Raccogliere i log CIM di Splunk
Questo documento descrive come raccogliere i log del modello di informazioni comuni (CIM) di Splunk configurando Splunk e un forwarder di Google Security Operations. Questo documento elenca anche i tipi di log supportati e le versioni di Splunk supportate.
Per saperne di più, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra come sono configurati gli agenti Splunk per inviare log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa da questa rappresentazione e potrebbe essere più complessa.
Il diagramma dell'architettura mostra i seguenti componenti:
Origine dati: il sistema da monitorare nel quale è installato Splunk.
Splunk: raccoglie informazioni dall'origine dati e le inoltra al forwarding di Google Security Operations.
Inoltratore delle operazioni di sicurezza di Google: una soluzione leggera componente software di cui è stato eseguito il deployment nella rete del cliente per inoltrare i log a Google Security Operations.
Google Security Operations: conserva e analizza i log di il server del parco risorse.
Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati
in formato UDM strutturato. Le informazioni in questo documento si applicano al parser
con l'etichetta di importazione SPLUNK.
Prima di iniziare
Utilizza Splunk versione 5.0 supportata dal parser di Google Security Operations.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configurare un agente Splunk e un forwarder di Google Security Operations
Installa un agente conforme a CIM da Splunkbase.
Configura il forwarder di Google Security Operations per inviare i log al sistema di Google Security Operations. Di seguito è riportato un esempio di configurazione di un forwarder di Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Considerazioni per la scrittura di query di ricerca Splunk
Splunk ha un proprio linguaggio di ricerca, simile a SQL. Assicurati di utilizzare la sintassi corretta per la query di ricerca. Quando crei una query, considera le seguenti caratteristiche di ricerca:
Carattere di escape
Se un valore stringa contiene virgolette doppie ", utilizza una barra rovesciata come carattere di escape per le virgolette. In caso contrario, la ricerca interpreta erroneamente la fine del valore della stringa.
Ad esempio, per cercare una stringa WHERE _raw="The user "vpatel" isn't authenticated.",
devi utilizzare la sequenza \" per cercare una virgoletta doppia letterale.
Scrivi la stringa di ricerca nel seguente formato:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Per eseguire l'escape di un carattere barra rovesciata \ , utilizza la sequenza \\ per cercare una barra rovesciata.
Ad esempio, se esiste una stringa come C:\user\abc, questa deve essere scritta come C:\\user\\abc.
Ricerca sintatticamente errata
Se una sezione della query non è valida, l'intera query non viene valutata e viene visualizzato un messaggio di errore.
Considera l'esempio seguente in cui l'opzione della modalità di ricerca non è presente nella query:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
In questo esempio, l'opzione della modalità di ricerca non è presente nella query. Questo comporta il seguente errore:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Supporto per più modelli dei dati
Splunk supporta una singola query di grandi dimensioni che copre i modelli di dati. La seguente query di ricerca estrae dati da più modelli di dati:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Ecco i componenti di questa query che comprende i modelli dei dati:
Multisearch: la query deve iniziare con la parola multisearch. Una query per un modello dei dati deve essere racchiusa tra parentesi quadre [ ] e iniziare con una barra verticale |.
Network_Traffic: il nome del modello di dati.
All_Traffic: set di dati del modello dei dati Network_Traffic.
flat: modalità di ricerca. Le altre opzioni sono search e acceleration_search.
Ti consigliamo di utilizzare la seguente query Splunk per la ricerca di più modello dei dati:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Tipi di log e modelli di dati supportati
| Modello dei dati Splunk | Supportato |
|---|---|
| Avvisi | Sì |
| Stato dell'applicazione (deprecato) | No |
| Autenticazione | Sì |
| Certificati | Sì |
| Modifica | Sì |
| Analisi delle variazioni (deprecata) | No |
| Accesso ai dati | Sì |
| Database | Sì |
| Prevenzione della perdita di dati | Sì |
| Sì | |
| Endpoint | Sì |
| Firme evento | Sì |
| Messaggistica interprocessuale | Sì |
| Rilevamento delle intrusioni | Sì |
| Inventario | Sì |
| Java Virtual Machines (JVM) | Sì |
| Malware | Sì |
| Risoluzione della rete (DNS) | Sì |
| Sessioni di rete | Sì |
| Traffico di rete | Sì |
| Prestazioni | Sì |
| Audit log di Splunk | Sì |
| Gestione dei biglietti | Sì |
| Aggiornamenti | Sì |
| Vulnerabilità | Sì |
| Web | Sì |
Riferimento alla mappatura dei campi
Questa sezione spiega in che modo l'analizzatore sintattico di Google Security Operations mappa i campi dei log di Splunk ai campi UDM (Google Security Operations Unified Data Model) per i set di dati. Per ulteriori informazioni, vedi il documento Splunk per la versione 5.0.1.
