Coletar registros do Splunk CIM
Este documento descreve como coletar registros do modelo de informações comum (CIM, na sigla em inglês) do Splunk configurando o Splunk e um forwarder de operações de segurança do Google. Este documento também lista os tipos de registro e as versões do Splunk compatíveis.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Visão geral
O diagrama de arquitetura de implantação a seguir mostra como os agentes do Splunk são configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Fonte de dados: o sistema a ser monitorado em que o Splunk está instalado.
Splunk: coleta informações da fonte de dados e as encaminha ao forwarder do Google Security Operations.
Encaminhador do Google Security Operations: um componente de software leve, implantado na rede do cliente para encaminhar os registros ao Google Security Operations.
Google Security Operations: retém e analisa os registros do servidor do Fleet.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador
com rótulo de transferência SPLUNK
.
Antes de começar
Use a versão 5.0 do Splunk compatível com o analisador do Google Security Operations.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Configurar um agente do Splunk e um forwarder das operações de segurança do Google
Instale um agente compatível com CIM no Splunkbase.
Configure o forwarder do Google Security Operations para enviar os registros ao sistema do Google Security Operations. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Considerações para escrever consultas de pesquisa do Splunk
O Splunk tem uma linguagem de pesquisa própria, semelhante ao SQL. Use a sintaxe correta para sua consulta de pesquisa. Considere as seguintes características de pesquisa ao criar uma consulta:
Caractere de escape
Se um valor de string tiver uma aspa dupla "
, use caracteres de barra invertida para escapar da aspa. Caso contrário, a pesquisa interpreta mal o final do valor da string.
Por exemplo: para pesquisar uma string WHERE _raw="The user "vpatel" isn't authenticated."
,
use a sequência \"
para procurar uma aspa dupla literal.
Escreva a string de pesquisa no seguinte formato:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Para escapar de um caractere de barra invertida \
, use a sequência \\
para procurar uma barra invertida.
Por exemplo, se houver uma string como C:\user\abc
, ela precisa ser escrita como C:\\user\\abc
.
Pesquisa sintaticamente incorreta
Se uma seção da consulta for inválida, a consulta inteira não será avaliada e uma mensagem de erro vai aparecer.
Considere o exemplo a seguir em que a opção de modo de pesquisa não está na consulta:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
Neste exemplo, a opção de modo de pesquisa não está na consulta. Isso resulta no seguinte erro:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Suporte a vários modelos de dados
O Splunk oferece suporte a uma única consulta grande que abrange modelos de dados. A consulta de pesquisa a seguir extrai dados de vários modelos de dados:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Estes são os componentes dessa consulta que abrange modelos de dados:
Multisearch
: a consulta precisa começar com a palavra multisearch
. Uma consulta para um modelo de dados precisa estar entre colchetes [ ]
e começar com um caractere de barra |
.
Network_Traffic
: o nome do modelo de dados.
All_Traffic
: conjunto de dados do modelo de dados Network_Traffic
.
flat
: modo de pesquisa. As outras opções são search
e acceleration_search
.
Recomendamos usar a seguinte consulta do Splunk para pesquisar vários modelos de dados:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Tipos de registro e modelos de dados aceitos
Modelo de dados do Splunk | Compatível |
---|---|
Alertas | Sim |
Estado do aplicativo (descontinuado) | Não |
Authentication | Sim |
Certificados | Sim |
Alterar | Sim |
Análise de mudança (descontinuada) | Não |
Acesso aos dados | Sim |
Bancos de dados | Sim |
Prevenção contra perda de dados | Sim |
Sim | |
Endpoint | Sim |
Assinaturas de evento | Sim |
Mensagens entre processos | Sim |
Detecção de intrusões | Sim |
Inventário | Sim |
Máquinas virtuais Java (JVM) | Sim |
Malware | Sim |
Resolução de rede (DNS) | Sim |
Sessões de rede | Sim |
Tráfego de rede | Sim |
Desempenho | Sim |
Registros de auditoria do Splunk | Sim |
Gerenciamento de tíquetes | Sim |
Atualizações | Sim |
Vulnerabilidades | Sim |
Web | Sim |
Referência do mapeamento de campo
Esta seção explica como o analisador do Google Security Operations mapeia os campos de registro do Splunk para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google Security Operations para os conjuntos de dados. Para mais informações, consulte o documento do Splunk para a versão 5.0.1.
