Splunk CIM-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie CIM-Logs (Splunk Common Information Model) erfassen, indem Sie Splunk und einen Google Security Operations-Weiterleiter konfigurieren. In diesem Dokument werden auch die unterstützten Logtypen aufgeführt und unterstützten Splunk-Versionen.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Übersicht
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie Splunk-Agents so konfiguriert werden, dass Protokolle an Google Security Operations gesendet werden. Jede Kundenbereitstellung kann unterscheiden sich von dieser Darstellung und können komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Datenquelle: Das zu überwachende System, in dem Splunk installiert ist.
Splunk: Erfasst Informationen aus der Datenquelle und leitet sie an den Google Security Operations-Forwarder weiter.
Google Security Operations-Weiterleitung: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Google Security Operations weiterzuleiten.
Google Security Operations: Bewahrt und analysiert die Logs von Flottenserver.
Ein Aufnahmelabel gibt den Parser an, der Logrohdaten normalisiert
in das strukturierte UDM-Format. Die Informationen in diesem Dokument gelten für den Parser
mit dem Aufnahmelabel „SPLUNK“.
Hinweise
Verwenden Sie die vom Google Security Operations-Parser unterstützte Splunk-Version 5.0.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur konfiguriert sind in der Zeitzone UTC angegeben.
Splunk-Agent und Google Security Operations-Forwarder konfigurieren
Installieren Sie einen CIM-kompatiblen Agenten von Splunkbase.
Konfigurieren Sie den Google Security Operations-Forwarder so, dass die Protokolle in das Google Security Operations-System übertragen werden. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Überlegungen zum Schreiben von Splunk-Suchanfragen
Splunk hat eine eigene Suchsprache, die SQL ähnelt. Stellen Sie sicher, dass Sie die richtige Syntax für Ihre Suchanfrage verwenden. Beachten Sie beim Erstellen einer Abfrage die folgenden Suchmerkmale:
Escape-Zeichen
Wenn ein Stringwert doppelte Anführungszeichen " enthält, verwenden Sie umgekehrte Schrägstriche, um die Anführungszeichen zu maskieren. Andernfalls wird das Ende des Stringwerts bei der Suche falsch interpretiert.
Beispiel: Wenn Sie nach dem String WHERE _raw="The user "vpatel" isn't authenticated." suchen möchten,
müssen Sie die \" -Sequenz verwenden, um nach einem doppelten Anführungszeichen zu suchen.
Geben Sie den Suchstring im folgenden Format ein:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Um einen umgekehrten Schrägstrich \ als Escapezeichen zu verwenden, verwenden Sie die Folge \\, um nach einem umgekehrten Schrägstrich zu suchen.
Wenn es beispielsweise einen String wie C:\user\abc gibt, muss dies als C:\\user\\abc geschrieben werden.
Syntaktisch falsche Suche
Wenn ein Teil der Abfrage ungültig ist, wird die gesamte Abfrage nicht ausgewertet und eine Fehlermeldung wird angezeigt.
Betrachten Sie das folgende Beispiel, in dem die Suchmodusoption in der Abfrage fehlt:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
In diesem Beispiel fehlt die Option für den Suchmodus in der Abfrage. Dies führt zu folgendem Fehler:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Unterstützung mehrerer Datenmodelle
Splunk unterstützt eine einzelne große Abfrage, die mehrere Datenmodelle umfasst. Mit der folgenden Suchabfrage werden Daten aus mehreren Datenmodellen extrahiert:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Dies sind die Komponenten dieser Abfrage, die Datenmodelle umfasst:
Multisearch: Die Abfrage muss mit dem Wort multisearch beginnen. Eine Abfrage nach einem Datenmodell muss in eckige Klammern [ ] eingeschlossen werden und mit einem senkrechten |-Zeichen beginnen.
Network_Traffic: Der Name des Datenmodells.
All_Traffic: Dataset des Datenmodells Network_Traffic.
flat: Suchmodus. Die anderen Optionen sind search und acceleration_search.