Avvisi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per gli avvisi del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| app | observer.application |
| description | security_result.description |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_type | target.resource.resource_type |
| ID | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| gravità | security_result.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_type | principal.resource.resource_type |
| tag | about.labels.key/value (deprecato) additional.fields |
| tipo | security_result.alert_state |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (deprecato) additional.fields |
| vendor_region | about.location.country_or_region |
Autenticazione
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Authentication:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | target.application |
| authentication_method | about.labels.key/value (deprecato) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_nt_domain | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| motivo | security_result.summary |
| response_time | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_nt_domain | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_user_category | principal.labels.key/value (deprecato) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (deprecato) additional.fields |
| src_user_role | principal.user.attribute.roles.name (ripetuto) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (ripetuto) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (deprecato) additional.fields |
All_Certificates
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Certificates:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (deprecato) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| trasporto | network.ip_protocol |
SSL
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk SSL:
| Campo log | Mappatura UDM |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (deprecato) additional.fields |
| ssl_hash | about.labels.key/value (deprecato) additional.fields |
| ssl_is_valid | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_email | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_locality | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_organization | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_state | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_street | about.labels.key/value (deprecato) additional.fields |
| ssl_issuer_unit | about.labels.key/value (deprecato) additional.fields |
| ssl_name | about.labels.key/value (deprecato) additional.fields |
| ssl_policies | about.labels.key/value (deprecato) additional.fields |
| ssl_publickey | about.labels.key/value (deprecato) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (deprecato) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (deprecato) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_email | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_locality | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_organization | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_state | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_street | about.labels.key/value (deprecato) additional.fields |
| ssl_subject_unit | about.labels.key/value (deprecato) additional.fields |
| ssl_validity_window | about.labels.key/value (deprecato) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Changes:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| oggetto | target.resource.name |
| object_attrs | about.labels.key/value (deprecato) additional.fields |
| object_category | about.labels.key/value (deprecato) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| risultato | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Account_Management:
| Campo log | Mappatura UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_user_category | principal.labels.key/value (deprecato) additional.fields |
| src_user_priority | principal.labels.key/value (deprecato) additional.fields |
| src_user_name | principal.labels.key/value (deprecato) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Changes:
| Campo log | Mappatura UDM |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (deprecato) additional.fields |
network_Changes
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk network_Changes:
| Campo log | Mappatura UDM |
|---|---|
| dest_ip_range | target.labels.key/value (deprecato) additional.fields |
| dest_port_range | target.labels.key/value (deprecato) additional.fields |
| direction | network.direction |
| protocollo | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (deprecato) additional.fields |
| src_port_range | principal.labels.key/value (deprecato) additional.fields |
Data_Access
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Data_Access:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | target.application |
| app_id | metadata.product_log_id |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| oggetto | target.resource.name |
| object_category | about.labels.key/value (deprecato) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| proprietario | about.labels.key/value (deprecato) additional.fields |
| owner_email | about.labels.key/value (deprecato) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (deprecato) additional.fields |
| parent_object_category | about.labels.key/value (deprecato) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| tenant_id | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (ripetuto) |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| vendor_product_id | about.labels.key/value (deprecato) additional.fields |
All_Databases
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Databases:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| oggetto | target.resource.name |
| response_time | about.labels.key/value (deprecato) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Database_Instance
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Database_Instance:
| Campo log | Mappatura UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (deprecato) additional.fields |
| session_limit | about.labels.key/value (deprecato) additional.fields |
Database_Query
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Database_Query:
| Campo log | Mappatura UDM |
|---|---|
| query | about.labels.key/value (deprecato) additional.fields |
| query_id | about.labels.key/value (deprecato) additional.fields |
| query_time | about.labels.key/value (deprecato) additional.fields |
| records_affected | about.labels.key/value (deprecato) additional.fields |
Instance_Stats
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Stats:
| Campo log | Mappatura UDM |
|---|---|
| disponibilità | about.labels.key/value (deprecato) additional.fields |
| avg_executions | about.labels.key/value (deprecato) additional.fields |
| dump_area_used | about.labels.key/value (deprecato) additional.fields |
| instance_reads | about.labels.key/value (deprecato) additional.fields |
| instance_writes | about.labels.key/value (deprecato) additional.fields |
| numero_di_utenti | about.labels.key/value (deprecato) additional.fields |
| processi | about.labels.key/value (deprecato) additional.fields |
| sessioni | about.labels.key/value (deprecato) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (deprecato) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (deprecato) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (deprecato) additional.fields |
| sga_fixed_area_size | about.labels.key/value (deprecato) additional.fields |
| sga_free_memory | about.labels.key/value (deprecato) additional.fields |
| sga_library_cache_size | about.labels.key/value (deprecato) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (deprecato) additional.fields |
| sga_shared_pool_size | about.labels.key/value (deprecato) additional.fields |
| sga_sql_area_size | about.labels.key/value (deprecato) additional.fields |
| start_time | about.labels.key/value (deprecato) additional.fields |
| tablespace_used | about.labels.key/value (deprecato) additional.fields |
Session_Info
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Session_Info:
| Campo log | Mappatura UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (deprecato) additional.fields |
| commit | about.labels.key/value (deprecato) additional.fields |
| cpu_used | about.labels.key/value (deprecato) additional.fields |
| cursore | about.labels.key/value (deprecato) additional.fields |
| tempo_trascorso | about.labels.key/value (deprecato) additional.fields |
| logical_reads | about.labels.key/value (deprecato) additional.fields |
| macchina | about.hostname |
| memory_sorts | about.labels.key/value (deprecato) additional.fields |
| physical_reads | about.labels.key/value (deprecato) additional.fields |
| seconds_in_wait | about.labels.key/value (deprecato) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (deprecato) additional.fields |
| table_scans | about.labels.key/value (deprecato) additional.fields |
| wait_state | about.labels.key/value (deprecato) additional.fields |
| wait_time | about.labels.key/value (deprecato) additional.fields |
Lock_Info
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Lock_Info:
| Campo log | Mappatura UDM |
|---|---|
| last_call_minute | about.labels.key/value (deprecato) additional.fields |
| lock_mode | about.labels.key/value (deprecato) additional.fields |
| lock_session_id | about.labels.key/value (deprecato) additional.fields |
| logon_time | about.labels.key/value (deprecato) additional.fields |
| obj_name | about.labels.key/value (deprecato) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Spazio tabella
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo spazio delle tabelle del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| letture_spazio_tabelle | about.labels.key/value (deprecato) additional.fields |
| tablespace_status | about.labels.key/value (deprecato) additional.fields |
| tablespace_writes | about.labels.key/value (deprecato) additional.fields |
Query_Stats
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Query_Stats:
| Campo log | Mappatura UDM |
|---|---|
| indexes_hit | about.labels.key/value (deprecato) additional.fields |
| query_plan_hit | about.labels.key/value (deprecato) additional.fields |
| stored_procedures_called | about.labels.key/value (deprecato) additional.fields |
| tables_hit | about.labels.key/value (deprecato) additional.fields |
DLP_Incidents
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk DLP_Incidents:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | target.application |
| categoria | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (deprecato) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (deprecato) additional.fields |
| dvc_category | about.labels.key/value (deprecato) additional.fields |
| dvc_priority | about.labels.key/value (deprecato) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| oggetto | target.resource.name |
| object_category | about.labels.key/value (deprecato) additional.fields |
| object_path | target.file.full_path |
| gravità | security_result.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_user_category | principal.labels.key/value (deprecato) additional.fields |
| src_user_priority | principal.labels.key/value (deprecato) additional.fields |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
All_Email
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Email:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| delay | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| nome_file | about.labels.key/value (deprecato) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (deprecato) additional.fields |
| orig_dest | target.labels.key/value (deprecato) additional.fields |
| orig_recipient | about.labels.key/value (deprecato) additional.fields |
| orig_src | network.email.from |
| di diffusione | principal.process.command_line |
| process_id | principal.process.pid |
| protocollo | network.application_protocol |
| destinatario | network.email.to |
| recipient_count | about.labels.key/value (deprecato) additional.fields |
| recipient_domain | about.labels.key/value (deprecato) additional.fields |
| recipient_status | about.labels.key/value (deprecato) additional.fields |
| response_time | about.labels.key/value (deprecato) additional.fields |
| tentativi | about.labels.key/value (deprecato) additional.fields |
| return_addr | about.labels.key/value (deprecato) additional.fields |
| dimensioni | about.labels.key/value (deprecato) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_user_category | principal.labels.key/value (deprecato) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (deprecato) additional.fields |
| status_code | about.labels.key/value (deprecato) additional.fields |
| subject | network.email.subject(repeated) |
| tag | about.labels.key/value (deprecato) additional.fields |
| url | about.url |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| xdelay | about.labels.key/value (deprecato) additional.fields |
| xref | about.labels.key/value (deprecato) additional.fields |
Filtri
Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il filtro del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| filter_action | about.labels.key/value (deprecato) additional.fields |