Alertas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os alertas do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
app | observer.application |
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_type | target.resource.resource_type |
id | metadata.product_log_id |
mitre_technique_id | security_result.detection_fields.labels.key/value |
gravidade, | security_result.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | security_result.rule_name |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_type | principal.resource.resource_type |
tag | about.labels.key/value (descontinuado) additional.fields |
tipo | security_result.alert_state |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_name | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
vendor_account | about.labels.key/value (descontinuado) additional.fields |
vendor_region | about.location.country_or_region |
Autenticação
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para a autenticação do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
app | target.application |
authentication_method | about.labels.key/value (descontinuado) additional.fields |
authentication_service | extension.auth.auth_details |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
reason | security_result.summary |
response_time | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_nt_domain | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_user_category | principal.labels.key/value (descontinuado) additional.fields |
src_user_id | principal.user.userid |
src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
src_user_role | principal.user.attribute.roles.name (repetido) |
src_user_type | principal.user.attribute.roles.type |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_agent | network.http.user_agent |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_id | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
user_role | principal.user.attribute.roles.name (repetido) |
user_type | principal.user.attribute.roles.type |
vendor_account | about.labels.key/value (descontinuado) additional.fields |
All_Certificates
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Certificates do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_port | target.port |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
response_time | about.labels.key/value (descontinuado) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_port | principal.port |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
transport | network.ip_protocol |
SSL
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o SSL do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ssl_end_time | network.tls.server.certificate.not_after |
ssl_engine | about.labels.key/value (descontinuado) additional.fields |
ssl_hash | about.labels.key/value (descontinuado) additional.fields |
ssl_is_valid | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer | network.tls.server.certificate.issuer |
ssl_issuer_common_name | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_email | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_email_domain | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_locality | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_organization | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_state | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_street | about.labels.key/value (descontinuado) additional.fields |
ssl_issuer_unit | about.labels.key/value (descontinuado) additional.fields |
ssl_name | about.labels.key/value (descontinuado) additional.fields |
ssl_policies | about.labels.key/value (descontinuado) additional.fields |
ssl_publickey | about.labels.key/value (descontinuado) additional.fields |
ssl_publickey_algorithm | about.labels.key/value (descontinuado) additional.fields |
ssl_serial | network.tls.server.certificate.serial |
ssl_session_id | network.session_id |
ssl_signature_algorithm | about.labels.key/value (descontinuado) additional.fields |
ssl_start_time | network.tls.server.certificate.not_before |
ssl_subject | network.tls.server.certificate.subject |
ssl_subject_common_name | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_email | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_email_domain | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_locality | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_organization | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_state | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_street | about.labels.key/value (descontinuado) additional.fields |
ssl_subject_unit | about.labels.key/value (descontinuado) additional.fields |
ssl_validity_window | about.labels.key/value (descontinuado) additional.fields |
ssl_version | network.tls.server.certificate.version |
All_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Changes do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
change_type | security_result.category_details |
comando | principal.process.command_line |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
objeto | target.resource.name |
object_attrs | about.labels.key/value (descontinuado) additional.fields |
object_category | about.labels.key/value (descontinuado) additional.fields |
object_id | target.user.product_object_id |
object_path | target.file.full_path |
result | metadata.description |
result_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | target.user.userid |
user_agent | network.http.user_agent |
user_name | principal.user.user_display_name, target.labels.key/value |
user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
vendor_account | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
vendor_region | about.location.country_or_region |
Account_Management
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Account_Management do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest_nt_domain | target.administrative_domain |
src_nt_domain | principal.administrative_domain |
src_user | principal.user.userid |
src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_user_category | principal.labels.key/value (descontinuado) additional.fields |
src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
src_user_name | principal.labels.key/value (descontinuado) additional.fields |
src_user_type | principal.user.attribute.roles.type |
Instance_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Instance_Changes do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
image_id | principal.asset_id |
instance_type | about.labels.key/value (descontinuado) additional.fields |
network_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados network_Changes do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest_ip_range | target.labels.key/value (descontinuado) additional.fields |
dest_port_range | target.labels.key/value (descontinuado) additional.fields |
direção | network.direction |
protocolo | network.ip_protocol |
rule_action | security_result.action_details security_result.action |
src_ip_range | principal.labels.key/value (descontinuado) additional.fields |
src_port_range | principal.labels.key/value (descontinuado) additional.fields |
Data_Access
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Data_Access do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
app | target.application |
app_id | metadata.product_log_id |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_name | target.administrative_domain |
dest_url | target.url |
dvc | principal.asset.hostname, principal.asset.ip |
principal.user.email_addresses | |
objeto | target.resource.name |
object_category | about.labels.key/value (descontinuado) additional.fields |
object_id | target.user.product_object_id |
object_path | target.file.full_path |
object_size | target.file.size |
proprietário | about.labels.key/value (descontinuado) additional.fields |
owner_email | about.labels.key/value (descontinuado) additional.fields |