Wir empfehlen die folgende Splunk-Abfrage für die Suche nach mehreren Datenmodellen:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Unterstützte Logtypen und Datenmodelle
| Splunk-Datenmodell | Unterstützt |
|---|---|
| Benachrichtigungen | Ja |
| Anwendungsstatus (eingestellt) | Nein |
| Authentifizierung | Ja |
| Zertifikate | Ja |
| Ändern | Ja |
| Änderungsanalyse (eingestellt) | Nein |
| Datenzugriff | Ja |
| Datenbanken | Ja |
| Schutz vor Datenverlust | Ja |
| Ja | |
| Endpunkt | Ja |
| Ereignissignaturen | Ja |
| Interprocess Messaging | Ja |
| Einbruchserkennung | Ja |
| Inventar | Ja |
| Virtuelle Java-Maschinen (JVM) | Ja |
| Malware | Ja |
| Netzwerkauflösung (DNS) | Ja |
| Netzwerksitzungen | Ja |
| Netzwerk-Traffic | Ja |
| Leistung | Ja |
| Splunk-Audit-Logs | Ja |
| Ticketverwaltung | Ja |
| Updates | Ja |
| Sicherheitslücken | Ja |
| Web | Ja |
Referenz für die Feldzuordnung
In diesem Abschnitt wird beschrieben, wie der Google Security Operations-Parser Splunk-Protokollfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations für die Datensätze zuordnet. Weitere Informationen finden Sie im Splunk-Dokument für Version 5.0.1.
Benachrichtigungen
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Benachrichtigungen“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| App | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_type | principal.resource.resource_type |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Typ | security_result.alert_state |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (verworfen) additional.fields |
| vendor_region | about.location.country_or_region |
Authentifizierung
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Authentifizierung des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| authentication_method | about.labels.key/value (veraltet) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_nt_domain | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_nt_domain | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_user_category | principal.labels.key/value (eingestellt) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_user_role | principal.user.attribute.roles.name (wiederholt) |
| src_user_type | principal.user.attribute.roles.type |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (wiederholt) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (verworfen) additional.fields |
All_Certificates
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Certificates“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| response_time | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| transport | network.ip_protocol |
SSL
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „SSL“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (verworfen) additional.fields |
| ssl_hash | about.labels.key/value (veraltet) additional.fields |
| ssl_is_valid | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_email | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (verworfen) additional.fields |
| ssl_issuer_locality | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_organization | about.labels.key/value (verworfen) additional.fields |
| ssl_issuer_state | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_street | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_unit | about.labels.key/value (veraltet) additional.fields |
| ssl_name | about.labels.key/value (veraltet) additional.fields |
| ssl_policies | about.labels.key/value (veraltet) additional.fields |
| ssl_publickey | about.labels.key/value (veraltet) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (veraltet) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (veraltet) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (verworfen) additional.fields |
| ssl_subject_email | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (verworfen) additional.fields |
| ssl_subject_locality | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_organization | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_state | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_street | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_unit | about.labels.key/value (veraltet) additional.fields |
| ssl_validity_window | about.labels.key/value (verworfen) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Changes“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| Befehl | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| Objekt | target.resource.name |
| object_attrs | about.labels.key/value (verworfen) additional.fields |
| object_category | about.labels.key/value (verworfen) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| result | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (verworfen) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Account_Management“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_user_category | principal.labels.key/value (eingestellt) additional.fields |
| src_user_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_user_name | principal.labels.key/value (verworfen) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Instance_Changes aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (veraltet) additional.fields |
network_Changes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset network_Changes aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_ip_range | target.labels.key/value (eingestellt) additional.fields |
| dest_port_range | target.labels.key/value (eingestellt) additional.fields |
| direction | network.direction |
| Protokoll | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (eingestellt) additional.fields |
| src_port_range | principal.labels.key/value (eingestellt) additional.fields |
Data_Access
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Data_Access“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| Objekt | target.resource.name |
| object_category | about.labels.key/value (verworfen) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| Inhaber | about.labels.key/value (veraltet) additional.fields |
| owner_email | about.labels.key/value (veraltet) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (verworfen) additional.fields |
| parent_object_category | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (verworfen) |
| tenant_id | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (wiederholt) |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| vendor_product_id | about.labels.key/value (veraltet) additional.fields |