| filter_score | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_extra | about.labels.key/value (deprecato) additional.fields |
| signature_id | metadata.product_event_type |
Porte
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per le porte del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| creation_time | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (deprecato) additional.fields |
| src_should_timesync | principal.labels.key/value (deprecato) additional.fields |
| src_should_update | principal.labels.key/value (deprecato) additional.fields |
| state | about.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| trasporto | network.ip_protocol |
| transport_dest_port | target.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Processi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i processi del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_is_expected | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| mem_used | about.labels.key/value (deprecato) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (deprecato) additional.fields |
| parent_process_exec | about.labels.key/value (deprecato) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (deprecato) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| di diffusione | about.labels.key/value (deprecato) additional.fields |
| process_current_directory | about.labels.key/value (deprecato) additional.fields |
| process_exec | about.labels.key/value (deprecato) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Servizi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i servizi del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| description | security_result.description |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_is_expected | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| servizio | target.application |
| service_dll | about.labels.key/value (deprecato) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (deprecato) additional.fields |
| service_dll_signature_exists | about.labels.key/value (deprecato) additional.fields |
| service_dll_signature_verified | about.labels.key/value (deprecato) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (deprecato) additional.fields |
| service_id | about.labels.key/value (deprecato) additional.fields |
| service_name | about.labels.key/value (deprecato) additional.fields |
| service_path | about.labels.key/value (deprecato) additional.fields |
| service_signature_exists | about.labels.key/value (deprecato) additional.fields |
| service_signature_verified | about.labels.key/value (deprecato) additional.fields |
| start_mode | about.labels.key/value (deprecato) additional.fields |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Filesystem
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il file system del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| file_access_time | about.labels.key/value (deprecato) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (deprecato) additional.fields |
| nome_file | about.labels.key/value (deprecato) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (deprecato) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Registro
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il registro del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (deprecato) additional.fields |
| registry_path | about.labels.key/value (deprecato) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (deprecato) additional.fields |
| registry_value_type | about.labels.key/value (deprecato) additional.fields |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Firme
La tabella seguente elenca i campi di log e le relative mappature UDM per le firme del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (deprecato) additional.fields |
Signatures_vendor_product
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Signatures_vendor_product:
| Campo log | Mappatura UDM |
|---|---|
| vendor_product | about.labels.key/value (deprecato) additional.fields |
All_Interprocess_Messaging
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Interprocess_Messaging:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| endpoint | about.labels.key/value (deprecato) additional.fields |
| endpoint_version | about.labels.key/value (deprecato) additional.fields |
| messaggio | about.labels.key/value (deprecato) additional.fields |
| message_consumed_time | about.labels.key/value (deprecato) additional.fields |
| message_correlation_id | about.labels.key/value (deprecato) additional.fields |
| message_delivered_time | about.labels.key/value (deprecato) additional.fields |
| message_delivery_mode | about.labels.key/value (deprecato) additional.fields |
| message_expiration_time | about.labels.key/value (deprecato) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (deprecato) additional.fields |
| message_properties | about.labels.key/value (deprecato) additional.fields |
| message_received_time | about.labels.key/value (deprecato) additional.fields |
| message_redelivered | about.labels.key/value (deprecato) additional.fields |
| message_reply_dest | target.labels.key/value (deprecato) additional.fields |
| message_type | about.labels.key/value (deprecato) additional.fields |
| Parametri | about.labels.key/value (deprecato) additional.fields |
| payload | about.labels.key/value (deprecato) additional.fields |
| payload_type | about.labels.key/value (deprecato) additional.fields |
| request_payload | about.labels.key/value (deprecato) additional.fields |
| request_payload_type | about.labels.key/value (deprecato) additional.fields |
| request_sent_time | about.labels.key/value (deprecato) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (deprecato) additional.fields |
| response_received_time | about.labels.key/value (deprecato) additional.fields |
| response_time | about.labels.key/value (deprecato) additional.fields |
| return_message | about.labels.key/value (deprecato) additional.fields |
| rpc_protocol | network.application_protocol |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
IDS_Attacks
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk IDS_Attacks:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (deprecato) additional.fields |
| dvc_category | about.labels.key/value (deprecato) additional.fields |
| dvc_priority | about.labels.key/value (deprecato) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (deprecato) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (deprecato) additional.fields |
| gravità | security_result.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_port | principal.port |
| tag | about.labels.key/value (deprecato) additional.fields |
| trasporto | network.ip_protocol |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
DS_Attacks
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati DS_Attacks di Splunk:
| Campo log | Mappatura UDM |
|---|---|
| dest_port | target.port |
All_Inventory
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Inventory:
| Campo log | Mappatura UDM |
|---|---|
| description | security_result.description |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| hypervisor_id | about.labels.key/value (deprecato) additional.fields |
| serial | principal.asset.hardware.serial_number |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
CPU
Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il set di dati Splunk CPU:
| Campo log | Mappatura UDM |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (deprecato) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (deprecato) additional.fields |
| cpu_time | about.labels.key/value (deprecato) additional.fields |
| cpu_user_percent | about.labels.key/value (deprecato) additional.fields |
Memoria
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Memory:
| Campo log | Mappatura UDM |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (deprecato) additional.fields |
| heap_initial | about.labels.key/value (deprecato) additional.fields |
| heap_max | about.labels.key/value (deprecato) additional.fields |
| heap_used | about.labels.key/value (deprecato) additional.fields |
| non_heap_committed | about.labels.key/value (deprecato) additional.fields |
| non_heap_initial | about.labels.key/value (deprecato) additional.fields |
| non_heap_max | about.labels.key/value (deprecato) additional.fields |
| non_heap_used | about.labels.key/value (deprecato) additional.fields |
| objects_pending | about.labels.key/value (deprecato) additional.fields |
| mem | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (deprecato) additional.fields |
| mem_free | about.labels.key/value (deprecato) additional.fields |
| mem_used | about.labels.key/value (deprecato) additional.fields |
| scambiare | about.labels.key/value (deprecato) additional.fields |
| swap_free | about.labels.key/value (deprecato) additional.fields |
| swap_used | about.labels.key/value (deprecato) additional.fields |
e viceversa
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per la rete del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (deprecato) additional.fields |
| inline_nat | about.labels.key/value (deprecato) additional.fields |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (deprecato) additional.fields |
| mac | principal.asset.mac |
| nome | principal.resource.name |
| nodo | about.labels.key/value (deprecato) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (deprecato) additional.fields |
| thruput | about.labels.key/value (deprecato) additional.fields |
| thruput_max | about.labels.key/value (deprecato) additional.fields |
Sistema operativo
La tabella seguente elenca i campi di log e le relative mappature UDM per il sistema operativo del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (deprecato) additional.fields |
| cpu_time | about.labels.key/value (deprecato) additional.fields |
| free_physical_memory | about.labels.key/value (deprecato) additional.fields |
| free_swap | about.labels.key/value (deprecato) additional.fields |
| max_file_descriptors | about.labels.key/value (deprecato) additional.fields |
| open_file_descriptors | about.labels.key/value (deprecato) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (deprecato) additional.fields |
| os_version | about.labels.key/value (deprecato) additional.fields |
| physical_memory | about.labels.key/value (deprecato) additional.fields |
| swap_space | about.labels.key/value (deprecato) additional.fields |
| system_load | about.labels.key/value (deprecato) additional.fields |
| total_processors | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
Archiviazione
La tabella seguente elenca i campi di log e le relative mappature UDM per lo spazio di archiviazione del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| matrice | about.labels.key/value (deprecato) additional.fields |
| blocco | about.labels.key/value (deprecato) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (deprecato) additional.fields |
| latenza | about.labels.key/value (deprecato) additional.fields |
| montare | principal.resource.attribute.labels.key/value |
| principale | principal.resource.parent |
| read_blocks | about.labels.key/value (deprecato) additional.fields |
| read_latency | about.labels.key/value (deprecato) additional.fields |
| read_ops | about.labels.key/value (deprecato) additional.fields |
| spazio di archiviazione | about.labels.key/value (deprecato) additional.fields |
| write_blocks | about.labels.key/value (deprecato) additional.fields |
| write_latency | about.labels.key/value (deprecato) additional.fields |
| write_ops | about.labels.key/value (deprecato) additional.fields |
| matrice | about.labels.key/value (deprecato) additional.fields |
| blocco | about.labels.key/value (deprecato) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (deprecato) additional.fields |
| fd_used | about.labels.key/value (deprecato) additional.fields |
| latenza | about.labels.key/value (deprecato) additional.fields |
| montare | about.labels.key/value (deprecato) additional.fields |
| principale | principal.resource.parent |
| read_blocks | about.labels.key/value (deprecato) additional.fields |
| read_latency | about.labels.key/value (deprecato) additional.fields |
| read_ops | about.labels.key/value (deprecato) additional.fields |
| spazio di archiviazione | about.labels.key/value (deprecato) additional.fields |
| storage_free | about.labels.key/value (deprecato) additional.fields |
| storage_free_percent | about.labels.key/value (deprecato) additional.fields |
| storage_used | about.labels.key/value (deprecato) additional.fields |
| storage_used_percent | about.labels.key/value (deprecato) additional.fields |
| write_blocks | about.labels.key/value (deprecato) additional.fields |
| write_latency | about.labels.key/value (deprecato) additional.fields |
| write_ops | about.labels.key/value (deprecato) additional.fields |
| error_code | security_result.description |
| operazione | about.labels.key/value (deprecato) additional.fields |
| storage_name | about.resource.name |
Utente
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per l'utente del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| interactive | about.labels.key/value (deprecato) additional.fields |
| password | about.labels.key/value (deprecato) additional.fields |
| shell | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Virtual_OS:
| Campo log | Mappatura UDM |
|---|---|
| hypervisor | about.labels.key/value (deprecato) additional.fields |
Snapshot
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo snapshot del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| dimensioni | about.file.size |
| snapshot | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
JVM
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per la JVM del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| jvm_description | security_result.description |
| tag | about.labels.key/value (deprecato) additional.fields |
Filettatura
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Threading:
| Campo log | Mappatura UDM |
|---|---|
| cm_enabled | about.labels.key/value (deprecato) additional.fields |
| cm_supported | about.labels.key/value (deprecato) additional.fields |
| cpu_time_enabled | about.labels.key/value (deprecato) additional.fields |
| cpu_time_supported | about.labels.key/value (deprecato) additional.fields |
| current_cpu_time | about.labels.key/value (deprecato) additional.fields |
| current_user_time | about.labels.key/value (deprecato) additional.fields |
| daemon_thread_count | about.labels.key/value (deprecato) additional.fields |
| omu_supported | about.labels.key/value (deprecato) additional.fields |
| peak_thread_count | about.labels.key/value (deprecato) additional.fields |
| synch_supported | about.labels.key/value (deprecato) additional.fields |
| thread_count | about.labels.key/value (deprecato) additional.fields |
| threads_started | about.labels.key/value (deprecato) additional.fields |
Runtime
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Runtime:
| Campo log | Mappatura UDM |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (deprecato) additional.fields |
| uptime | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
Compilation
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per la compilazione del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| compilation_time | about.labels.key/value (deprecato) additional.fields |
Caricamento dei corsi
Nella tabella seguente sono elencati i campi di log e le relative mappature UDM per il set di dati Splunk Classloading:
| Campo log | Mappatura UDM |
|---|---|
| current_loaded | about.labels.key/value (deprecato) additional.fields |
| total_loaded | about.labels.key/value (deprecato) additional.fields |
| total_unloaded | about.labels.key/value (deprecato) additional.fields |
Malware_Attacks
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Attacks:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| data | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (deprecato) additional.fields |
| file_path | target.file.full_path |
| gravità | security_result.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_user | principal.user.user_display_name |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Malware_Operations
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_nt_domain | target.labels.key/value (deprecato) additional.fields |
| dest_nt_domain | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_requires_av | target.labels.key/value (deprecato) additional.fields |
| product_version | about.labels.key/value (deprecato) additional.fields |
| signature_version | security_result.rule_version |
| tag | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Malware_Operations
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:
| Campo log | Mappatura UDM |
|---|---|
| dest_category | target.labels.key/value (deprecato) additional.fields |
DNS
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per il DNS del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| additional_answer_count | about.labels.key/value (deprecato) additional.fields |
| rispondi | network.dns.answer.data |
| answer_count | about.labels.key/value (deprecato) additional.fields |
| authority_answer_count | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value (deprecato) additional.fields |
| nome | about.labels.key/value (deprecato) additional.fields |
| query | network.dns.questions.name |
| query_count | about.labels.key/value (deprecato) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (deprecato) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (deprecato) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| transaction_id | network.dns.id |
| trasporto | network.ip_protocol |
| ttl | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
All_Sessions
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk All_Sessions:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_dns | target.labels.key/value (deprecato) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_dns | principal.labels.key/value (deprecato) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
DHCP
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il DHCP del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (deprecato) additional.fields |
All_Traffic
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Traffic:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | network.application_protocol |
| byte | about.labels.key/value (deprecato) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| canale | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_interface | target.labels.key/value (deprecato) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (deprecato) additional.fields |
| dvc_category | about.labels.key/value (deprecato) additional.fields |
| dvc_ip | about.labels.key/value (deprecato) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (deprecato) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (deprecato) additional.fields |
| icmp_code | about.labels.key/value (deprecato) additional.fields |
| icmp_type | about.labels.key/value (deprecato) additional.fields |
| pacchetti | about.labels.key/value (deprecato) additional.fields |
| packets_in | about.labels.key/value (deprecato) additional.fields |
| packets_out | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| protocol_version | about.labels.key/value (deprecato) additional.fields |
| response_time | about.labels.key/value (deprecato) additional.fields |
| regola | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_interface | principal.labels.key/value (deprecato) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| tcp_flag | about.labels.key/value (deprecato) additional.fields |
| trasporto | network.ip_protocol |
| tos | about.labels.key/value (deprecato) additional.fields |
| ttl | network.dns.additional.ttl |
| utente | principal.user.userid |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| vlan | about.labels.key/value (deprecato) additional.fields |
| wifi | about.labels.key/value (deprecato) additional.fields |
All_Performance
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Performance:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_should_timesync | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| hypervisor_id | about.labels.key/value (deprecato) additional.fields |
| resource_type | about.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
Strutture
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per le strutture del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| fan_speed | about.labels.key/value (deprecato) additional.fields |
| power | about.labels.key/value (deprecato) additional.fields |
| temperatura | about.labels.key/value (deprecato) additional.fields |
Timesync
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Timesync:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
Tempo di attività
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Uptime:
| Campo log | Mappatura UDM |
|---|---|
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
View_Activity
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk View_Activity:
| Campo log | Mappatura UDM |
|---|---|
| app | target.application |
| ha speso | about.labels.key/value (deprecato) additional.fields |
| uri | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| visualizza | about.labels.key/value (deprecato) additional.fields |
Datamodel_Acceleration
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Datamodel_Acceleration:
| Campo log | Mappatura UDM |
|---|---|
| access_count | about.labels.key/value (deprecato) additional.fields |
| access_time | about.labels.key/value (deprecato) additional.fields |
| app | target.application |
| bucket | about.labels.key/value (deprecato) additional.fields |
| buckets_size | about.labels.key/value (deprecato) additional.fields |
| completato | about.labels.key/value (deprecato) additional.fields |
| cron | about.labels.key/value (deprecato) additional.fields |
| datamodel | about.labels.key/value (deprecato) additional.fields |
| digest | about.labels.key/value (deprecato) additional.fields |
| più recenti | about.labels.key/value (deprecato) additional.fields |
| is_inprogress | about.labels.key/value (deprecato) additional.fields |
| last_error | about.labels.key/value (deprecato) additional.fields |
| last_sid | about.labels.key/value (deprecato) additional.fields |
| più recente | about.labels.key/value (deprecato) additional.fields |
| mod_time | about.labels.key/value (deprecato) additional.fields |
| dei messaggi | about.labels.key/value (deprecato) additional.fields |
| dimensioni | about.file.size |
| summary_id | about.labels.key/value (deprecato) additional.fields |
Attività_ricerca
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Search_Activity:
| Campo log | Mappatura UDM |
|---|---|
| host | about.hostname |
| info | about.labels.key/value (deprecato) additional.fields |
| search | about.labels.key/value (deprecato) additional.fields |
| search_et | about.labels.key/value (deprecato) additional.fields |
| search_lt | about.labels.key/value (deprecato) additional.fields |
| search_type | about.labels.key/value (deprecato) additional.fields |
| origine | principal.labels.key/value (deprecato) additional.fields |
| sourcetype | principal.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
La tabella seguente elenca i campi di log e le relative mappature UDM per il set di dati Splunk Scheduler_Activity:
| Campo log | Mappatura UDM |
|---|---|
| app | target.application |
| host | about.hostname |
| savedsearch_name | about.labels.key/value (deprecato) additional.fields |
| sid | about.labels.key/value (deprecato) additional.fields |
| origine | principal.labels.key/value (deprecato) additional.fields |
| sourcetype | principal.labels.key/value (deprecato) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| stato | security_result.summary |
| utente | principal.user.user_display_name |
Web_Service_Errors
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Web_Service_Errors:
| Campo log | Mappatura UDM |
|---|---|
| host | about.hostname |
| origine | principal.labels.key/value (deprecato) additional.fields |
| sourcetype | principal.labels.key/value (deprecato) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk Modular_Actions:
| Campo log | Mappatura UDM |
|---|---|
| action_mode | about.labels.key/value (deprecato) additional.fields |
| action_status | about.labels.key/value (deprecato) additional.fields |
| app | target.application |
| duration | network.session_duration |
| componente | about.labels.key/value (deprecato) additional.fields |
| orig_rid | about.labels.key/value (deprecato) additional.fields |
| orig_sid | about.labels.key/value (deprecato) additional.fields |
| sbarazzarsi | about.labels.key/value (deprecato) additional.fields |
| search_name | about.labels.key/value (deprecato) additional.fields |
| action_name | security_result.action_details |
| firma | metadata.description |
| sid | about.labels.key/value (deprecato) additional.fields |
| utente | about.labels.key/value (deprecato) additional.fields |
All_Ticket_Management
La tabella seguente elenca i campi dei log e le relative mappature UDM per il set di dati Splunk All_Ticket_Management:
| Campo log | Mappatura UDM |
|---|---|
| affect_dest | target.labels.key/value (deprecato) additional.fields |
| commenti | about.labels.key/value (deprecato) additional.fields |
| description | security_result.description |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| priorità | security_result.priority_details |
| gravità | security_result.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| splunk_id | about.labels.key/value (deprecato) additional.fields |
| splunk_realm | about.labels.key/value (deprecato) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_user_category | principal.labels.key/value (deprecato) additional.fields |
| src_user_priority | principal.labels.key/value (deprecato) additional.fields |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Cambia
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per la modifica del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| modifica | about.labels.key/value (deprecato) additional.fields |
Incidente
Nella tabella seguente sono elencati i campi dei log e le relative mappature UDM per il set di dati Splunk Incident:
| Campo log | Mappatura UDM |
|---|---|
| incidente | about.labels.key/value (deprecato) additional.fields |
Problema
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk.
| Campo log | Mappatura UDM |
|---|---|
| problema | about.labels.key/value (deprecato) additional.fields |
Aggiornamenti
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per gli aggiornamenti del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_should_update | target.labels.key/value (deprecato) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (deprecato) additional.fields |
| gravità | security_result.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| stato | security_result.summary |
| tag | about.labels.key/value (deprecato) additional.fields |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Vulnerabilità
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per le vulnerabilità del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| bugtraq | about.labels.key/value (deprecato) additional.fields |
| categoria | security_result.category_details |
| cert | about.labels.key/value (deprecato) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| destinazione | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (deprecato) additional.fields |
| dvc_category | about.labels.key/value (deprecato) additional.fields |
| dvc_priority | about.labels.key/value (deprecato) additional.fields |
| msft | about.labels.key/value (deprecato) additional.fields |
| mskb | about.labels.key/value (deprecato) additional.fields |
| gravità | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (deprecato) additional.fields |
| firma | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (deprecato) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| utente | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
| xref | about.labels.key/value (deprecato) additional.fields |
Web
La seguente tabella elenca i campi dei log e le relative mappature UDM per il set di dati web di Splunk:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | target.application |
| byte | about.labels.key/value (deprecato) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| memorizzato nella cache | about.labels.key/value (deprecato) additional.fields |
| categoria | security_result.category_details |
| biscotto | about.labels.key/value (deprecato) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (deprecato) |
| dest_bunit | target.labels.key/value (deprecato) additional.fields |
| dest_category | target.labels.key/value (deprecato) additional.fields |
| dest_priority | target.labels.key/value (deprecato) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value (deprecato) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (deprecato) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (deprecato) additional.fields |
| response_time | about.labels.key/value (deprecato) additional.fields |
| sito | about.labels.key/value (deprecato) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (deprecato) |
| src_bunit | principal.labels.key/value (deprecato) additional.fields |
| src_category | principal.labels.key/value (deprecato) additional.fields |
| src_priority | principal.labels.key/value (deprecato) additional.fields |
| stato | network.http.response_code |
| tag | about.labels.key/value (deprecato) additional.fields |
| uri_path | about.labels.key/value (deprecato) additional.fields |
| uri_query | about.labels.key/value (deprecato) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (deprecato) additional.fields |
| utente | principal.user.user_display_name |
| user_bunit | about.labels.key/value (deprecato) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (deprecato) additional.fields |
Tipi di eventi UDM
Nella tabella seguente sono elencati i tag Splunk e i tipi di eventi UDM corrispondenti:
| Modello dati | Tag Splunk | Tipo di evento UDM |
|---|---|---|
| Avvisi | avviso | STATUS_UPDATE |
| Autenticazione | autenticazione | USER_UNCATEGORIZED |
| Certificato | certificato | NETWORK_UNCATEGORIZED |
| Modifica | modifica | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Accesso ai dati | dati, accesso | USER_RESOURCE_ACCESS |
| Database | database | USER_RESOURCE_ACCESS |
| Database | database, istanza, statistiche | STATUS_UPDATE |
| Database | database, istanza, stato | STATUS_UPDATE |
| Database | database, istanza, blocco | STATUS_UPDATE |
| Database | database, query | STATUS_UPDATE |
| Database | database, query, tablespace | STATUS_UPDATE |
| Database | database, query, statistiche | STATUS_UPDATE |
| Prevenzione della perdita di dati | dlp, incident | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| email, consegna | EMAIL_TRANSACTION | |
| Endpoint | ascolto, porta | SERVICE_UNSPECIFIED |
| Endpoint | processo, report | PROCESS_UNCATEGORIZED |
| Endpoint | servizio, report | SERVICE_UNSPECIFIED |
| Endpoint | endpoint, filesystem | FILE_UNCATEGORIZED |
| Endpoint | endpoint, registry | REGISTRY_UNCATEGORIZED |
| Firma dell'evento | track_event_signature | STATUS_UPDATE |
| Messaggistica interprocess | messaggistica | STATUS_UPDATE |
| Rilevamento delle intrusioni | ids, attack | SERVICE_UNSPECIFIED |
| Inventario | inventario | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Macchina virtuale Java (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | malware | STATUS_UPDATE |
| Risoluzione della rete (DNS) | rete, risoluzione, dns | NETWORK_DNS |
| Sessioni di rete | rete, sessione | NETWORK_CONNECTION |
| Sessioni di rete | network, session, dhcp | NETWORK_DHCP |
| Traffico di rete | rete, comunicare | NETWORK_CONNECTION |
| Prestazioni | prestazioni | SERVICE_UNSPECIFIED |
| Audit log di Splunk | modazione | STATUS_UPDATE |
| Gestione dei ticket | vendita di biglietti | STATUS_UPDATE |
| Gestione dei ticket | vendita di biglietti, modifica | STATUS_UPDATE |
| Aggiornamenti | update | STATUS_UPDATE |
| Vulnerabilità | report, vulnerabilità | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |