Collecter les journaux Splunk CIM
Ce document explique comment collecter des journaux Splunk Common Information Model (CIM) en configurant Splunk et un redirecteur des opérations de sécurité Google. Ce document liste aussi les types de journaux pris en charge et les versions compatibles de Splunk.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Présentation
Le schéma d'architecture de déploiement suivant montre comment les agents Splunk sont configurés pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut diffèrent de cette représentation et peuvent être plus complexes.
Le schéma d'architecture présente les composants suivants :
Source de données : système à surveiller sur lequel Splunk est installé.
Splunk: collecte des informations à partir de la source de données et les transmet au redirecteur Google Security Operations.
Le redirecteur Google Security Operations: un outil léger composant logiciel déployé sur le réseau du client pour transmettre les journaux à Google Security Operations.
Google Security Operations: conserve et analyse les journaux provenant le serveur Fleet.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes
au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion SPLUNK.
Avant de commencer
Utilisez la version 5.0 de Splunk compatible avec l'analyseur Google Security Operations.
S'assurer que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Configurer un agent Splunk et un redirecteur Google Security Operations
Installez un agent compatible avec le module CIM à partir de Splunkbase.
Configurez le redirecteur Google Security Operations pour transférer les journaux vers le système Google Security Operations. Voici un exemple de configuration du redirecteur Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Éléments à prendre en compte pour rédiger des requêtes de recherche Splunk
Splunk dispose de son propre langage de recherche, semblable à SQL. Veillez à utiliser la syntaxe correcte pour votre requête de recherche. Tenez compte des caractéristiques de recherche suivantes lorsque vous créez une requête:
Caractère d'échappement
Si une valeur de chaîne contient des guillemets doubles ", utilisez des barres obliques inverses pour les échapper. Sinon, la recherche interprète mal la fin de la valeur de la chaîne.
Par exemple, pour rechercher une chaîne WHERE _raw="The user "vpatel" isn't authenticated.", vous devez utiliser la séquence \" pour rechercher un guillemet double littéral.
Écrivez la chaîne de recherche au format suivant:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Pour échapper un caractère de barre oblique inverse \ , utilisez la séquence \\ pour rechercher une barre oblique inverse.
Par exemple, s'il existe une chaîne telle que C:\user\abc, elle doit être écrite sous la forme C:\\user\\abc.
Recherche syntaxiquement incorrecte
Si une section de la requête n'est pas valide, la requête entière n'est pas évaluée et un message d'erreur s'affiche.
Prenons l'exemple suivant, dans lequel l'option de mode de recherche est manquante dans la requête:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
Dans cet exemple, l'option de mode de recherche est manquante dans la requête. Cela entraîne l'erreur suivante:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Compatibilité avec plusieurs modèles de données
Splunk accepte une seule requête volumineuse qui s'étend sur plusieurs modèles de données. La requête de recherche suivante extrait des données de plusieurs modèles de données:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Voici les composants de cette requête qui couvre les modèles de données:
Multisearch: la requête doit commencer par le mot multisearch. Une requête pour un modèle de données doit être placée entre crochets [ ] et commencer par une barre verticale |.
Network_Traffic: nom du modèle de données.
All_Traffic: ensemble de données du modèle de données Network_Traffic.
flat: mode de recherche Les autres options sont search et acceleration_search.
Nous vous recommandons d'utiliser la requête Splunk suivante pour effectuer une recherche dans plusieurs modèles de données :
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Types de journaux et modèles de données compatibles
| Modèle de données Splunk | Compatible |
|---|---|
| Alertes | Oui |
| État de l'application (obsolète) | Non |
| Authentification | Oui |
| Certificats | Oui |
| Modifier | Oui |
| Analyse des modifications (obsolète) | Non |
| Accès aux données | Oui |
| Bases de données | Oui |
| Protection contre la perte de données | Oui |
| Oui | |
| Point de terminaison | Oui |
| Signatures d'événement | Oui |
| Message Interprocess | Oui |
| Détection des intrusions | Oui |
| Inventaire | Oui |
| Machines virtuelles Java (JVM) | Oui |
| Logiciels malveillants | Oui |
| Résolution réseau (DNS) | Oui |
| Sessions réseau | Oui |
| Trafic réseau | Oui |
| Performances | Oui |
| Splunk Audit Logs | Oui |
| Gestion des demandes | Oui |
| Changements | Oui |
| Failles | Oui |
| Web | Oui |
Documentation de référence sur le mappage de champs
Cette section explique comment l'analyseur Google Security Operations mappe les champs de journal Splunk aux champs UDM (Google Security Operations Unified Data Model) des ensembles de données. Pour plus d'informations, consultez le document de Splunk sur la version 5.0.1.