All_Databases
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Databases“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| Objekt | target.resource.name |
| response_time | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Database_Instance
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Database_Instance“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (veraltet) additional.fields |
| session_limit | about.labels.key/value (veraltet) additional.fields |
Database_Query
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Database_Query aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| query | about.labels.key/value (veraltet) additional.fields |
| query_id | about.labels.key/value (veraltet) additional.fields |
| query_time | about.labels.key/value (veraltet) additional.fields |
| records_affected | about.labels.key/value (veraltet) additional.fields |
Instance_Stats
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Instance_Stats aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Verfügbarkeit | about.labels.key/value (veraltet) additional.fields |
| avg_executions | about.labels.key/value (veraltet) additional.fields |
| dump_area_used | about.labels.key/value (veraltet) additional.fields |
| instance_reads | about.labels.key/value (veraltet) additional.fields |
| instance_writes | about.labels.key/value (veraltet) additional.fields |
| number_of_users | about.labels.key/value (veraltet) additional.fields |
| Verfahren | about.labels.key/value (veraltet) additional.fields |
| Sitzungen | about.labels.key/value (veraltet) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (veraltet) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (veraltet) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (veraltet) additional.fields |
| sga_fixed_area_size | about.labels.key/value (veraltet) additional.fields |
| sga_free_memory | about.labels.key/value (veraltet) additional.fields |
| sga_library_cache_size | about.labels.key/value (veraltet) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (veraltet) additional.fields |
| sga_shared_pool_size | about.labels.key/value (verworfen) additional.fields |
| sga_sql_area_size | about.labels.key/value (veraltet) additional.fields |
| start_time | about.labels.key/value (veraltet) additional.fields |
| tablespace_used | about.labels.key/value (veraltet) additional.fields |
Session_Info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Session_Info aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (veraltet) additional.fields |
| Commits | about.labels.key/value (veraltet) additional.fields |
| cpu_used | about.labels.key/value (verworfen) additional.fields |
| cursor | about.labels.key/value (veraltet) additional.fields |
| elapsed_time | about.labels.key/value (veraltet) additional.fields |
| logical_reads | about.labels.key/value (veraltet) additional.fields |
| Maschine | about.hostname |
| memory_sorts | about.labels.key/value (veraltet) additional.fields |
| physical_reads | about.labels.key/value (veraltet) additional.fields |
| seconds_in_wait | about.labels.key/value (veraltet) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (veraltet) additional.fields |
| table_scans | about.labels.key/value (veraltet) additional.fields |
| wait_state | about.labels.key/value (veraltet) additional.fields |
| wait_time | about.labels.key/value (veraltet) additional.fields |
Lock_Info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Lock_Info“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| last_call_minute | about.labels.key/value (veraltet) additional.fields |
| lock_mode | about.labels.key/value (veraltet) additional.fields |
| lock_session_id | about.labels.key/value (veraltet) additional.fields |
| logon_time | about.labels.key/value (veraltet) additional.fields |
| obj_name | about.labels.key/value (veraltet) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tabellenplatz
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Tablespace“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (veraltet) additional.fields |
| tablespace_status | about.labels.key/value (veraltet) additional.fields |
| tablespace_writes | about.labels.key/value (veraltet) additional.fields |
Query_Stats
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Query_Stats“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| indexes_hit | about.labels.key/value (veraltet) additional.fields |
| query_plan_hit | about.labels.key/value (verworfen) additional.fields |
| stored_procedures_called | about.labels.key/value (veraltet) additional.fields |
| tables_hit | about.labels.key/value (veraltet) additional.fields |
DLP_Incidents
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „DLP_Incidents“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (veraltet) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (verworfen) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| Objekt | target.resource.name |
| object_category | about.labels.key/value (verworfen) additional.fields |
| object_path | target.file.full_path |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_user_category | principal.labels.key/value (eingestellt) additional.fields |
| src_user_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_zone | principal.location.country_or_origin |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
All_Email
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Email“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| delay | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (veraltet) additional.fields |
| orig_dest | target.labels.key/value (eingestellt) additional.fields |
| orig_recipient | about.labels.key/value (veraltet) additional.fields |
| orig_src | network.email.from |
| verarbeiten | principal.process.command_line |
| process_id | principal.process.pid |
| Protokoll | network.application_protocol |
| Empfänger | network.email.to |
| recipient_count | about.labels.key/value (veraltet) additional.fields |
| recipient_domain | about.labels.key/value (veraltet) additional.fields |
| recipient_status | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| retries | about.labels.key/value (veraltet) additional.fields |
| return_addr | about.labels.key/value (veraltet) additional.fields |
| Größe | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_user_category | principal.labels.key/value (eingestellt) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (eingestellt) additional.fields |
| status_code | about.labels.key/value (veraltet) additional.fields |
| subject | network.email.subject(repeated) |
| Tag | about.labels.key/value (verworfen) additional.fields |
| url | about.url |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| xdelay | about.labels.key/value (veraltet) additional.fields |
| xref | about.labels.key/value (veraltet) additional.fields |
Wird gefiltert
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Filterung des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| filter_action | about.labels.key/value (veraltet) additional.fields |
| filter_score | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_extra | about.labels.key/value (veraltet) additional.fields |
| signature_id | metadata.product_event_type |
Ports
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Ports des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| creation_time | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| dest_should_timesync | target.labels.key/value (eingestellt) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (eingestellt) additional.fields |
| src_should_timesync | principal.labels.key/value (eingestellt) additional.fields |
| src_should_update | principal.labels.key/value (eingestellt) additional.fields |
| Status | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| transport | network.ip_protocol |
| transport_dest_port | target.labels.key/value (eingestellt) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Prozesse
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Prozesse aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_is_expected | target.labels.key/value (verworfen) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| dest_should_timesync | target.labels.key/value (eingestellt) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| mem_used | about.labels.key/value (veraltet) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (veraltet) additional.fields |
| parent_process_exec | about.labels.key/value (veraltet) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (verworfen) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| verarbeiten | about.labels.key/value (veraltet) additional.fields |
| process_current_directory | about.labels.key/value (veraltet) additional.fields |
| process_exec | about.labels.key/value (verworfen) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Dienste
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Dienste aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_is_expected | target.labels.key/value (verworfen) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| dest_should_timesync | target.labels.key/value (eingestellt) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| Dienst | target.application |
| service_dll | about.labels.key/value (veraltet) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (verworfen) additional.fields |
| service_dll_signature_exists | about.labels.key/value (verworfen) additional.fields |
| service_dll_signature_verified | about.labels.key/value (veraltet) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (veraltet) additional.fields |
| service_id | about.labels.key/value (verworfen) additional.fields |
| service_name | about.labels.key/value (veraltet) additional.fields |
| service_path | about.labels.key/value (veraltet) additional.fields |
| service_signature_exists | about.labels.key/value (veraltet) additional.fields |
| service_signature_verified | about.labels.key/value (verworfen) additional.fields |
| start_mode | about.labels.key/value (veraltet) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Dateisystem
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Dateisystem des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| dest_should_timesync | target.labels.key/value (eingestellt) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| file_access_time | about.labels.key/value (verworfen) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (veraltet) additional.fields |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (veraltet) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Registry
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Registry des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| dest_should_timesync | target.labels.key/value (eingestellt) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (veraltet) additional.fields |
| registry_path | about.labels.key/value (veraltet) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (verworfen) additional.fields |
| registry_value_type | about.labels.key/value (verworfen) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Signaturen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Signaturen des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| Tag | about.labels.key/value (verworfen) additional.fields |
Signatures_vendor_product
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Signatures_vendor_product“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| vendor_product | about.labels.key/value (veraltet) additional.fields |
All_Interprocess_Messaging
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Interprocess_Messaging“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| Endpunkt | about.labels.key/value (veraltet) additional.fields |
| endpoint_version | about.labels.key/value (veraltet) additional.fields |
| Nachricht | about.labels.key/value (veraltet) additional.fields |
| message_consumed_time | about.labels.key/value (veraltet) additional.fields |
| message_correlation_id | about.labels.key/value (veraltet) additional.fields |
| message_delivered_time | about.labels.key/value (veraltet) additional.fields |
| message_delivery_mode | about.labels.key/value (veraltet) additional.fields |
| message_expiration_time | about.labels.key/value (verworfen) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (veraltet) additional.fields |
| message_properties | about.labels.key/value (veraltet) additional.fields |
| message_received_time | about.labels.key/value (veraltet) additional.fields |
| message_redelivered | about.labels.key/value (veraltet) additional.fields |
| message_reply_dest | target.labels.key/value (eingestellt) additional.fields |
| message_type | about.labels.key/value (veraltet) additional.fields |
| Parameter | about.labels.key/value (veraltet) additional.fields |
| payload | about.labels.key/value (veraltet) additional.fields |
| payload_type | about.labels.key/value (veraltet) additional.fields |
| request_payload | about.labels.key/value (veraltet) additional.fields |
| request_payload_type | about.labels.key/value (verworfen) additional.fields |
| request_sent_time | about.labels.key/value (veraltet) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (veraltet) additional.fields |
| response_received_time | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| return_message | about.labels.key/value (veraltet) additional.fields |
| rpc_protocol | network.application_protocol |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
IDS_Attacks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset IDS_Attacks aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (verworfen) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (veraltet) additional.fields |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_port | principal.port |
| Tag | about.labels.key/value (verworfen) additional.fields |
| transport | network.ip_protocol |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
DS_Attacks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „DS_Attacks“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_port | target.port |
All_Inventory
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Inventory“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (verworfen) additional.fields |
| hypervisor_id | about.labels.key/value (veraltet) additional.fields |
| serial | principal.asset.hardware.serial_number |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (verworfen) additional.fields |
CPU
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die CPU des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (veraltet) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (veraltet) additional.fields |
| cpu_time | about.labels.key/value (veraltet) additional.fields |
| cpu_user_percent | about.labels.key/value (veraltet) additional.fields |
Speicher
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Arbeitsspeicher des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (veraltet) additional.fields |
| heap_initial | about.labels.key/value (veraltet) additional.fields |
| heap_max | about.labels.key/value (verworfen) additional.fields |
| heap_used | about.labels.key/value (veraltet) additional.fields |
| non_heap_committed | about.labels.key/value (veraltet) additional.fields |
| non_heap_initial | about.labels.key/value (veraltet) additional.fields |
| non_heap_max | about.labels.key/value (veraltet) additional.fields |
| non_heap_used | about.labels.key/value (veraltet) additional.fields |
| objects_pending | about.labels.key/value (veraltet) additional.fields |
| mem | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (verworfen) additional.fields |
| mem_free | about.labels.key/value (veraltet) additional.fields |
| mem_used | about.labels.key/value (veraltet) additional.fields |
| Swap-Speicher | about.labels.key/value (veraltet) additional.fields |
| swap_free | about.labels.key/value (veraltet) additional.fields |
| swap_used | about.labels.key/value (verworfen) additional.fields |
network
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Netzwerk“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (veraltet) additional.fields |
| inline_nat | about.labels.key/value (veraltet) additional.fields |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (veraltet) additional.fields |
| Mac | principal.asset.mac |
| name | principal.resource.name |
| Knoten | about.labels.key/value (veraltet) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (verworfen) additional.fields |
| Durchsatz | about.labels.key/value (veraltet) additional.fields |
| thruput_max | about.labels.key/value (veraltet) additional.fields |
Betriebssystem
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Betriebssystem des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (veraltet) additional.fields |
| cpu_time | about.labels.key/value (veraltet) additional.fields |
| free_physical_memory | about.labels.key/value (veraltet) additional.fields |
| free_swap | about.labels.key/value (veraltet) additional.fields |
| max_file_descriptors | about.labels.key/value (veraltet) additional.fields |
| open_file_descriptors | about.labels.key/value (veraltet) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (veraltet) additional.fields |
| os_version | about.labels.key/value (veraltet) additional.fields |
| physical_memory | about.labels.key/value (verworfen) additional.fields |
| swap_space | about.labels.key/value (veraltet) additional.fields |
| system_load | about.labels.key/value (veraltet) additional.fields |
| total_processors | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
Speicher
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Speicher“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Array | about.labels.key/value (veraltet) additional.fields |
| Blockgröße | about.labels.key/value (veraltet) additional.fields |
| Cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (veraltet) additional.fields |
| Latenz | about.labels.key/value (verworfen) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| Übergeordnetes Element | principal.resource.parent |
| read_blocks | about.labels.key/value (veraltet) additional.fields |
| read_latency | about.labels.key/value (veraltet) additional.fields |
| read_ops | about.labels.key/value (veraltet) additional.fields |
| storage | about.labels.key/value (veraltet) additional.fields |
| write_blocks | about.labels.key/value (veraltet) additional.fields |
| write_latency | about.labels.key/value (veraltet) additional.fields |
| write_ops | about.labels.key/value (veraltet) additional.fields |
| Array | about.labels.key/value (veraltet) additional.fields |
| Blockgröße | about.labels.key/value (veraltet) additional.fields |
| Cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (veraltet) additional.fields |
| fd_used | about.labels.key/value (verworfen) additional.fields |
| Latenz | about.labels.key/value (verworfen) additional.fields |
| mount | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | principal.resource.parent |
| read_blocks | about.labels.key/value (veraltet) additional.fields |
| read_latency | about.labels.key/value (veraltet) additional.fields |
| read_ops | about.labels.key/value (veraltet) additional.fields |
| storage | about.labels.key/value (veraltet) additional.fields |
| storage_free | about.labels.key/value (veraltet) additional.fields |
| storage_free_percent | about.labels.key/value (veraltet) additional.fields |
| storage_used | about.labels.key/value (veraltet) additional.fields |
| storage_used_percent | about.labels.key/value (veraltet) additional.fields |
| write_blocks | about.labels.key/value (veraltet) additional.fields |
| write_latency | about.labels.key/value (veraltet) additional.fields |
| write_ops | about.labels.key/value (veraltet) additional.fields |
| error_code | security_result.description |
| Vorgang | about.labels.key/value (verworfen) additional.fields |
| storage_name | about.resource.name |
Nutzer
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Dataset-Nutzer aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| interactive | about.labels.key/value (veraltet) additional.fields |
| Passwort | about.labels.key/value (verworfen) additional.fields |
| shell | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Virtual_OS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Hypervisor | about.labels.key/value (veraltet) additional.fields |
Snapshot
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Snapshot des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Größe | about.file.size |
| Snapshot | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
JVM
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die JVM des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| jvm_description | security_result.description |
| Tag | about.labels.key/value (verworfen) additional.fields |
Faden
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Threading“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| cm_enabled | about.labels.key/value (veraltet) additional.fields |
| cm_supported | about.labels.key/value (veraltet) additional.fields |
| cpu_time_enabled | about.labels.key/value (veraltet) additional.fields |
| cpu_time_supported | about.labels.key/value (veraltet) additional.fields |
| current_cpu_time | about.labels.key/value (veraltet) additional.fields |
| current_user_time | about.labels.key/value (veraltet) additional.fields |
| daemon_thread_count | about.labels.key/value (verworfen) additional.fields |
| omu_supported | about.labels.key/value (veraltet) additional.fields |
| peak_thread_count | about.labels.key/value (veraltet) additional.fields |
| synch_supported | about.labels.key/value (veraltet) additional.fields |
| thread_count | about.labels.key/value (verworfen) additional.fields |
| threads_started | about.labels.key/value (verworfen) additional.fields |
Laufzeit
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Laufzeit des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (verworfen) additional.fields |
Zusammenstellung
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Kompilierung aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| compilation_time | about.labels.key/value (veraltet) additional.fields |
Kursladen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Classloading aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| current_loaded | about.labels.key/value (veraltet) additional.fields |
| total_loaded | about.labels.key/value (veraltet) additional.fields |
| total_unloaded | about.labels.key/value (veraltet) additional.fields |
Malware_Attacks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Malware_Attacks aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| category | security_result.category_details |
| Datum | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_path | target.file.full_path |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_user | principal.user.user_display_name |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Malware_Operations
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Malware_Operations aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_nt_domain | target.labels.key/value (eingestellt) additional.fields |
| dest_nt_domain | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_requires_av | target.labels.key/value (eingestellt) additional.fields |
| product_version | about.labels.key/value (veraltet) additional.fields |
| signature_version | security_result.rule_version |
| Tag | about.labels.key/value (verworfen) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Malware_Operations
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Malware_Operations aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_category | target.labels.key/value (eingestellt) additional.fields |
DNS
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das DNS des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| additional_answer_count | about.labels.key/value (verworfen) additional.fields |
| Annehmen | network.dns.answer.data |
| answer_count | about.labels.key/value (veraltet) additional.fields |
| authority_answer_count | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| message_type | about.labels.key/value (veraltet) additional.fields |
| name | about.labels.key/value (veraltet) additional.fields |
| query | network.dns.questions.name |
| query_count | about.labels.key/value (veraltet) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (verworfen) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| transaction_id | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
All_Sessions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Sessions“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_dns | target.labels.key/value (eingestellt) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (verworfen) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| Dauer | network.session_duration |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_dns | principal.labels.key/value (eingestellt) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (verworfen) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
DHCP
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das DHCP des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (veraltet) additional.fields |
All_Traffic
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Traffic“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | network.application_protocol |
| Byte | about.labels.key/value (veraltet) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value (verworfen) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_interface | target.labels.key/value (eingestellt) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| Dauer | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (verworfen) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_ip | about.labels.key/value (verworfen) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (veraltet) additional.fields |
| icmp_code | about.labels.key/value (veraltet) additional.fields |
| icmp_type | about.labels.key/value (veraltet) additional.fields |
| Pakete | about.labels.key/value (verworfen) additional.fields |
| packets_in | about.labels.key/value (veraltet) additional.fields |
| packets_out | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| protocol_version | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Regel | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_interface | principal.labels.key/value (eingestellt) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| tcp_flag | about.labels.key/value (verworfen) additional.fields |
| transport | network.ip_protocol |
| tos | about.labels.key/value (veraltet) additional.fields |
| ttl | network.dns.additional.ttl |
| Nutzer | principal.user.userid |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (verworfen) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| vlan | about.labels.key/value (veraltet) additional.fields |
| wlan | about.labels.key/value (veraltet) additional.fields |
All_Performance
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Performance“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_should_timesync | target.labels.key/value (eingestellt) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| hypervisor_id | about.labels.key/value (veraltet) additional.fields |
| Ressourcentyp | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
Räumlichkeiten
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Einrichtungen des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| fan_speed | about.labels.key/value (veraltet) additional.fields |
| power | about.labels.key/value (verworfen) additional.fields |
| Temperatur | about.labels.key/value (veraltet) additional.fields |
Timesync
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Timesync“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
Betriebszeit
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Uptime“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| uptime | about.labels.key/value (veraltet) additional.fields |
View_Activity
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „View_Activity“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| App | target.application |
| Ausgaben | about.labels.key/value (veraltet) additional.fields |
| uri | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| Ansicht | about.labels.key/value (veraltet) additional.fields |
Datamodel_Acceleration
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Datamodel_Acceleration“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| access_count | about.labels.key/value (veraltet) additional.fields |
| access_time | about.labels.key/value (verworfen) additional.fields |
| App | target.application |
| Buckets | about.labels.key/value (veraltet) additional.fields |
| buckets_size | about.labels.key/value (veraltet) additional.fields |
| abgeschlossen | about.labels.key/value (veraltet) additional.fields |
| cron | about.labels.key/value (veraltet) additional.fields |
| datamodel | about.labels.key/value (veraltet) additional.fields |
| Hashwert | about.labels.key/value (veraltet) additional.fields |
| früheste | about.labels.key/value (veraltet) additional.fields |
| is_inprogress | about.labels.key/value (veraltet) additional.fields |
| last_error | about.labels.key/value (veraltet) additional.fields |
| last_sid | about.labels.key/value (veraltet) additional.fields |
| neueste | about.labels.key/value (veraltet) additional.fields |
| mod_time | about.labels.key/value (veraltet) additional.fields |
| Nachrichten | about.labels.key/value (veraltet) additional.fields |
| Größe | about.file.size |
| summary_id | about.labels.key/value (veraltet) additional.fields |
Search_Activity
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Search_Activity“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Host | about.hostname |
| info | about.labels.key/value (verworfen) additional.fields |
| search | about.labels.key/value (veraltet) additional.fields |
| search_et | about.labels.key/value (veraltet) additional.fields |
| search_lt | about.labels.key/value (veraltet) additional.fields |
| search_type | about.labels.key/value (veraltet) additional.fields |
| source | principal.labels.key/value (eingestellt) additional.fields |
| sourcetype | principal.labels.key/value (eingestellt) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Scheduler_Activity“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| App | target.application |
| Host | about.hostname |
| savedsearch_name | about.labels.key/value (verworfen) additional.fields |
| SID | about.labels.key/value (verworfen) additional.fields |
| source | principal.labels.key/value (eingestellt) additional.fields |
| sourcetype | principal.labels.key/value (eingestellt) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| Status | security_result.summary |
| Nutzer | principal.user.user_display_name |
Web_Service_Errors
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Web_Service_Errors“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Host | about.hostname |
| source | principal.labels.key/value (eingestellt) additional.fields |
| sourcetype | principal.labels.key/value (eingestellt) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Modular_Actions“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| action_mode | about.labels.key/value (veraltet) additional.fields |
| action_status | about.labels.key/value (veraltet) additional.fields |
| App | target.application |
| Dauer | network.session_duration |
| Komponente | about.labels.key/value (verworfen) additional.fields |
| orig_rid | about.labels.key/value (veraltet) additional.fields |
| orig_sid | about.labels.key/value (veraltet) additional.fields |
| rid | about.labels.key/value (verworfen) additional.fields |
| search_name | about.labels.key/value (veraltet) additional.fields |
| action_name | security_result.action_details |
| Signatur | metadata.description |
| SID | about.labels.key/value (verworfen) additional.fields |
| Nutzer | about.labels.key/value (verworfen) additional.fields |
All_Ticket_Management
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Ticket_Management“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| affect_dest | target.labels.key/value (eingestellt) additional.fields |
| Kommentare | about.labels.key/value (veraltet) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| priority | security_result.priority_details |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| splunk_id | about.labels.key/value (verworfen) additional.fields |
| splunk_realm | about.labels.key/value (verworfen) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_user_category | principal.labels.key/value (eingestellt) additional.fields |
| src_user_priority | principal.labels.key/value (eingestellt) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Ändern
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Änderung aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Ändern | about.labels.key/value (veraltet) additional.fields |
Vorfall
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Vorfall“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Vorfall | about.labels.key/value (veraltet) additional.fields |
Problem
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Problem“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Problem | about.labels.key/value (veraltet) additional.fields |
Updates
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Updates des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_should_update | target.labels.key/value (eingestellt) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| Status | security_result.summary |
| Tag | about.labels.key/value (verworfen) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Sicherheitslücken
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Sicherheitslücken des Splunk-Datasets aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Bugtraq | about.labels.key/value (veraltet) additional.fields |
| category | security_result.category_details |
| cert | about.labels.key/value (veraltet) additional.fields |
| cve | vulnerabilites.cve_description |
| CSV | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (verworfen) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| msft | about.labels.key/value (verworfen) additional.fields |
| mskb | about.labels.key/value (veraltet) additional.fields |
| die Ausprägung | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Signatur | metadata.description |
| signature_id | metadata.product_event_type |
| Tag | about.labels.key/value (verworfen) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| Nutzer | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| xref | about.labels.key/value (veraltet) additional.fields |
Web
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Web“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| Byte | about.labels.key/value (veraltet) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| im Cache gespeichert | about.labels.key/value (veraltet) additional.fields |
| category | security_result.category_details |
| Keks | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (eingestellt) |
| dest_bunit | target.labels.key/value (eingestellt) additional.fields |
| dest_category | target.labels.key/value (eingestellt) additional.fields |
| dest_priority | target.labels.key/value (verworfen) additional.fields |
| dest_port | target.port |
| Dauer | network.session_duration |
| http_content_type | about.labels.key/value (verworfen) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (veraltet) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Website | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (eingestellt) |
| src_bunit | principal.labels.key/value (eingestellt) additional.fields |
| src_category | principal.labels.key/value (eingestellt) additional.fields |
| src_priority | principal.labels.key/value (eingestellt) additional.fields |
| Status | network.http.response_code |
| Tag | about.labels.key/value (verworfen) additional.fields |
| uri_path | about.labels.key/value (veraltet) additional.fields |
| uri_query | about.labels.key/value (verworfen) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (verworfen) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
UDM-Ereignistypen
In der folgenden Tabelle sind die Splunk-Tags und die entsprechenden UDM-Ereignistypen aufgeführt:
| Datenmodell | Splunk-Tags | UDM-Ereignistyp |
|---|---|---|
| Benachrichtigungen | Benachrichtigung | STATUS_UPDATE |
| Authentifizierung | Authentifizierung | USER_UNCATEGORIZED |
| Zertifikat | Zertifikat | NETWORK_UNCATEGORIZED |
| Ändern | Ändern | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Datenzugriff | Daten, Zugriff | USER_RESOURCE_ACCESS |
| Datenbanken | Datenbank | USER_RESOURCE_ACCESS |
| Datenbanken | Datenbank, Instanz, Statistiken | STATUS_UPDATE |
| Datenbanken | Datenbank, Instanz, Status | STATUS_UPDATE |
| Datenbanken | Datenbank, Instanz, Sperre | STATUS_UPDATE |
| Datenbanken | Datenbank, Abfrage | STATUS_UPDATE |
| Datenbanken | Datenbank, Abfrage, Tablespace | STATUS_UPDATE |
| Datenbanken | Datenbank, Abfrage, Statistiken | STATUS_UPDATE |
| Schutz vor Datenverlust | dlp, Vorfall | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| E-Mail, Zustellung | EMAIL_TRANSACTION | |
| Endpunkt | Zuhören, Port | SERVICE_UNSPECIFIED |
| Endpunkt | Verarbeitung, Bericht | PROCESS_UNCATEGORIZED |
| Endpunkt | Dienst, Bericht, service, report | SERVICE_UNSPECIFIED |
| Endpunkt | Endpunkt, Dateisystem | FILE_UNCATEGORIZED |
| Endpunkt | Endpunkt, Registry | REGISTRY_UNCATEGORIZED |
| Unterschrift des Termins | track_event_signature | STATUS_UPDATE |
| Inter Process Messaging | Messaging | STATUS_UPDATE |
| Angriffserkennung | IDs, Angriff | SERVICE_UNSPECIFIED |
| Inventar | inventory | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Java Virtual Machine (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | Malware | STATUS_UPDATE |
| Netzwerkauflösung(DNS) | Netzwerk, Auflösung, DNS | NETWORK_DNS |
| Netzwerksitzungen | Netzwerk, Sitzung | NETWORK_CONNECTION |
| Netzwerksitzungen | Netzwerk, Sitzung, dhcp | NETWORK_DHCP |
| Netzwerkverkehr | Netzwerk, Kommunikation | NETWORK_CONNECTION |
| Leistung | Leistung | SERVICE_UNSPECIFIED |
| Splunk-Audit-Logs | Modaction | STATUS_UPDATE |
| Ticketverwaltung | Fahrkartenverkauf | STATUS_UPDATE |
| Ticketverwaltung | Ticketing, change | STATUS_UPDATE |
| Updates | update | STATUS_UPDATE |
| Sicherheitslücken | Bericht, Sicherheitslücken | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |