_attribute_labels_kv se asigna a "principal.group.attribute.labels" principal_user_userid se asigna a "principal.user.userid" principal_group_product_object_id se asigna a "principal.group.product_object_id" security_description se asigna a "security_result.description" metadata_description se asigna a "metadata.description" metadata.product_name tiene el valor "OSSEC" "metadata.vendor_name" tiene el valor "OSSEC" |
| var/log/samba/log.winbindd | messaging_dgm_init: bind failed: No space left on device | {user_id}: {desc} | STATUS_UPDATE | metadata.product_name tiene el valor "OSSEC" metadata.vendor_name" tiene el valor "OSSEC" user_id se asigna a principal.user.userid. desc se asigna a metadata.description |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 MULTI: Learn: 172.27.232.2 -> mohit_AUTOLOGIN/10.50.0.1:16245' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:Learn:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | NETWORK_HTTP | timestamp se asigna a metadata.timestamp. log_level se asigna a security_result.severity. local_ip se asigna a principal.ip target_ip se asigna a target.ip target_hostname se asigna a principal.hostname port se asigna a target.port. user se asigna a principal.user.user_display_name metadata.vendor_name tiene el valor "OpenVPN" metadata.product_name se ha definido como "OpenVPN Access Server" principal.platform tiene el valor "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 library versions: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{msg}(<optional_field>'|") | STATUS_UPDATE | timestamp se asigna a metadata.timestamp. log_level se asigna a security_result.severity. msg se asigna a security_result.description metadata.vendor_name tiene el valor "OpenVPN" metadata.product_name se ha definido como "OpenVPN Access Server" principal.platform tiene el valor "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 10.50.0.1:16245 [mohit_AUTOLOGIN] Peer Connection Initiated with [AF_INET]10.50.0.1:16245 (via [AF_INET]10.50.2.175%ens160)' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{message}(<optional_field>'|")
message se asigna a <message_text>with[<message_text>]<message_text>:{port}<message_text> |
STATUS_UPDATE | timestamp se asigna a metadata.timestamp. log_level se asigna a security_result.severity. message se asigna a security_result.description metadata.vendor_name tiene el valor "OpenVPN" metadata.product_name se ha definido como "OpenVPN Access Server" principal.platform tiene el valor "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: "2022-04-29 05:21:22 mohit_AUTOLOGIN/10.50.0.1:16245 SENT CONTROL [mohit_AUTOLOGIN]: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 10.0.1.99,dhcp-option DNS 10.0.1.94,register-dns,block-ipv6,ifconfig 172.27.232.2 255.255.254.0,peer-id 0,auth-tokenSESS_ID,cipher AES-256-GCM,key-derivation tls-ekm' (status=1)" | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") | STATUS_UPDATE | timestamp se asigna a metadata.timestamp. log_level se asigna a security_result.severity. message se asigna a security_result.description user se asigna a principal.user.user_display_name ip se asigna a principal.ip. metadata.vendor_name tiene el valor "OpenVPN" metadata.product_name se ha definido como "OpenVPN Access Server" principal.platform tiene el valor "LINUX" |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] AUTH SUCCESS {'status': 0, 'user': 'mohit', 'reason': 'AuthAutoLogin: autologin certificate auth succeeded', 'proplist': {'prop_autogenerate': 'true', 'prop_autologin': 'true', 'pvt_password_digest': '[redacted]', 'type': 'user_connect'}, 'common_name': 'mohit_AUTOLOGIN', 'serial': '3', 'serial_list': []} cli='win'/'3.git::d3f8b18b'/'OCWindows_3.3.6-2752' | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | STATUS_UPDATE | timestamp se asigna a metadata.timestamp. log_level se asigna a security_result.severity. message se asigna a security_result.description summary se asigna a security_result.summary user_name se asigna a principal.user.user_display_name cli se asigna a principal.process.command_line El estado se asigna a principal.user.user_authentication_status metadata.vendor_name tiene el valor "OpenVPN" metadata.product_name se ha definido como "OpenVPN Access Server" principal.platform tiene el valor "LINUX" |
| /var/log/audit.log | type=SYSTEM_RUNLEVEL metadata_description=audit(1651576133.423:202): pid=1571 uid=0 auid=4294967295 ses=4294967295 metadata_description='old-level=N new-level=5 comm="systemd-update-utmp" exe="/lib/systemd/systemd-update-utmp" hostname=? addr=? terminal=? res=success' | type={audit_log_type} |
EventType en la pestaña de asignación de EventType del registro de auditoría de la hoja actual | audit_log_type se asigna a metadata.product_event_type metadata_ingested_timestamp se asigna a "metadata.event_timestamp" metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.plateform tiene el valor "LINUX" Los datos se asignan al par clave-valor -> asignación de UDM en la pestaña audit.log de la hoja actual. |
| var/ossec/logs/ossec.log | 2022/05/12 18:15:34 ossec-syscheckd: INFO: Starting syscheck scan | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. metadata_description se asigna a metadata.description metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 5 | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description>.*command.*(<message_text>)):{command_line} | PROCESS_UNCATEGORIZED | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. command_line se asigna a target.process.command_line metadata_description se asigna a metadata.description metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-analysisd(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'. | {timestamp} {application}(({pid}))<optional_field>{severity}: Queue '{resource}'<message_text>:'{metadata_description}' | USER_RESOURCE_ACCESS | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. metadata_description se asigna a metadata.description resource se asigna a target.resource.name metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:27 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/rundeck/rundeck.log'. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_tewxt>file<message_text>):'{file_path}' | FILE_UNCATEGORIZED | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. file_path se asigna a target.file.full_path metadata_description se asigna a metadata.description metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:25 ossec-syscheckd: INFO: ignoring: 'C:\WINDOWS/PCHEALTH/HELPCTR/DataColl' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>ignoring<message_text>:'{file_path}' | SCAN_PROCESS | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. file_path se asigna a target.file.full_path metadata.vendor_name se ha definido como OSSEC metadata.product_name se ha definido como OSSEC |
| var/ossec/logs/ossec.log | 2022/05/11 19:34:21 ossec-remoted(1410): INFO: Reading authentication keys file. | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description} | STATUS_UPDATE | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. metadata_description se asigna a metadata.description metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 11/05/2022 19:34:21 ossec-remoted(1103): ERROR: Could not open file '/queue/rids/004' due to [(13)-(Permission denied)]. | {timestamp} {application}(({pid}))<optional_field>{severity}:(?<metadata_description><message_text>file<message_text>) '{file_path}'<message_text>[({error_code})-({error_metadata_description})] | FILE_UNCATEGORIZED | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. file_path se asigna a target.file.full_path metadata_description se asigna a metadata.description error_code se asigna a security_result.summary error_metadata_description se asigna a security_result.summary metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/03/23 13:00:51 ossec-remoted(1206): ERROR: Unable to Bind port '1514' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}port'{port}' | STATUS_UPDATE | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. metadata_description se asigna a metadata.description port se asigna a target.port. metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:05 ossec-analysisd: INFO: Reading rules file: 'ms-se_rules.xml' | {timestamp} {application}(({pid}))<optional_field>{severity}:{metadata_description}:'{file_path}' | FILE_READ | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. metadata_description se asigna a metadata.description file_path se asigna a target.file.full_path metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| var/ossec/logs/ossec.log | 2022/05/11 19:32:06 ossec-analysisd: INFO: Ignoring file: '/etc/mnttab' | {timestamp} {application}(({pid}))<optional_field>{severity}:<message_text>(ignoring|Ignoring file)<message_text>:'{file_path}' | FILE_UNCATEGORIZED | application se asigna a target.application. pid se asigna a target.process.pid La gravedad se asigna a security_result.severity. file_path se asigna a target.file.full_path metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" |
| Proceso ntpd | udp6 0 0 fe80::c59:3eff:fe14:123 :::* 999 20209 570/ntpd | {protocol}{rec}{send}{ip}:{port}<message_text>{pid}/{process_name} | STATUS_UPDATE | protocol se asigna a network.ip_protocol. pid se asigna a principal.process.pid metadata.description se ha definido como Nombre del programa: %{process_name} metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
| syscheck | Archivo "/usr/bin/fwts" modificado | Archivo "{file_path}" {description} | FILE_MODIFICATION | La descripción se asigna a metadata.description. file_path se asigna a target.file.full_path metadata.vendor_name tiene el valor "OSSEC" metadata.product_name tiene el valor "OSSEC" principal.platform tiene el valor "LINUX" |
Auditoría
Campos de registro de auditoría a campos de UDM
En la siguiente tabla se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| acct | target.user.user_display_name |
| addr | principal.ip |
| arco | about.labels.key/value |
| auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comm | target.application |
| cwd | target.file.full_path |
| datos | about.labels.key/value |
| devmajor | about.labels.key/value |
| devminor | about.labels.key/value |
| egid | target.group.product_object_id |
| euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| familia | network.ip_protocol se define como "IP6IN4" si "ip_protocol" == 2; de lo contrario, se define como "UNKNOWN_IP_PROTOCOL". |
| filetype | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| nombre de host | target.hostname |
| icmptype | network.ip_protocol se ha definido como "ICMP" |
| id | Si [audit_log_type] == "ADD_USER", target.user.userid se asigna a "%{id}"
Si [audit_log_type] == "ADD_GROUP", target.group.product_object_id se asigna a "%{id}" De lo contrario, target.user.attribute.labels.key/value se asigna al ID. |
| inodo | target.resource.product_object_id |
| clave | security_result.detection_fields.key/value |
| list | security_result.about.labels.key/value |
| modo | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| name | target.file.full_path |
| new-disk | target.resource.name |
| new-mem | target.resource.attribute.labels.key/value |
| new-vcpu | target.resource.attribute.labels.key/value |
| new-net | pincipal.mac |
| new_gid | target.group.product_object_id |
| oauid | target.user.userid |
| ocomm | target.process.command_line |
| opid | target.process.pid |
| oses | network.session_id |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| obj_role | target.user.attribute.role.name |
| obj_uid | target.user.userid |
| obj_user | target.user.user_display_name |
| ogid | target.group.product_object_id |
| ouid | target.user.userid |
| ruta | target.file.full_path |
| permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid |
| ppid | target.parent_process.pid |
| proto | Si [ip_protocol] == 2, network.ip_protocol se define como "IP6IN4".
De lo contrario, network.ip_protocol se define como "UNKNOWN_IP_PROTOCOL". |
| res | security_result.summary |
| result | security_result.summary |
| saddr | security_result.detection_fields.key/value |
| sáuido | target.user.attribute.labels.key/value |
| ses | network.session_id |
| sgid | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| subj_user | target.user.user_display_name |
| correcto | Si success=='yes', securtiy_result.summary se asigna a 'system call was successful'
De lo contrario, securtiy_result.summary se asigna a "systemcall was failed". |
| suid | target.user.userid |
| syscall | about.labels.key/value |
| terminal | target.labels.key/value |
| tty | target.labels.key/value |
| uid | Si [audit_log_type] está en [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAC_POLICY_LOAD], uid se define como principal.user.userid.
De lo contrario, uid se asigna a target.user.userid |
| vm | target.resource.name |
Tipos de registros de auditoría a tipos de eventos de UDM
En la siguiente tabla se indican los tipos de registros de auditoría y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de auditoría | Tipo de evento de UDM | Descripción |
|---|---|---|
| ADD_GROUP | GROUP_CREATION | Se activa cuando se añade un grupo de espacio de usuario. |
| ADD_USER | USER_CREATION | Se activa cuando se añade una cuenta de usuario del espacio de usuario. |
| ANOM_ABEND | GENERIC_EVENT/PROCESS_TERMINATION | Se activa cuando un proceso finaliza de forma anómala (con una señal que podría provocar un volcado del núcleo, si está habilitado). |
| AVC | GENERIC_EVENT | Se activa para registrar una comprobación de permisos de SELinux. |
| CONFIG_CHANGE | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica la configuración del sistema de auditoría. |
| CRED_ACQ | USER_LOGIN | Se activa cuando un usuario obtiene credenciales del espacio de usuario. |
| CRED_DISP | USER_LOGOUT | Se activa cuando un usuario elimina las credenciales del espacio de usuario. |
| CRED_REFR | USER_LOGIN | Se activa cuando un usuario actualiza sus credenciales de espacio de usuario. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Se activa para registrar el identificador de clave criptográfica que se usa con fines criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Se activa para registrar los parámetros definidos durante el establecimiento de una sesión TLS. |
| CWD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar el directorio de trabajo actual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Se activa cuando se detiene un daemon debido a un error. |
| DAEMON_END | PROCESS_TERMINATION | Se activa cuando se detiene correctamente un daemon. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd reanuda el registro. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Se activa cuando el daemon auditd rota los archivos de registro de auditoría. |
| DAEMON_START | PROCESS_LAUNCH | Se activa cuando se inicia el daemon auditd. |
| DEL_GROUP | GROUP_DELETION | Se activa cuando se elimina un grupo del espacio de usuario. |
| Pendiente | USER_DELETION | Se activa cuando se elimina un usuario del espacio de usuario. |
| EXECVE | PROCESS_LAUNCH | Se activa para registrar los argumentos de la llamada al sistema execve(2). |
| MAC_CONFIG_CHANGE | GENERIC_EVENT | Se activa cuando se cambia un valor booleano de SELinux. |
| MAC_IPSEC_EVENT | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un evento de IPSec cuando se detecta uno o cuando cambia la configuración de IPSec. |
| MAC_POLICY_LOAD | GENERIC_EVENT | Se activa cuando se carga un archivo de política de SELinux. |
| MAC_STATUS | GENERIC_EVENT | Se activa cuando se cambia el modo de SELinux (enforcing, permissive, off). |
| MAC_UNLBL_STCADD | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa cuando se añade una etiqueta estática al usar las funciones de etiquetado de paquetes del kernel proporcionadas por NetLabel. |
| NETFILTER_CFG | GENERIC_EVENT | Se activa cuando se detectan modificaciones en la cadena de Netfilter. |
| OBJ_PID | SYSTEM_AUDIT_LOG_UNCATEGORIZED | Se activa para registrar información sobre un proceso al que se envía una señal. |
| RUTA | FILE_OPEN/GENERIC_EVENT | Se activa para registrar la información de la ruta del nombre del archivo. |
| SELINUX_ERR | GENERIC_EVENT | Se activa cuando se detecta un error interno de SELinux. |
| SERVICE_START | SERVICE_START | Se activa cuando se inicia un servicio. |
| SERVICE_STOP | SERVICE_STOP | Se activa cuando se detiene un servicio. |
| SYSCALL | GENERIC_EVENT | Se activa para registrar una llamada al sistema al kernel. |
| SYSTEM_BOOT | STATUS_STARTUP | Se activa cuando se inicia el sistema. |
| SYSTEM_RUNLEVEL | STATUS_UPDATE | Se activa cuando se cambia el nivel de ejecución del sistema. |
| SYSTEM_SHUTDOWN | STATUS_SHUTDOWN | Se activa cuando se apaga el sistema. |
| USER_ACCT | SETTING_MODIFICATION | Se activa cuando se modifica una cuenta de usuario del espacio de usuario. |
| USER_AUTH | USER_LOGIN | Se activa cuando se detecta un intento de autenticación del espacio de usuario. |
| USER_AVC | USER_UNCATEGORIZED | Se activa cuando se genera un mensaje AVC de espacio de usuario. |
| USER_CHAUTHTOK | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se modifica un atributo de una cuenta de usuario. |
| USER_CMD | USER_COMMUNICATION | Se activa cuando se ejecuta un comando de shell del espacio de usuario. |
| USER_END | USER_LOGOUT | Se activa cuando se termina una sesión del espacio de usuario. |
| USER_ERR | USER_UNCATEGORIZED | Se activa cuando se detecta un error en el estado de la cuenta de un usuario. |
| USER_LOGIN | USER_LOGIN | Se activa cuando un usuario inicia sesión. |
| USER_LOGOUT | USER_LOGOUT | Se activa cuando un usuario cierra sesión. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Se activa cuando un daemon del espacio de usuario carga una política de SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Se activa para registrar datos de gestión del espacio de usuario. |
| USER_ROLE_CHANGE | USER_CHANGE_PERMISSIONS | Se activa cuando se cambia el rol de SELinux de un usuario. |
| USER_START | USER_LOGIN | Se activa cuando se inicia una sesión del espacio de usuario. |
| USYS_CONFIG | USER_RESOURCE_UPDATE_CONTENT | Se activa cuando se detecta un cambio en la configuración del sistema del espacio de usuario. |
| VIRT_CONTROL | STATUS_UPDATE | Se activa cuando se inicia, se pausa o se detiene una máquina virtual. |
| VIRT_MACHINE_ID | USER_RESOURCE_ACCESS | Se activa para registrar la vinculación de una etiqueta a una máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Se activa para registrar la asignación de recursos de una máquina virtual. |
Correo
Campos de registro de correo a campos de UDM
En la siguiente tabla se enumeran los campos de registro del tipo de registro de correo y sus campos de UDM correspondientes.
| Campo de registro | Campo de UDM |
|---|---|
| Clase | about.labels.key/value |
| Ctladdr | principal.user.user_display_name |
| De | network.email.from |
| Msgid | network.email.mail_id |
| Proto | network.application_protocol |
| Relay | intermediary.hostname
intermediary.ip |
| Tamaño | network.received_bytes |
| Estadísticas | security_result.summary |
| a | network.email.to |
Tipos de registros de correo a tipo de evento de UDM
En la siguiente tabla se enumeran los tipos de registros de correo y sus tipos de eventos de UDM correspondientes.
| Tipo de registro de correo | Tipo de evento de UDM |
|---|---|
| sendmail | GENERIC_EVENT |
| recogida | EMAIL_UNCATEGORIZED |
| cleanup | GENERIC_EVENT |
| qmgr | EMAIL_UNCATEGORIZED |
| smtp | GENERIC_EVENT |
| local | EMAIL_UNCATEGORIZED |
Siguientes pasos
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.