owner_id | principal.user.userid |
parent_object | target.resource.parent |
parent_object_id | about.labels.key/value (descontinuado) additional.fields |
parent_object_category | about.labels.key/value (descontinuado) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
tenant_id | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_agent | network.http.user_agent |
user_group | principal.user.group_identifiers(repeated) |
user_role | principal.user.attribute.roles.name (repetido) |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
vendor_product_id | about.labels.key/value (descontinuado) additional.fields |
All_Databases
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados All_Databases do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
objeto | target.resource.name |
response_time | about.labels.key/value (descontinuado) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Database_Instance
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados Database_Instance do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
instance_name | target.resource.attributes.key/value |
instance_version | target.resource.attributes.key/value |
process_limit | about.labels.key/value (descontinuado) additional.fields |
session_limit | about.labels.key/value (descontinuado) additional.fields |
Database_Query
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Database_Query do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
consulta | about.labels.key/value (descontinuado) additional.fields |
query_id | about.labels.key/value (descontinuado) additional.fields |
query_time | about.labels.key/value (descontinuado) additional.fields |
records_affected | about.labels.key/value (descontinuado) additional.fields |
Instance_Stats
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Instance_Stats do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
Disponibilidade | about.labels.key/value (descontinuado) additional.fields |
avg_executions | about.labels.key/value (descontinuado) additional.fields |
dump_area_used | about.labels.key/value (descontinuado) additional.fields |
instance_reads | about.labels.key/value (descontinuado) additional.fields |
instance_writes | about.labels.key/value (descontinuado) additional.fields |
number_of_users | about.labels.key/value (descontinuado) additional.fields |
processes | about.labels.key/value (descontinuado) additional.fields |
sessões | about.labels.key/value (descontinuado) additional.fields |
sga_buffer_cache_size | about.labels.key/value (descontinuado) additional.fields |
sga_buffer_hit_limit | about.labels.key/value (descontinuado) additional.fields |
sga_data_dict_hit_ratio | about.labels.key/value (descontinuado) additional.fields |
sga_fixed_area_size | about.labels.key/value (descontinuado) additional.fields |
sga_free_memory | about.labels.key/value (descontinuado) additional.fields |
sga_library_cache_size | about.labels.key/value (descontinuado) additional.fields |
sga_redo_log_buffer_size | about.labels.key/value (descontinuado) additional.fields |
sga_shared_pool_size | about.labels.key/value (descontinuado) additional.fields |
sga_sql_area_size | about.labels.key/value (descontinuado) additional.fields |
start_time | about.labels.key/value (descontinuado) additional.fields |
tablespace_used | about.labels.key/value (descontinuado) additional.fields |
Session_Info
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados Session_Info do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
buffer_cache_hit_ratio | about.labels.key/value (descontinuado) additional.fields |
confirmações | about.labels.key/value (descontinuado) additional.fields |
cpu_used | about.labels.key/value (descontinuado) additional.fields |
cursor | about.labels.key/value (descontinuado) additional.fields |
elapsed_time | about.labels.key/value (descontinuado) additional.fields |
logical_reads | about.labels.key/value (descontinuado) additional.fields |
máquina | about.hostname |
memory_sorts | about.labels.key/value (descontinuado) additional.fields |
physical_reads | about.labels.key/value (descontinuado) additional.fields |
seconds_in_wait | about.labels.key/value (descontinuado) additional.fields |
session_id | network.session_id |
session_status | about.labels.key/value (descontinuado) additional.fields |
table_scans | about.labels.key/value (descontinuado) additional.fields |
wait_state | about.labels.key/value (descontinuado) additional.fields |
wait_time | about.labels.key/value (descontinuado) additional.fields |
Lock_Info
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados Lock_Info do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
last_call_minute | about.labels.key/value (descontinuado) additional.fields |
lock_mode | about.labels.key/value (descontinuado) additional.fields |
lock_session_id | about.labels.key/value (descontinuado) additional.fields |
logon_time | about.labels.key/value (descontinuado) additional.fields |
obj_name | about.labels.key/value (descontinuado) additional.fields |
os_pid | target.process.pid |
serial_num | target.resource.product_object_id |
Tabela
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o espaço de tabela do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
free_bytes | about.file.size |
tablespace_name | about.resource.name |
tablespace_reads | about.labels.key/value (descontinuado) additional.fields |
tablespace_status | about.labels.key/value (descontinuado) additional.fields |
tablespace_writes | about.labels.key/value (descontinuado) additional.fields |
Query_Stats
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Query_Stats do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
indexes_hit | about.labels.key/value (descontinuado) additional.fields |
query_plan_hit | about.labels.key/value (descontinuado) additional.fields |
stored_procedures_called | about.labels.key/value (descontinuado) additional.fields |
tables_hit | about.labels.key/value (descontinuado) additional.fields |
DLP_Incidents
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados DLP_Incidents do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
app | target.application |
categoria | security_result.category_details |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_zone | target.location.country_or_origin |
dlp_type | about.labels.key/value (descontinuado) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
dvc_category | about.labels.key/value (descontinuado) additional.fields |
dvc_priority | about.labels.key/value (descontinuado) additional.fields |
dvc_zone | principal.asset.location.country_or_region |
objeto | target.resource.name |
object_category | about.labels.key/value (descontinuado) additional.fields |
object_path | target.file.full_path |
gravidade, | security_result.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_user_category | principal.labels.key/value (descontinuado) additional.fields |
src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
src_zone | principal.location.country_or_origin |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Email
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Email do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
delay | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
file_name | about.labels.key/value (descontinuado) additional.fields |
file_size | about.file.size |
internal_message_id | metadata.product_log_id |
message_id | network.email.mail_id |
message_info | about.labels.key/value (descontinuado) additional.fields |
orig_dest | target.labels.key/value (descontinuado) additional.fields |
orig_recipient | about.labels.key/value (descontinuado) additional.fields |
orig_src | network.email.from |
difusão reversa que restaura | principal.process.command_line |
process_id | principal.process.pid |
protocolo | network.application_protocol |
destinatário | network.email.to |
recipient_count | about.labels.key/value (descontinuado) additional.fields |
recipient_domain | about.labels.key/value (descontinuado) additional.fields |
recipient_status | about.labels.key/value (descontinuado) additional.fields |
response_time | about.labels.key/value (descontinuado) additional.fields |
retries | about.labels.key/value (descontinuado) additional.fields |
return_addr | about.labels.key/value (descontinuado) additional.fields |
tamanho | about.labels.key/value (descontinuado) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_user | principal.user.email_addresses |
src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_user_category | principal.labels.key/value (descontinuado) additional.fields |
src_user_domain | principal.administrative_domain |
src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
status_code | about.labels.key/value (descontinuado) additional.fields |
subject | network.email.subject(repeated) |
tag | about.labels.key/value (descontinuado) additional.fields |
url | about.url |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
xdelay | about.labels.key/value (descontinuado) additional.fields |
xref | about.labels.key/value (descontinuado) additional.fields |
Filtragem
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a filtragem do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
filter_action | about.labels.key/value (descontinuado) additional.fields |
filter_score | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_extra | about.labels.key/value (descontinuado) additional.fields |
signature_id | metadata.product_event_type |
Portas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as portas do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
creation_time | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_port | target.port |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_port | principal.port |
src_requires_av | principal.labels.key/value (descontinuado) additional.fields |
src_should_timesync | principal.labels.key/value (descontinuado) additional.fields |
src_should_update | principal.labels.key/value (descontinuado) additional.fields |
estado | about.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
transport | network.ip_protocol |
transport_dest_port | target.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Processos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados de processos do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
cpu_load_percent | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_is_expected | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
mem_used | about.labels.key/value (descontinuado) additional.fields |
original_file_name | src.file.full_path |
os | principal.asset.platform_software.platform_version |
parent_process | about.labels.key/value (descontinuado) additional.fields |
parent_process_exec | about.labels.key/value (descontinuado) additional.fields |
parent_process_id | principal.process.parent_process.parent_pid |
parent_process_guid | principal.process.parent_process.product_specific_process_id |
parent_process_name | about.labels.key/value (descontinuado) additional.fields |
parent_process_path | principal.process.parent_process.command_line |
difusão reversa que restaura | about.labels.key/value (descontinuado) additional.fields |
process_current_directory | about.labels.key/value (descontinuado) additional.fields |
process_exec | about.labels.key/value (descontinuado) additional.fields |
process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
process_integrity_level | security_result.severity |
process_name | principal.process.command_line |
process_path | principal.process.file.full_path |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_id | principal.user.userid |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Serviços
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para os serviços do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_is_expected | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
serviço | target.application |
service_dll | about.labels.key/value (descontinuado) additional.fields |
service_dll_path | about.file.full_path |
service_dll_hash | about.labels.key/value (descontinuado) additional.fields |
service_dll_signature_exists | about.labels.key/value (descontinuado) additional.fields |
service_dll_signature_verified | about.labels.key/value (descontinuado) additional.fields |
service_exec | target.process.file.full_path |
service_hash | about.labels.key/value (descontinuado) additional.fields |
service_id | about.labels.key/value (descontinuado) additional.fields |
service_name | about.labels.key/value (descontinuado) additional.fields |
service_path | about.labels.key/value (descontinuado) additional.fields |
service_signature_exists | about.labels.key/value (descontinuado) additional.fields |
service_signature_verified | about.labels.key/value (descontinuado) additional.fields |
start_mode | about.labels.key/value (descontinuado) additional.fields |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Sistema de arquivos
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados do Splunk Filesystem:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
file_access_time | about.labels.key/value (descontinuado) additional.fields |
file_create_time | target.asset.attribute.creation_time |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_modify_time | about.labels.key/value (descontinuado) additional.fields |
file_name | about.labels.key/value (descontinuado) additional.fields |
file_path | target.file.full_path |
file_acl | about.labels.key/value (descontinuado) additional.fields |
file_size | target.file.size |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Registro
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o Registro do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
registry_hive | about.labels.key/value (descontinuado) additional.fields |
registry_path | about.labels.key/value (descontinuado) additional.fields |
registry_key_name | target.registry.registry_key |
registry_value_data | target.registry.registry_value_data |
registry_value_name | target.registry.registry_value_name |
registry_value_text | about.labels.key/value (descontinuado) additional.fields |
registry_value_type | about.labels.key/value (descontinuado) additional.fields |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Assinaturas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as assinaturas do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
tag | about.labels.key/value (descontinuado) additional.fields |
Signatures_vendor_product
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados Signatures_vendor_product do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Interprocess_Messaging
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Interprocess_Messaging do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
endpoint | about.labels.key/value (descontinuado) additional.fields |
endpoint_version | about.labels.key/value (descontinuado) additional.fields |
mensagem | about.labels.key/value (descontinuado) additional.fields |
message_consumed_time | about.labels.key/value (descontinuado) additional.fields |
message_correlation_id | about.labels.key/value (descontinuado) additional.fields |
message_delivered_time | about.labels.key/value (descontinuado) additional.fields |
message_delivery_mode | about.labels.key/value (descontinuado) additional.fields |
message_expiration_time | about.labels.key/value (descontinuado) additional.fields |
message_id | metadata.product.log_id |
message_priority | about.labels.key/value (descontinuado) additional.fields |
message_properties | about.labels.key/value (descontinuado) additional.fields |
message_received_time | about.labels.key/value (descontinuado) additional.fields |
message_redelivered | about.labels.key/value (descontinuado) additional.fields |
message_reply_dest | target.labels.key/value (descontinuado) additional.fields |
message_type | about.labels.key/value (descontinuado) additional.fields |
parâmetros | about.labels.key/value (descontinuado) additional.fields |
payload | about.labels.key/value (descontinuado) additional.fields |
payload_type | about.labels.key/value (descontinuado) additional.fields |
request_payload | about.labels.key/value (descontinuado) additional.fields |
request_payload_type | about.labels.key/value (descontinuado) additional.fields |
request_sent_time | about.labels.key/value (descontinuado) additional.fields |
response_code | network.http.response_code |
response_payload_type | about.labels.key/value (descontinuado) additional.fields |
response_received_time | about.labels.key/value (descontinuado) additional.fields |
response_time | about.labels.key/value (descontinuado) additional.fields |
return_message | about.labels.key/value (descontinuado) additional.fields |
rpc_protocol | network.application_protocol |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
IDS_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados IDS_Attacks do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
categoria | security_result.category_details |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
dvc_category | about.labels.key/value (descontinuado) additional.fields |
dvc_priority | about.labels.key/value (descontinuado) additional.fields |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value (descontinuado) additional.fields |
file_path | target.file.full_path |
ids_type | about.labels.key/value (descontinuado) additional.fields |
gravidade, | security_result.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_port | principal.port |
tag | about.labels.key/value (descontinuado) additional.fields |
transport | network.ip_protocol |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
DS_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados DS_Attacks do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest_port | target.port |
All_Inventory
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados All_Inventory do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
ativado | about.labels.key/value (descontinuado) additional.fields |
família | about.labels.key/value (descontinuado) additional.fields |
hypervisor_id | about.labels.key/value (descontinuado) additional.fields |
serial | principal.asset.hardware.serial_number |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
version | about.labels.key/value (descontinuado) additional.fields |
CPU
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a CPU do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
cpu_cores | principal.asset.hardware.cpu_number_cores |
cpu_count | about.labels.key/value (descontinuado) additional.fields |
cpu_mhz | principal.asset.hardware.cpu_clock_speed |
cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
cpu_load_percent | about.labels.key/value (descontinuado) additional.fields |
cpu_time | about.labels.key/value (descontinuado) additional.fields |
cpu_user_percent | about.labels.key/value (descontinuado) additional.fields |
Memória
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados de memória do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
mem | principal.asset.hardware.ram |
heap_committed | about.labels.key/value (descontinuado) additional.fields |
heap_initial | about.labels.key/value (descontinuado) additional.fields |
heap_max | about.labels.key/value (descontinuado) additional.fields |
heap_used | about.labels.key/value (descontinuado) additional.fields |
non_heap_committed | about.labels.key/value (descontinuado) additional.fields |
non_heap_initial | about.labels.key/value (descontinuado) additional.fields |
non_heap_max | about.labels.key/value (descontinuado) additional.fields |
non_heap_used | about.labels.key/value (descontinuado) additional.fields |
objects_pending | about.labels.key/value (descontinuado) additional.fields |
mem | principal.asset.hardware.ram |
mem_committed | about.labels.key/value (descontinuado) additional.fields |
mem_free | about.labels.key/value (descontinuado) additional.fields |
mem_used | about.labels.key/value (descontinuado) additional.fields |
swap | about.labels.key/value (descontinuado) additional.fields |
swap_free | about.labels.key/value (descontinuado) additional.fields |
swap_used | about.labels.key/value (descontinuado) additional.fields |
network
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para a rede do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest_ip | target.ip |
dns | about.labels.key/value (descontinuado) additional.fields |
inline_nat | about.labels.key/value (descontinuado) additional.fields |
Interface | about.labels.key/value (descontinuado) additional.fields |
ip | principal.asset.ip |
lb_method | about.labels.key/value (descontinuado) additional.fields |
mac | principal.asset.mac |
name | principal.resource.name |
nó | about.labels.key/value (descontinuado) additional.fields |
node_port | target.port |
src_ip | principal.ip |
vip_port | about.labels.key/value (descontinuado) additional.fields |
thruput | about.labels.key/value (descontinuado) additional.fields |
thruput_max | about.labels.key/value (descontinuado) additional.fields |
SO
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o SO do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
os | principal.asset.platform_software.platform_version |
committed_memory | about.labels.key/value (descontinuado) additional.fields |
cpu_time | about.labels.key/value (descontinuado) additional.fields |
free_physical_memory | about.labels.key/value (descontinuado) additional.fields |
free_swap | about.labels.key/value (descontinuado) additional.fields |
max_file_descriptors | about.labels.key/value (descontinuado) additional.fields |
open_file_descriptors | about.labels.key/value (descontinuado) additional.fields |
os | principal.asset.platform_software.platform_version |
os_architecture | about.labels.key/value (descontinuado) additional.fields |
os_version | about.labels.key/value (descontinuado) additional.fields |
physical_memory | about.labels.key/value (descontinuado) additional.fields |
swap_space | about.labels.key/value (descontinuado) additional.fields |
system_load | about.labels.key/value (descontinuado) additional.fields |
total_processors | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
Armazenamento
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o armazenamento do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
matriz | about.labels.key/value (descontinuado) additional.fields |
blocksize | about.labels.key/value (descontinuado) additional.fields |
cluster | about.resource.resource_type = "CLUSTER" |
fd_max | about.labels.key/value (descontinuado) additional.fields |
latência | about.labels.key/value (descontinuado) additional.fields |
mount | principal.resource.attribute.labels.key/value |
primária | principal.resource.parent |
read_blocks | about.labels.key/value (descontinuado) additional.fields |
read_latency | about.labels.key/value (descontinuado) additional.fields |
read_ops | about.labels.key/value (descontinuado) additional.fields |
armazenamento | about.labels.key/value (descontinuado) additional.fields |
write_blocks | about.labels.key/value (descontinuado) additional.fields |
write_latency | about.labels.key/value (descontinuado) additional.fields |
write_ops | about.labels.key/value (descontinuado) additional.fields |
matriz | about.labels.key/value (descontinuado) additional.fields |
blocksize | about.labels.key/value (descontinuado) additional.fields |
cluster | about.resource.resource_type = "CLUSTER" |
fd_max | about.labels.key/value (descontinuado) additional.fields |
fd_used | about.labels.key/value (descontinuado) additional.fields |
latência | about.labels.key/value (descontinuado) additional.fields |
mount | about.labels.key/value (descontinuado) additional.fields |
primária | principal.resource.parent |
read_blocks | about.labels.key/value (descontinuado) additional.fields |
read_latency | about.labels.key/value (descontinuado) additional.fields |
read_ops | about.labels.key/value (descontinuado) additional.fields |
armazenamento | about.labels.key/value (descontinuado) additional.fields |
storage_free | about.labels.key/value (descontinuado) additional.fields |
storage_free_percent | about.labels.key/value (descontinuado) additional.fields |
storage_used | about.labels.key/value (descontinuado) additional.fields |
storage_used_percent | about.labels.key/value (descontinuado) additional.fields |
write_blocks | about.labels.key/value (descontinuado) additional.fields |
write_latency | about.labels.key/value (descontinuado) additional.fields |
write_ops | about.labels.key/value (descontinuado) additional.fields |
error_code | security_result.description |
operação | about.labels.key/value (descontinuado) additional.fields |
storage_name | about.resource.name |
Usuário
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do usuário do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
interativo | about.labels.key/value (descontinuado) additional.fields |
senha | about.labels.key/value (descontinuado) additional.fields |
shell | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_id | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
Virtual_OS
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Virtual_OS do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
hipervisor | about.labels.key/value (descontinuado) additional.fields |
Snapshot
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o snapshot do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
tamanho | about.file.size |
snapshot | about.labels.key/value (descontinuado) additional.fields |
tempo | about.labels.key/value (descontinuado) additional.fields |
JVM
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para a JVM do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
jvm_description | security_result.description |
tag | about.labels.key/value (descontinuado) additional.fields |
Linha de execução
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a Threading do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
cm_enabled | about.labels.key/value (descontinuado) additional.fields |
cm_supported | about.labels.key/value (descontinuado) additional.fields |
cpu_time_enabled | about.labels.key/value (descontinuado) additional.fields |
cpu_time_supported | about.labels.key/value (descontinuado) additional.fields |
current_cpu_time | about.labels.key/value (descontinuado) additional.fields |
current_user_time | about.labels.key/value (descontinuado) additional.fields |
daemon_thread_count | about.labels.key/value (descontinuado) additional.fields |
omu_supported | about.labels.key/value (descontinuado) additional.fields |
peak_thread_count | about.labels.key/value (descontinuado) additional.fields |
synch_supported | about.labels.key/value (descontinuado) additional.fields |
thread_count | about.labels.key/value (descontinuado) additional.fields |
threads_started | about.labels.key/value (descontinuado) additional.fields |
Ambiente de execução
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o ambiente de execução do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
process_name | principal.process.command_line |
start_time | about.labels.key/value (descontinuado) additional.fields |
tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
version | about.labels.key/value (descontinuado) additional.fields |
Compilação
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a compilação do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
compilation_time | about.labels.key/value (descontinuado) additional.fields |
Carregamento de classe
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados de carregamento de classe do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
current_loaded | about.labels.key/value (descontinuado) additional.fields |
total_loaded | about.labels.key/value (descontinuado) additional.fields |
total_unloaded | about.labels.key/value (descontinuado) additional.fields |
Malware_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados Malware_Attacks do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
categoria | security_result.category_details |
data | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_nt_domain | target.administrative_domain |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value (descontinuado) additional.fields |
file_path | target.file.full_path |
gravidade, | security_result.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_user | principal.user.user_display_name |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
url | about.url |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Malware_Operations
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Operations do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
product_version | about.labels.key/value (descontinuado) additional.fields |
signature_version | security_result.rule_version |
tag | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Malware_Operations
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Operations do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest_category | target.labels.key/value (descontinuado) additional.fields |
DNS
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o DNS do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
additional_answer_count | about.labels.key/value (descontinuado) additional.fields |
resposta | network.dns.answer.data |
answer_count | about.labels.key/value (descontinuado) additional.fields |
authority_answer_count | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_port | target.port |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
message_type | about.labels.key/value (descontinuado) additional.fields |
name | about.labels.key/value (descontinuado) additional.fields |
consulta | network.dns.questions.name |
query_count | about.labels.key/value (descontinuado) additional.fields |
query_type | network.dns.questions.type |
record_type | network.dns.answer.type(uint32) |
reply_code | about.labels.key/value (descontinuado) additional.fields |
reply_code_id | network.dns.response_code |
response_time | about.labels.key/value (descontinuado) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_port | principal.port |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
transaction_id | network.dns.id |
transport | network.ip_protocol |
ttl | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Sessions
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados All_Sessions do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_dns | target.labels.key/value (descontinuado) additional.fields |
dest_ip | network.dhcp.ciaddr |
dest_mac | network.dhcp.chaddr |
dest_nt_host | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
duration | network.session_duration |
response_time | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_dns | principal.labels.key/value (descontinuado) additional.fields |
src_ip | principal.ip |
src_mac | principal.mac |
src_nt_host | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
DHCP
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o DHCP do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
lease_duration | network.dhcp.lease_time_second |
lease_scope | about.labels.key/value (descontinuado) additional.fields |
All_Traffic
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados All_Traffic do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
app | network.application_protocol |
bytes | about.labels.key/value (descontinuado) additional.fields |
bytes_in | network.received_bytes |
bytes_out | network.sent_bytes |
canal | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_interface | target.labels.key/value (descontinuado) additional.fields |
dest_ip | target.ip |
dest_mac | target.mac |
dest_port | target.port |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_translated_ip | target.nat_ip |
dest_translated_port | target.nat_port |
dest_zone | target.location.country_or_origin |
direção | network.direction |
duration | network.session_duration |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
dvc_category | about.labels.key/value (descontinuado) additional.fields |
dvc_ip | about.labels.key/value (descontinuado) additional.fields |
dvc_mac | principal.asset.mac |
dvc_priority | about.labels.key/value (descontinuado) additional.fields |
dvc_zone | principal.asset.location.country_or_region |
flow_id | about.labels.key/value (descontinuado) additional.fields |
icmp_code | about.labels.key/value (descontinuado) additional.fields |
icmp_type | about.labels.key/value (descontinuado) additional.fields |
pacotes | about.labels.key/value (descontinuado) additional.fields |
packets_in | about.labels.key/value (descontinuado) additional.fields |
packets_out | about.labels.key/value (descontinuado) additional.fields |
protocolo | about.labels.key/value (descontinuado) additional.fields |
protocol_version | about.labels.key/value (descontinuado) additional.fields |
response_time | about.labels.key/value (descontinuado) additional.fields |
regra | security_result.rule_id |
session_id | network.session_id |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_interface | principal.labels.key/value (descontinuado) additional.fields |
src_ip | principal.ip |
src_mac | principal.mac |
src_port | principal.port |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
src_translated_ip | principal.nat_ip |
src_translated_port | principal.nat_port |
src_zone | principal.location.country_or_origin |
ssid | about.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
tcp_flag | about.labels.key/value (descontinuado) additional.fields |
transport | network.ip_protocol |
tos | about.labels.key/value (descontinuado) additional.fields |
ttl | network.dns.additional.ttl |
usuário | principal.user.userid |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_account | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
vlan | about.labels.key/value (descontinuado) additional.fields |
Wi-Fi | about.labels.key/value (descontinuado) additional.fields |
All_Performance
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados All_Performance do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
hypervisor_id | about.labels.key/value (descontinuado) additional.fields |
resource_type | about.labels.key/value (descontinuado) additional.fields |
tag | about.labels.key/value (descontinuado) additional.fields |
Instalações
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados de instalações do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
fan_speed | about.labels.key/value (descontinuado) additional.fields |
power | about.labels.key/value (descontinuado) additional.fields |
temperatura | about.labels.key/value (descontinuado) additional.fields |
Timesync
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Timesync do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
Tempo de atividade
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o tempo de atividade do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
View_Activity
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados View_Activity do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
app | target.application |
gasto | about.labels.key/value (descontinuado) additional.fields |
URI | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
visualizar | about.labels.key/value (descontinuado) additional.fields |
Datamodel_Acceleration
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Datamodel_Acceleration do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
access_count | about.labels.key/value (descontinuado) additional.fields |
access_time | about.labels.key/value (descontinuado) additional.fields |
app | target.application |
buckets | about.labels.key/value (descontinuado) additional.fields |
buckets_size | about.labels.key/value (descontinuado) additional.fields |
complete | about.labels.key/value (descontinuado) additional.fields |
cron | about.labels.key/value (descontinuado) additional.fields |
datamodel | about.labels.key/value (descontinuado) additional.fields |
resumo | about.labels.key/value (descontinuado) additional.fields |
mais antiga | about.labels.key/value (descontinuado) additional.fields |
is_inprogress | about.labels.key/value (descontinuado) additional.fields |
last_error | about.labels.key/value (descontinuado) additional.fields |
last_sid | about.labels.key/value (descontinuado) additional.fields |
mais recente | about.labels.key/value (descontinuado) additional.fields |
mod_time | about.labels.key/value (descontinuado) additional.fields |
e grupos | about.labels.key/value (descontinuado) additional.fields |
tamanho | about.file.size |
summary_id | about.labels.key/value (descontinuado) additional.fields |
Search_Activity
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Search_Activity do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
host | about.hostname |
informações | about.labels.key/value (descontinuado) additional.fields |
search | about.labels.key/value (descontinuado) additional.fields |
search_et | about.labels.key/value (descontinuado) additional.fields |
search_lt | about.labels.key/value (descontinuado) additional.fields |
search_type | about.labels.key/value (descontinuado) additional.fields |
source | principal.labels.key/value (descontinuado) additional.fields |
sourcetype | principal.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados Scheduler_Activity do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
app | target.application |
host | about.hostname |
savedsearch_name | about.labels.key/value (descontinuado) additional.fields |
sid | about.labels.key/value (descontinuado) additional.fields |
source | principal.labels.key/value (descontinuado) additional.fields |
sourcetype | principal.labels.key/value (descontinuado) additional.fields |
splunk_server | principal.ip, principal.hostname |
status | security_result.summary |
usuário | principal.user.user_display_name |
Web_Service_Errors
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Web_Service_Errors do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
host | about.hostname |
source | principal.labels.key/value (descontinuado) additional.fields |
sourcetype | principal.labels.key/value (descontinuado) additional.fields |
event_id | security_result.rule_name |
Modular_Actions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Modular_Actions do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
action_mode | about.labels.key/value (descontinuado) additional.fields |
action_status | about.labels.key/value (descontinuado) additional.fields |
app | target.application |
duration | network.session_duration |
componente | about.labels.key/value (descontinuado) additional.fields |
orig_rid | about.labels.key/value (descontinuado) additional.fields |
orig_sid | about.labels.key/value (descontinuado) additional.fields |
livrar | about.labels.key/value (descontinuado) additional.fields |
search_name | about.labels.key/value (descontinuado) additional.fields |
action_name | security_result.action_details |
signature | metadata.description |
sid | about.labels.key/value (descontinuado) additional.fields |
usuário | about.labels.key/value (descontinuado) additional.fields |
All_Ticket_Management
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Ticket_Management do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
affect_dest | target.labels.key/value (descontinuado) additional.fields |
comentários | about.labels.key/value (descontinuado) additional.fields |
description | security_result.description |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
prioridade | security_result.priority_details |
gravidade, | security_result.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
splunk_id | about.labels.key/value (descontinuado) additional.fields |
splunk_realm | about.labels.key/value (descontinuado) additional.fields |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_user_category | principal.labels.key/value (descontinuado) additional.fields |
src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
ticket_id | target.user.attribute.label.ley/value |
time_submitted | principal.user.attribute.creation_time |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Alterar
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a mudança do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
alterar | about.labels.key/value (descontinuado) additional.fields |
Incidente
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados de incidentes do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
incidente | about.labels.key/value (descontinuado) additional.fields |
Problema
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o problema do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
problema | about.labels.key/value (descontinuado) additional.fields |
Atualizações
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as atualizações do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_should_update | target.labels.key/value (descontinuado) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value (descontinuado) additional.fields |
gravidade, | security_result.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
status | security_result.summary |
tag | about.labels.key/value (descontinuado) additional.fields |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Vulnerabilidades
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as vulnerabilidades do conjunto de dados do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
bugtraq | about.labels.key/value (descontinuado) additional.fields |
categoria | security_result.category_details |
cert | about.labels.key/value (descontinuado) additional.fields |
cve | vulnerabilites.cve_description |
cvss | vulnerabilites.cvss_base_score |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
dvc_category | about.labels.key/value (descontinuado) additional.fields |
dvc_priority | about.labels.key/value (descontinuado) additional.fields |
msft | about.labels.key/value (descontinuado) additional.fields |
mskb | about.labels.key/value (descontinuado) additional.fields |
gravidade, | extensions.vulns.vulnerabilites.severity |
severity_id | about.labels.key/value (descontinuado) additional.fields |
signature | metadata.description |
signature_id | metadata.product_event_type |
tag | about.labels.key/value (descontinuado) additional.fields |
url | extensions.vulns.vulnerabilites.about.url |
usuário | extensions.vulns.vulnerabilites.about.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
xref | about.labels.key/value (descontinuado) additional.fields |
Web
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados da Web do Splunk:
Campo de registro | Mapeamento de UDM |
---|---|
ação | security_result.action_details security_result.action |
app | target.application |
bytes | about.labels.key/value (descontinuado) additional.fields |
bytes_in | network.received_bytes |
bytes_out | network.sent_bytes |
em cache | about.labels.key/value (descontinuado) additional.fields |
categoria | security_result.category_details |
biscoito | about.labels.key/value (descontinuado) additional.fields |
dest | target.ip target.hostname target.labels.key/value (descontinuado) |
dest_bunit | target.labels.key/value (descontinuado) additional.fields |
dest_category | target.labels.key/value (descontinuado) additional.fields |
dest_priority | target.labels.key/value (descontinuado) additional.fields |
dest_port | target.port |
duration | network.session_duration |
http_content_type | about.labels.key/value (descontinuado) additional.fields |
http_method | network.http.method |
http_referrer | network.http.referral_url |
http_referrer_domain | about.labels.key/value (descontinuado) additional.fields |
http_user_agent | network.http.user_agent |
http_user_agent_length | about.labels.key/value (descontinuado) additional.fields |
response_time | about.labels.key/value (descontinuado) additional.fields |
site | about.labels.key/value (descontinuado) additional.fields |
src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
src_bunit | principal.labels.key/value (descontinuado) additional.fields |
src_category | principal.labels.key/value (descontinuado) additional.fields |
src_priority | principal.labels.key/value (descontinuado) additional.fields |
status | network.http.response_code |
tag | about.labels.key/value (descontinuado) additional.fields |
uri_path | about.labels.key/value (descontinuado) additional.fields |
uri_query | about.labels.key/value (descontinuado) additional.fields |
url | about.url |
url_domain | about.asset.network_domain |
url_length | about.labels.key/value (descontinuado) additional.fields |
usuário | principal.user.user_display_name |
user_bunit | about.labels.key/value (descontinuado) additional.fields |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value (descontinuado) additional.fields |
Tipos de eventos da UDM
A tabela a seguir lista as tags do Splunk e os tipos de evento do UDM correspondentes:
Modelo de dados | Tags do Splunk | Tipo de evento do UDM |
---|---|---|
Alertas | alerta | STATUS_UPDATE |
Authentication | authentication | USER_UNCATEGORIZED |
Certificado | certificado | NETWORK_UNCATEGORIZED |
Alterar | alterar | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Acesso aos dados | dados, acesso | USER_RESOURCE_ACCESS |
Bancos de dados | database | USER_RESOURCE_ACCESS |
Bancos de dados | banco de dados, instância, estatísticas | STATUS_UPDATE |
Bancos de dados | banco de dados, instância, status | STATUS_UPDATE |
Bancos de dados | banco de dados, instância, bloqueio | STATUS_UPDATE |
Bancos de dados | banco de dados, consulta | STATUS_UPDATE |
Bancos de dados | banco de dados, consulta, espaço de tabela | STATUS_UPDATE |
Bancos de dados | banco de dados, consulta, estatísticas | STATUS_UPDATE |
Prevenção contra perda de dados | dlp, incident | SCAN_UNCATEGORIZED |
EMAIL_UNCATEGORIZED | ||
e-mail, entrega | EMAIL_TRANSACTION | |
Endpoint | escuta, porta | SERVICE_UNSPECIFIED |
Endpoint | processo, relatório | PROCESS_UNCATEGORIZED |
Endpoint | serviço, relatório | SERVICE_UNSPECIFIED |
Endpoint | endpoint, filesystem | FILE_UNCATEGORIZED |
Endpoint | endpoint, registro | REGISTRY_UNCATEGORIZED |
Assinatura de evento | track_event_signature | STATUS_UPDATE |
Mensagens entre processos | envio de mensagem | STATUS_UPDATE |
Detecção de intrusões | ids, ataque | SERVICE_UNSPECIFIED |
Inventário | inventário | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Máquina virtual Java (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Malware | malware | STATUS_UPDATE |
Resolução de rede(DNS) | rede, resolução, dns | NETWORK_DNS |
Sessões de rede | rede, sessão | NETWORK_CONNECTION |
Sessões de rede | rede, sessão, dhcp | NETWORK_DHCP |
Tráfego de rede | rede, comunicar | NETWORK_CONNECTION |
Desempenho | desempenho | SERVICE_UNSPECIFIED |
Registros de auditoria do Splunk | modaction | STATUS_UPDATE |
Gerenciamento de tíquetes | venda de ingressos | STATUS_UPDATE |
Gerenciamento de tíquetes | venda de passagens, mudança | STATUS_UPDATE |
Atualizações | update | STATUS_UPDATE |
Vulnerabilidades | relatório, vulnerabilidades | SCAN_UNCATEGORIZED |
Web | web | NETWORK_UNCATEGORIZED |