Alertes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données "Alerts" de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| application | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_type | principal.resource.resource_type |
| tag | about.labels.key/value (obsolète) additional.fields |
| type | security_result.alert_state |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
| vendor_region | about.location.country_or_region |
Authentification
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'authentification de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| authentication_method | about.labels.key/value (obsolète) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_nt_domain | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user_role | principal.user.attribute.roles.name (répété) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (répété) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
All_Certificates
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk All_Certificates :
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
SSL
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données SSL Splunk :
| Champ du journal | Mappage UDM |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (obsolète) additional.fields |
| ssl_hash | about.labels.key/value (obsolète) additional.fields |
| ssl_is_valid | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_email | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_locality | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_organization | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_state | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_street | about.labels.key/value (obsolète) additional.fields |
| ssl_issuer_unit | about.labels.key/value (obsolète) additional.fields |
| ssl_name | about.labels.key/value (obsolète) additional.fields |
| ssl_policies | about.labels.key/value (obsolète) additional.fields |
| ssl_publickey | about.labels.key/value (obsolète) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (obsolète) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (obsolète) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_email | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_locality | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_organization | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_state | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_street | about.labels.key/value (obsolète) additional.fields |
| ssl_subject_unit | about.labels.key/value (obsolète) additional.fields |
| ssl_validity_window | about.labels.key/value (obsolète) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Changes :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| commande | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| objet | target.resource.name |
| object_attrs | about.labels.key/value (obsolète) additional.fields |
| object_category | about.labels.key/value (obsolète) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| résultat | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Account_Management:
| Champ du journal | Mappage UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user_name | principal.labels.key/value (obsolète) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Changes :
| Champ du journal | Mappage UDM |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (obsolète) additional.fields |
network_Changes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk network_Changes:
| Champ du journal | Mappage UDM |
|---|---|
| dest_ip_range | target.labels.key/value (obsolète) additional.fields |
| dest_port_range | target.labels.key/value (obsolète) additional.fields |
| direction | network.direction |
| protocol | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (obsolète) additional.fields |
| src_port_range | principal.labels.key/value (obsolète) additional.fields |
Data_Access
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données "Data_Access" Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| objet | target.resource.name |
| object_category | about.labels.key/value (obsolète) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| owner | about.labels.key/value (obsolète) additional.fields |
| owner_email | about.labels.key/value (obsolète) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (obsolète) additional.fields |
| parent_object_category | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| tenant_id | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (répété) |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| vendor_product_id | about.labels.key/value (obsolète) additional.fields |
All_Databases
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Databases:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| objet | target.resource.name |
| response_time | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Database_Instance
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Instance:
| Champ du journal | Mappage UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (obsolète) additional.fields |
| session_limit | about.labels.key/value (obsolète) additional.fields |
Database_Query
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Query:
| Champ du journal | Mappage UDM |
|---|---|
| requête | about.labels.key/value (obsolète) additional.fields |
| query_id | about.labels.key/value (obsolète) additional.fields |
| query_time | about.labels.key/value (obsolète) additional.fields |
| records_affected | about.labels.key/value (obsolète) additional.fields |
Instance_Stats
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Stats:
| Champ du journal | Mappage UDM |
|---|---|
| disponibilité | about.labels.key/value (obsolète) additional.fields |
| avg_executions | about.labels.key/value (obsolète) additional.fields |
| dump_area_used | about.labels.key/value (obsolète) additional.fields |
| instance_reads | about.labels.key/value (obsolète) additional.fields |
| instance_writes | about.labels.key/value (obsolète) additional.fields |
| number_of_users | about.labels.key/value (obsolète) additional.fields |
| processes | about.labels.key/value (obsolète) additional.fields |
| sessions | about.labels.key/value (obsolète) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (obsolète) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (obsolète) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (obsolète) additional.fields |
| sga_fixed_area_size | about.labels.key/value (obsolète) additional.fields |
| sga_free_memory | about.labels.key/value (obsolète) additional.fields |
| sga_library_cache_size | about.labels.key/value (obsolète) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (obsolète) additional.fields |
| sga_shared_pool_size | about.labels.key/value (obsolète) additional.fields |
| sga_sql_area_size | about.labels.key/value (obsolète) additional.fields |
| start_time | about.labels.key/value (obsolète) additional.fields |
| tablespace_used | about.labels.key/value (obsolète) additional.fields |
Session_Info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Session_Info:
| Champ du journal | Mappage UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (obsolète) additional.fields |
| commits | about.labels.key/value (obsolète) additional.fields |
| cpu_used | about.labels.key/value (obsolète) additional.fields |
| cursor | about.labels.key/value (obsolète) additional.fields |
| elapsed_time | about.labels.key/value (obsolète) additional.fields |
| logical_reads | about.labels.key/value (obsolète) additional.fields |
| machine | about.hostname |
| memory_sorts | about.labels.key/value (obsolète) additional.fields |
| physical_reads | about.labels.key/value (obsolète) additional.fields |
| seconds_in_wait | about.labels.key/value (obsolète) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (obsolète) additional.fields |
| table_scans | about.labels.key/value (obsolète) additional.fields |
| wait_state | about.labels.key/value (obsolète) additional.fields |
| wait_time | about.labels.key/value (obsolète) additional.fields |
Lock_Info
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Lock_Info :
| Champ du journal | Mappage UDM |
|---|---|
| last_call_minute | about.labels.key/value (obsolète) additional.fields |
| lock_mode | about.labels.key/value (obsolète) additional.fields |
| lock_session_id | about.labels.key/value (obsolète) additional.fields |
| logon_time | about.labels.key/value (obsolète) additional.fields |
| obj_name | about.labels.key/value (obsolète) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Tablespace de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (obsolète) additional.fields |
| tablespace_status | about.labels.key/value (obsolète) additional.fields |
| tablespace_writes | about.labels.key/value (obsolète) additional.fields |
Query_Stats
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Query_Stats de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| indexes_hit | about.labels.key/value (obsolète) additional.fields |
| query_plan_hit | about.labels.key/value (obsolète) additional.fields |
| stored_procedures_called | about.labels.key/value (obsolète) additional.fields |
| tables_hit | about.labels.key/value (obsolète) additional.fields |
DLP_Incidents
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk DLP_Incidents:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| objet | target.resource.name |
| object_category | about.labels.key/value (obsolète) additional.fields |
| object_path | target.file.full_path |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
All_Email
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Email" :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| delay | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (obsolète) additional.fields |
| orig_dest | target.labels.key/value (obsolète) additional.fields |
| orig_recipient | about.labels.key/value (obsolète) additional.fields |
| orig_src | network.email.from |
| de diffusion inverse | principal.process.command_line |
| process_id | principal.process.pid |
| protocol | network.application_protocol |
| destinataire | network.email.to |
| recipient_count | about.labels.key/value (obsolète) additional.fields |
| recipient_domain | about.labels.key/value (obsolète) additional.fields |
| recipient_status | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| retries | about.labels.key/value (obsolète) additional.fields |
| return_addr | about.labels.key/value (obsolète) additional.fields |
| taille | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| status_code | about.labels.key/value (obsolète) additional.fields |
| subject | network.email.subject(repeated) |
| tag | about.labels.key/value (obsolète) additional.fields |
| url | about.url |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| xdelay | about.labels.key/value (obsolète) additional.fields |
| xref | about.labels.key/value (obsolète) additional.fields |
Filtrage
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le filtrage de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| filter_action | about.labels.key/value (obsolète) additional.fields |
| filter_score | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_extra | about.labels.key/value (obsolète) additional.fields |
| signature_id | metadata.product_event_type |
Ports
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les ports de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| creation_time | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (obsolète) additional.fields |
| src_should_timesync | principal.labels.key/value (obsolète) additional.fields |
| src_should_update | principal.labels.key/value (obsolète) additional.fields |
| state | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
| transport_dest_port | target.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Processus
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les processus de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_is_expected | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| mem_used | about.labels.key/value (obsolète) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (obsolète) additional.fields |
| parent_process_exec | about.labels.key/value (obsolète) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (obsolète) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| de diffusion inverse | about.labels.key/value (obsolète) additional.fields |
| process_current_directory | about.labels.key/value (obsolète) additional.fields |
| process_exec | about.labels.key/value (obsolète) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal.process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Services
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les services de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_is_expected | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| service | target.application |
| service_dll | about.labels.key/value (obsolète) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (obsolète) additional.fields |
| service_dll_signature_exists | about.labels.key/value (obsolète) additional.fields |
| service_dll_signature_verified | about.labels.key/value (obsolète) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (obsolète) additional.fields |
| service_id | about.labels.key/value (obsolète) additional.fields |
| service_name | about.labels.key/value (obsolète) additional.fields |
| service_path | about.labels.key/value (obsolète) additional.fields |
| service_signature_exists | about.labels.key/value (obsolète) additional.fields |
| service_signature_verified | about.labels.key/value (obsolète) additional.fields |
| start_mode | about.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Système de fichiers
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk "Filesystem" :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| file_access_time | about.labels.key/value (obsolète) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | fichier_cible.sha256, fichier cible.md5, fichier cible.sha1 |
| file_modify_time | about.labels.key/value (obsolète) additional.fields |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (obsolète) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Registre
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le registre des ensembles de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (obsolète) additional.fields |
| registry_path | about.labels.key/value (obsolète) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (obsolète) additional.fields |
| registry_value_type | about.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Signatures
Le tableau suivant liste les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures :
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (obsolète) additional.fields |
Signatures_vendor_product
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures_vendor_product:
| Champ du journal | Mappage UDM |
|---|---|
| vendor_product | about.labels.key/value (obsolète) additional.fields |
All_Interprocess_Messaging
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Interprocess_Messaging:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| point de terminaison | about.labels.key/value (obsolète) additional.fields |
| endpoint_version | about.labels.key/value (obsolète) additional.fields |
| message | about.labels.key/value (obsolète) additional.fields |
| message_consumed_time | about.labels.key/value (obsolète) additional.fields |
| message_correlation_id | about.labels.key/value (obsolète) additional.fields |
| message_delivered_time | about.labels.key/value (obsolète) additional.fields |
| message_delivery_mode | about.labels.key/value (obsolète) additional.fields |
| message_expiration_time | about.labels.key/value (obsolète) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (obsolète) additional.fields |
| message_properties | about.labels.key/value (obsolète) additional.fields |
| message_received_time | about.labels.key/value (obsolète) additional.fields |
| message_redelivered | about.labels.key/value (obsolète) additional.fields |
| message_reply_dest | target.labels.key/value (obsolète) additional.fields |
| message_type | about.labels.key/value (obsolète) additional.fields |
| paramètres | about.labels.key/value (obsolète) additional.fields |
| payload | about.labels.key/value (obsolète) additional.fields |
| payload_type | about.labels.key/value (obsolète) additional.fields |
| request_payload | about.labels.key/value (obsolète) additional.fields |
| request_payload_type | about.labels.key/value (obsolète) additional.fields |
| request_sent_time | about.labels.key/value (obsolète) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (obsolète) additional.fields |
| response_received_time | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| return_message | about.labels.key/value (obsolète) additional.fields |
| rpc_protocol | network.application_protocol |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
IDS_Attacks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk IDS_Attacks:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (obsolète) additional.fields |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| tag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
DS_Attacks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "DS_Attacks" :
| Champ du journal | Mappage UDM |
|---|---|
| dest_port | target.port |
All_Inventory
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Inventory" :
| Champ du journal | Mappage UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| activé | about.labels.key/value (obsolète) additional.fields |
| famille | about.labels.key/value (obsolète) additional.fields |
| hypervisor_id | about.labels.key/value (obsolète) additional.fields |
| serial | principal.asset.hardware.serial_number |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
Processeur
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le processeur de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (obsolète) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (obsolète) additional.fields |
| cpu_time | about.labels.key/value (obsolète) additional.fields |
| cpu_user_percent | about.labels.key/value (obsolète) additional.fields |
Mémoire
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Memory" (Mémoire) :
| Champ du journal | Mappage UDM |
|---|---|
| Mém. | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (obsolète) additional.fields |
| heap_initial | about.labels.key/value (obsolète) additional.fields |
| heap_max | about.labels.key/value (obsolète) additional.fields |
| heap_used | about.labels.key/value (obsolète) additional.fields |
| non_heap_committed | about.labels.key/value (obsolète) additional.fields |
| non_heap_initial | about.labels.key/value (obsolète) additional.fields |
| non_heap_max | about.labels.key/value (obsolète) additional.fields |
| non_heap_used | about.labels.key/value (obsolète) additional.fields |
| objects_pending | about.labels.key/value (obsolète) additional.fields |
| Mém. | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (obsolète) additional.fields |
| mem_free | about.labels.key/value (obsolète) additional.fields |
| mem_used | about.labels.key/value (obsolète) additional.fields |
| échange | about.labels.key/value (obsolète) additional.fields |
| swap_free | about.labels.key/value (obsolète) additional.fields |
| swap_used | about.labels.key/value (obsolète) additional.fields |
network
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le réseau de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (obsolète) additional.fields |
| inline_nat | about.labels.key/value (obsolète) additional.fields |
| interface | about.labels.key/value (obsolète) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (obsolète) additional.fields |
| mac | principal.asset.mac |
| nom | principal.resource.name |
| nœud | about.labels.key/value (obsolète) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (obsolète) additional.fields |
| thruput | about.labels.key/value (obsolète) additional.fields |
| thruput_max | about.labels.key/value (obsolète) additional.fields |
OS
Le tableau suivant présente les champs de journal et les mappages UDM correspondants pour le système d'exploitation de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (obsolète) additional.fields |
| cpu_time | about.labels.key/value (obsolète) additional.fields |
| free_physical_memory | about.labels.key/value (obsolète) additional.fields |
| free_swap | about.labels.key/value (obsolète) additional.fields |
| max_file_descriptors | about.labels.key/value (obsolète) additional.fields |
| open_file_descriptors | about.labels.key/value (obsolète) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (obsolète) additional.fields |
| os_version | about.labels.key/value (obsolète) additional.fields |
| physical_memory | about.labels.key/value (obsolète) additional.fields |
| swap_space | about.labels.key/value (obsolète) additional.fields |
| system_load | about.labels.key/value (obsolète) additional.fields |
| total_processors | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
Stockage
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Storage" :
| Champ du journal | Mappage UDM |
|---|---|
| tableau | about.labels.key/value (obsolète) additional.fields |
| taille du bloc | about.labels.key/value (obsolète) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (obsolète) additional.fields |
| latence | about.labels.key/value (obsolète) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (obsolète) additional.fields |
| read_latency | about.labels.key/value (obsolète) additional.fields |
| read_ops | about.labels.key/value (obsolète) additional.fields |
| stockage | about.labels.key/value (obsolète) additional.fields |
| write_blocks | about.labels.key/value (obsolète) additional.fields |
| write_latency | about.labels.key/value (obsolète) additional.fields |
| write_ops | about.labels.key/value (obsolète) additional.fields |
| tableau | about.labels.key/value (obsolète) additional.fields |
| taille du bloc | about.labels.key/value (obsolète) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (obsolète) additional.fields |
| fd_used | about.labels.key/value (obsolète) additional.fields |
| latence | about.labels.key/value (obsolète) additional.fields |
| mount | about.labels.key/value (obsolète) additional.fields |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (obsolète) additional.fields |
| read_latency | about.labels.key/value (obsolète) additional.fields |
| read_ops | about.labels.key/value (obsolète) additional.fields |
| stockage | about.labels.key/value (obsolète) additional.fields |
| storage_free | about.labels.key/value (obsolète) additional.fields |
| storage_free_percent | about.labels.key/value (obsolète) additional.fields |
| storage_used | about.labels.key/value (obsolète) additional.fields |
| storage_used_percent | about.labels.key/value (obsolète) additional.fields |
| write_blocks | about.labels.key/value (obsolète) additional.fields |
| write_latency | about.labels.key/value (obsolète) additional.fields |
| write_ops | about.labels.key/value (obsolète) additional.fields |
| error_code | security_result.description |
| opération | about.labels.key/value (obsolète) additional.fields |
| storage_name | about.resource.name |
Utilisateur
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données "Utilisateur" de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| interactive | about.labels.key/value (obsolète) additional.fields |
| mot de passe | about.labels.key/value (obsolète) additional.fields |
| shell | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Virtual_OS:
| Champ du journal | Mappage UDM |
|---|---|
| hyperviseur | about.labels.key/value (obsolète) additional.fields |
Instantané
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'instantané de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| taille | about.file.size |
| instantané | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
JVM
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la JVM de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| jvm_description | security_result.description |
| tag | about.labels.key/value (obsolète) additional.fields |
Exécution de threads
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le thread de l'ensemble de données Splunk :
| Champ du journal | Mappage UDM |
|---|---|
| cm_enabled | about.labels.key/value (obsolète) additional.fields |
| cm_supported | about.labels.key/value (obsolète) additional.fields |
| cpu_time_enabled | about.labels.key/value (obsolète) additional.fields |
| cpu_time_supported | about.labels.key/value (obsolète) additional.fields |
| current_cpu_time | about.labels.key/value (obsolète) additional.fields |
| current_user_time | about.labels.key/value (obsolète) additional.fields |
| daemon_thread_count | about.labels.key/value (obsolète) additional.fields |
| omu_supported | about.labels.key/value (obsolète) additional.fields |
| peak_thread_count | about.labels.key/value (obsolète) additional.fields |
| synch_supported | about.labels.key/value (obsolète) additional.fields |
| thread_count | about.labels.key/value (obsolète) additional.fields |
| threads_started | about.labels.key/value (obsolète) additional.fields |
Exécution
Le tableau suivant présente les champs de journal et les mappages UDM correspondants pour l'environnement d'exécution de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
Compilation
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données Splunk Compilation :
| Champ du journal | Mappage UDM |
|---|---|
| compilation_time | about.labels.key/value (obsolète) additional.fields |
Chargement de classes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Classloading:
| Champ du journal | Mappage UDM |
|---|---|
| current_loaded | about.labels.key/value (obsolète) additional.fields |
| total_loaded | about.labels.key/value (obsolète) additional.fields |
| total_unloaded | about.labels.key/value (obsolète) additional.fields |
Malware_Attacks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Attacks:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| category | security_result.category_details |
| date | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| file_path | target.file.full_path |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Malware_Operations
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.labels.key/value (obsolète) additional.fields |
| dest_nt_domain | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_requires_av | target.labels.key/value (obsolète) additional.fields |
| product_version | about.labels.key/value (obsolète) additional.fields |
| signature_version | security_result.rule_version |
| tag | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Malware_Operations
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations:
| Champ du journal | Mappage UDM |
|---|---|
| dest_category | target.labels.key/value (obsolète) additional.fields |
DNS
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le DNS de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| additional_answer_count | about.labels.key/value (obsolète) additional.fields |
| réponse | network.dns.answer.data |
| answer_count | about.labels.key/value (obsolète) additional.fields |
| authority_answer_count | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value (obsolète) additional.fields |
| nom | about.labels.key/value (obsolète) additional.fields |
| requête | network.dns.questions.name |
| query_count | about.labels.key/value (obsolète) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (obsolète) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| transaction_id | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
All_Sessions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Sessions:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_dns | target.labels.key/value (obsolète) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_dns | principal.labels.key/value (obsolète) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
DHCP
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour l'ensemble de données DHCP Splunk :
| Champ du journal | Mappage UDM |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (obsolète) additional.fields |
All_Traffic
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Traffic:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | network.application_protocol |
| bytes | about.labels.key/value (obsolète) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_interface | target.labels.key/value (obsolète) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_ip | about.labels.key/value (obsolète) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (obsolète) additional.fields |
| icmp_code | about.labels.key/value (obsolète) additional.fields |
| icmp_type | about.labels.key/value (obsolète) additional.fields |
| paquets | about.labels.key/value (obsolète) additional.fields |
| packets_in | about.labels.key/value (obsolète) additional.fields |
| packets_out | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| protocol_version | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| rule | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_interface | principal.labels.key/value (obsolète) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| tcp_flag | about.labels.key/value (obsolète) additional.fields |
| transport | network.ip_protocol |
| tot | about.labels.key/value (obsolète) additional.fields |
| ttl | network.dns.additional.ttl |
| utilisateur | principal.user.userid |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| vlan | about.labels.key/value (obsolète) additional.fields |
| wifi | about.labels.key/value (obsolète) additional.fields |
All_Performance
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Performance:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_should_timesync | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| hypervisor_id | about.labels.key/value (obsolète) additional.fields |
| resource_type | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
Locaux
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les installations de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| fan_speed | about.labels.key/value (obsolète) additional.fields |
| power | about.labels.key/value (obsolète) additional.fields |
| température | about.labels.key/value (obsolète) additional.fields |
Timesync
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Timesync Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
Temps d'activité
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le temps d'activité de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| uptime | about.labels.key/value (obsolète) additional.fields |
View_Activity
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk View_Activity:
| Champ du journal | Mappage UDM |
|---|---|
| application | target.application |
| dépensé | about.labels.key/value (obsolète) additional.fields |
| uri | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| afficher | about.labels.key/value (obsolète) additional.fields |
Datamodel_Acceleration
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Datamodel_Acceleration:
| Champ du journal | Mappage UDM |
|---|---|
| access_count | about.labels.key/value (obsolète) additional.fields |
| access_time | about.labels.key/value (obsolète) additional.fields |
| application | target.application |
| Bins | about.labels.key/value (obsolète) additional.fields |
| buckets_size | about.labels.key/value (obsolète) additional.fields |
| terminé | about.labels.key/value (obsolète) additional.fields |
| cron | about.labels.key/value (obsolète) additional.fields |
| datamodel | about.labels.key/value (obsolète) additional.fields |
| condensé | about.labels.key/value (obsolète) additional.fields |
| le plus tôt | about.labels.key/value (obsolète) additional.fields |
| is_inprogress | about.labels.key/value (obsolète) additional.fields |
| last_error | about.labels.key/value (obsolète) additional.fields |
| last_sid | about.labels.key/value (obsolète) additional.fields |
| latest | about.labels.key/value (obsolète) additional.fields |
| mod_time | about.labels.key/value (obsolète) additional.fields |
| retention | about.labels.key/value (obsolète) additional.fields |
| taille | about.file.size |
| summary_id | about.labels.key/value (obsolète) additional.fields |
Search_Activity
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Search_Activity" :
| Champ du journal | Mappage UDM |
|---|---|
| hôte | about.hostname |
| info | about.labels.key/value (obsolète) additional.fields |
| search | about.labels.key/value (obsolète) additional.fields |
| search_et | about.labels.key/value (obsolète) additional.fields |
| search_lt | about.labels.key/value (obsolète) additional.fields |
| search_type | about.labels.key/value (obsolète) additional.fields |
| source | principal.labels.key/value (obsolète) additional.fields |
| sourcetype | principal.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Scheduler_Activity de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| application | target.application |
| hôte | about.hostname |
| savedsearch_name | about.labels.key/value (obsolète) additional.fields |
| Sid | about.labels.key/value (obsolète) additional.fields |
| source | principal.labels.key/value (obsolète) additional.fields |
| sourcetype | principal.labels.key/value (obsolète) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| état | security_result.summary |
| utilisateur | principal.user.user_display_name |
Web_Service_Errors
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Web_Service_Errors:
| Champ du journal | Mappage UDM |
|---|---|
| hôte | about.hostname |
| source | principal.labels.key/value (obsolète) additional.fields |
| sourcetype | principal.labels.key/value (obsolète) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Modular_Actions:
| Champ du journal | Mappage UDM |
|---|---|
| action_mode | about.labels.key/value (obsolète) additional.fields |
| action_status | about.labels.key/value (obsolète) additional.fields |
| application | target.application |
| duration | network.session_duration |
| composant | about.labels.key/value (obsolète) additional.fields |
| orig_rid | about.labels.key/value (obsolète) additional.fields |
| orig_sid | about.labels.key/value (obsolète) additional.fields |
| rid | about.labels.key/value (obsolète) additional.fields |
| search_name | about.labels.key/value (obsolète) additional.fields |
| action_name | security_result.action_details |
| signature | metadata.description |
| Sid | about.labels.key/value (obsolète) additional.fields |
| utilisateur | about.labels.key/value (obsolète) additional.fields |
All_Ticket_Management
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Ticket_Management:
| Champ du journal | Mappage UDM |
|---|---|
| affect_dest | target.labels.key/value (obsolète) additional.fields |
| Commentaires | about.labels.key/value (obsolète) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| priorité | security_result.priority_details |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| splunk_id | about.labels.key/value (obsolète) additional.fields |
| splunk_realm | about.labels.key/value (obsolète) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_user_category | principal.labels.key/value (obsolète) additional.fields |
| src_user_priority | principal.labels.key/value (obsolète) additional.fields |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Modifier
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Change" :
| Champ du journal | Mappage UDM |
|---|---|
| modifier | about.labels.key/value (obsolète) additional.fields |
Incident
Le tableau suivant présente les champs de journal et les mappages UDM correspondants pour l'incident concernant l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| incident | about.labels.key/value (obsolète) additional.fields |
Problème
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le problème de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| problème | about.labels.key/value (obsolète) additional.fields |
Mises à jour
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les mises à jour de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_should_update | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (obsolète) additional.fields |
| de gravité, | security_result.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| état | security_result.summary |
| tag | about.labels.key/value (obsolète) additional.fields |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Failles
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Vulnerabilities" (Failles) :
| Champ du journal | Mappage UDM |
|---|---|
| Bugtraq | about.labels.key/value (obsolète) additional.fields |
| category | security_result.category_details |
| cert | about.labels.key/value (obsolète) additional.fields |
| CV | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (obsolète) additional.fields |
| dvc_category | about.labels.key/value (obsolète) additional.fields |
| dvc_priority | about.labels.key/value (obsolète) additional.fields |
| msft | about.labels.key/value (obsolète) additional.fields |
| mskb | about.labels.key/value (obsolète) additional.fields |
| de gravité, | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (obsolète) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (obsolète) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| utilisateur | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
| xref | about.labels.key/value (obsolète) additional.fields |
Web
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Web:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| application | target.application |
| bytes | about.labels.key/value (obsolète) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| en cache | about.labels.key/value (obsolète) additional.fields |
| category | security_result.category_details |
| biscuit | about.labels.key/value (obsolète) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (obsolète) |
| dest_bunit | target.labels.key/value (obsolète) additional.fields |
| dest_category | target.labels.key/value (obsolète) additional.fields |
| dest_priority | target.labels.key/value (obsolète) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value (obsolète) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (obsolète) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (obsolète) additional.fields |
| response_time | about.labels.key/value (obsolète) additional.fields |
| site | about.labels.key/value (obsolète) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (obsolète) |
| src_bunit | principal.labels.key/value (obsolète) additional.fields |
| src_category | principal.labels.key/value (obsolète) additional.fields |
| src_priority | principal.labels.key/value (obsolète) additional.fields |
| état | network.http.response_code |
| tag | about.labels.key/value (obsolète) additional.fields |
| uri_path | about.labels.key/value (obsolète) additional.fields |
| uri_query | about.labels.key/value (obsolète) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (obsolète) additional.fields |
| utilisateur | principal.user.user_display_name |
| user_bunit | about.labels.key/value (obsolète) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (obsolète) additional.fields |
Types d'événements UDM
Le tableau suivant présente les tags Splunk et les types d'événements UDM correspondants:
| Modèle de données | Tags Splunk | Type d'événement UDM |
|---|---|---|
| Alertes | alerte | STATUS_UPDATE |
| Authentification | authentification | USER_UNCATEGORIZED |
| Certificat | certificat | NETWORK_UNCATEGORIZED |
| Modifier | modifier | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Accès aux données | données, accès | USER_RESOURCE_ACCESS |
| Bases de données | base de données | USER_RESOURCE_ACCESS |
| Bases de données | base de données, instance, statistiques | STATUS_UPDATE |
| Bases de données | base de données, instance, état | STATUS_UPDATE |
| Bases de données | base de données, instance, verrouillage | STATUS_UPDATE |
| Bases de données | base de données, requête | STATUS_UPDATE |
| Bases de données | base de données, requête, espace de table | STATUS_UPDATE |
| Bases de données | base de données, requête, statistiques | STATUS_UPDATE |
| Protection contre la perte de données | dlp, incident | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| e-mail, distribution | EMAIL_TRANSACTION | |
| Point de terminaison | écoute, port | SERVICE_UNSPECIFIED |
| Point de terminaison | processus, rapport | PROCESS_UNCATEGORIZED |
| Point de terminaison | service, rapport | SERVICE_UNSPECIFIED |
| Point de terminaison | point de terminaison, système de fichiers | FILE_UNCATEGORIZED |
| Point de terminaison | point de terminaison, registre | REGISTRY_UNCATEGORIZED |
| Signature de l'événement | track_event_signature | STATUS_UPDATE |
| Communication inter-processus | messagerie | STATUS_UPDATE |
| Détection des intrusions | ID, attaque | SERVICE_UNSPECIFIED |
| Inventaire | inventaire | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Machine virtuelle Java (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Logiciels malveillants | attaque de logiciels malveillants | STATUS_UPDATE |
| Résolution réseau(DNS) | réseau, résolution, dns | NETWORK_DNS |
| Sessions réseau | réseau, session | NETWORK_CONNECTION |
| Sessions réseau | Network, session, Dhcp | NETWORK_DHCP |
| Trafic réseau | réseau, communiquer | NETWORK_CONNECTION |
| Performances | performances | SERVICE_UNSPECIFIED |
| Splunk Audit Logs | modaction | STATUS_UPDATE |
| Gestion des demandes | billetterie | STATUS_UPDATE |
| Gestion des demandes | billetterie, changement | STATUS_UPDATE |
| Changements | update | STATUS_UPDATE |
| Failles | rapport, failles | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |