Coletar registros do CIM do Splunk
Este documento descreve como coletar registros do modelo de informação comum (CIM, na sigla em inglês) do Splunk configurando o Splunk e um encaminhador de Operações de Segurança do Google. Este documento também lista os tipos de registro e as versões do Splunk compatíveis.
Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google.
Visão geral
O diagrama de arquitetura de implantação a seguir mostra como os agentes do Splunk são configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Origem de dados: o sistema a ser monitorado em que o Splunk está instalado.
Splunk: coleta informações da fonte de dados e as encaminha para o encaminhador de Operações de segurança do Google.
Encaminhador do Google Security Operations: um componente de software leve, implantado na rede do cliente para encaminhar os registros ao Google Security Operations.
Google Security Operations: retém e analisa os registros de no servidor da frota.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos
ao formato UDM estruturado. As informações neste documento se aplicam ao analisador
com rótulo de transferência SPLUNK.
Antes de começar
Use a versão 5.0 do Splunk compatível com o analisador do Google Security Operations.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Configurar um agente do Splunk e um encaminhador de Operações de segurança do Google
Instale um agente compatível com CIM a partir do Splunkbase.
Configure o encaminhador do Google Security Operations para enviar os registros ao sistema do Google Security Operations. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Considerações para criar consultas de pesquisa do Splunk
O Splunk tem uma linguagem de pesquisa própria, que é semelhante ao SQL. Use a sintaxe correta para a consulta de pesquisa. Considere as seguintes características de pesquisa ao criar uma consulta:
Caractere de escape
Se um valor de string tiver uma aspa dupla ", use caracteres de barra invertida para escapar da aspa. Caso contrário, a pesquisa interpretará incorretamente o final do valor da string.
Por exemplo: para pesquisar uma string WHERE _raw="The user "vpatel" isn't authenticated.",
use a sequência \" para procurar aspas duplas literais.
Escreva a string de pesquisa no seguinte formato:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Para fazer o escape de um caractere de barra invertida \ , use a sequência \\.
Por exemplo, se houver uma string como C:\user\abc, ela precisará ser escrita como C:\\user\\abc.
Pesquisa sintática incorreta
Se uma seção da consulta for inválida, a consulta inteira não será avaliada e uma mensagem de erro será exibida.
Considere o exemplo a seguir em que a opção de modo de pesquisa está ausente na consulta:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
Neste exemplo, a opção de modo de pesquisa não está na consulta. Isso resulta no seguinte erro:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Suporte a vários modelos de dados
O Splunk oferece suporte a uma única consulta grande que abrange modelos de dados. A consulta de pesquisa a seguir extrai dados de vários modelos de dados:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Estes são os componentes dessa consulta que abrangem modelos de dados:
Multisearch: a consulta precisa começar com a palavra multisearch. Uma consulta para um modelo de dados precisa estar entre colchetes [ ] e começar com um caractere de barra |.
Network_Traffic: o nome do modelo de dados.
All_Traffic: conjunto de dados do modelo de dados Network_Traffic.
flat: modo de pesquisa. As outras opções são search e acceleration_search.
Recomendamos usar a seguinte consulta do Splunk para pesquisar vários modelos de dados:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Tipos de registro e modelos de dados aceitos
| Modelo de dados do Splunk | Compatível |
|---|---|
| Alertas | Sim |
| Estado do aplicativo (descontinuado) | Não |
| Authentication | Sim |
| Certificados | Sim |
| Alterar | Sim |
| Análise de mudanças (descontinuado) | Não |
| Acesso aos dados | Sim |
| Bancos de dados | Sim |
| Prevenção contra perda de dados | Sim |
| Sim | |
| Endpoint | Sim |
| Assinaturas de eventos | Sim |
| Mensagens entre processos | Sim |
| Detecção de intrusões | Sim |
| Inventário | Sim |
| Máquinas virtuais Java (JVM) | Sim |
| Malware | Sim |
| Resolução de rede (DNS) | Sim |
| Sessões de rede | Sim |
| Tráfego de rede | Sim |
| Desempenho | Sim |
| Registros de auditoria do Splunk | Sim |
| Gerenciamento de tíquetes | Sim |
| Atualizações | Sim |
| Vulnerabilidades | Sim |
| Web | Sim |
Referência de mapeamento de campo
Esta seção explica como o analisador das Operações de segurança do Google mapeia os campos de registro do Splunk para os campos do Modelo de dados unificado (UDM) do Google Security Operations para os conjuntos de dados. Para mais informações, consulte o documento do Splunk para a versão 5.0.1.
Alertas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os alertas do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| app | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_type | principal.resource.resource_type |
| tag | about.labels.key/value (descontinuado) additional.fields |
| tipo | security_result.alert_state |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
| vendor_region | about.location.country_or_region |
Autenticação
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Authentication:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| authentication_method | about.labels.key/value (descontinuado) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_nt_domain | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user_role | principal.user.attribute.roles.name (repetido) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (repetido) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
All_Certificates
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Certificates do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
SSL
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o SSL do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (descontinuado) additional.fields |
| ssl_hash | about.labels.key/value (descontinuado) additional.fields |
| ssl_is_valid | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_email | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_locality | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_organization | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_state | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_street | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_unit | about.labels.key/value (descontinuado) additional.fields |
| ssl_name | about.labels.key/value (descontinuado) additional.fields |
| ssl_policies | about.labels.key/value (descontinuado) additional.fields |
| ssl_publickey | about.labels.key/value (descontinuado) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (descontinuado) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (descontinuado) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_email | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_locality | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_organization | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_state | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_street | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_unit | about.labels.key/value (descontinuado) additional.fields |
| ssl_validity_window | about.labels.key/value (descontinuado) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Changes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| model". | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| objeto | target.resource.name |
| object_attrs | about.labels.key/value (descontinuado) additional.fields |
| object_category | about.labels.key/value (descontinuado) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| result | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados do Splunk Account_Management:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user_name | principal.labels.key/value (descontinuado) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Instance_Changes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (descontinuado) additional.fields |
network_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados network_Changes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_ip_range | target.labels.key/value (descontinuado) additional.fields |
| dest_port_range | target.labels.key/value (descontinuado) additional.fields |
| direção | network.direction |
| protocolo | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (descontinuado) additional.fields |
| src_port_range | principal.labels.key/value (descontinuado) additional.fields |
Data_Access
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Data_Access do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| objeto | target.resource.name |
| object_category | about.labels.key/value (descontinuado) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| proprietário | about.labels.key/value (descontinuado) additional.fields |
| owner_email | about.labels.key/value (descontinuado) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (descontinuado) additional.fields |
| parent_object_category | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| tenant_id | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (repetido) |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| vendor_product_id | about.labels.key/value (descontinuado) additional.fields |
All_Databases
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados All_Databases do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| objeto | target.resource.name |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Database_Instance
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Database_Instance:
| Campo de registro | Mapeamento de UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (descontinuado) additional.fields |
| session_limit | about.labels.key/value (descontinuado) additional.fields |
Database_Query
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Database_Query do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| consulta | about.labels.key/value (descontinuado) additional.fields |
| query_id | about.labels.key/value (descontinuado) additional.fields |
| query_time | about.labels.key/value (descontinuado) additional.fields |
| records_affected | about.labels.key/value (descontinuado) additional.fields |
Instance_Stats
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Instance_Stats:
| Campo de registro | Mapeamento de UDM |
|---|---|
| Disponibilidade | about.labels.key/value (descontinuado) additional.fields |
| avg_executions | about.labels.key/value (descontinuado) additional.fields |
| dump_area_used | about.labels.key/value (descontinuado) additional.fields |
| instance_reads | about.labels.key/value (descontinuado) additional.fields |
| instance_writes | about.labels.key/value (descontinuado) additional.fields |
| number_of_users | about.labels.key/value (descontinuado) additional.fields |
| processes | about.labels.key/value (descontinuado) additional.fields |
| sessões | about.labels.key/value (descontinuado) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (descontinuado) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (descontinuado) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (descontinuado) additional.fields |
| sga_fixed_area_size | about.labels.key/value (descontinuado) additional.fields |
| sga_free_memory | about.labels.key/value (descontinuado) additional.fields |
| sga_library_cache_size | about.labels.key/value (descontinuado) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (descontinuado) additional.fields |
| sga_shared_pool_size | about.labels.key/value (descontinuado) additional.fields |
| sga_sql_area_size | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| tablespace_used | about.labels.key/value (descontinuado) additional.fields |
Session_Info
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados Session_Info do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (descontinuado) additional.fields |
| confirmações | about.labels.key/value (descontinuado) additional.fields |
| cpu_used | about.labels.key/value (descontinuado) additional.fields |
| cursor | about.labels.key/value (descontinuado) additional.fields |
| elapsed_time | about.labels.key/value (descontinuado) additional.fields |
| logical_reads | about.labels.key/value (descontinuado) additional.fields |
| máquina | about.hostname |
| memory_sorts | about.labels.key/value (descontinuado) additional.fields |
| physical_reads | about.labels.key/value (descontinuado) additional.fields |
| seconds_in_wait | about.labels.key/value (descontinuado) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (descontinuado) additional.fields |
| table_scans | about.labels.key/value (descontinuado) additional.fields |
| wait_state | about.labels.key/value (descontinuado) additional.fields |
| wait_time | about.labels.key/value (descontinuado) additional.fields |
Lock_Info
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados Lock_Info do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| last_call_minute | about.labels.key/value (descontinuado) additional.fields |
| lock_mode | about.labels.key/value (descontinuado) additional.fields |
| lock_session_id | about.labels.key/value (descontinuado) additional.fields |
| logon_time | about.labels.key/value (descontinuado) additional.fields |
| obj_name | about.labels.key/value (descontinuado) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tabela
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o espaço de tabela do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (descontinuado) additional.fields |
| tablespace_status | about.labels.key/value (descontinuado) additional.fields |
| tablespace_writes | about.labels.key/value (descontinuado) additional.fields |
Query_Stats
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Query_Stats:
| Campo de registro | Mapeamento de UDM |
|---|---|
| indexes_hit | about.labels.key/value (descontinuado) additional.fields |
| query_plan_hit | about.labels.key/value (descontinuado) additional.fields |
| stored_procedures_called | about.labels.key/value (descontinuado) additional.fields |
| tables_hit | about.labels.key/value (descontinuado) additional.fields |
DLP_Incidents
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados DLP_Incidents do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| categoria | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (descontinuado) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| objeto | target.resource.name |
| object_category | about.labels.key/value (descontinuado) additional.fields |
| object_path | target.file.full_path |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Email
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Email do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| delay | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (descontinuado) additional.fields |
| orig_dest | target.labels.key/value (descontinuado) additional.fields |
| orig_recipient | about.labels.key/value (descontinuado) additional.fields |
| orig_src | network.email.from |
| difusão reversa que restaura | principal.process.command_line |
| process_id | principal.process.pid |
| protocolo | network.application_protocol |
| destinatário | network.email.to |
| recipient_count | about.labels.key/value (descontinuado) additional.fields |
| recipient_domain | about.labels.key/value (descontinuado) additional.fields |
| recipient_status | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| retries | about.labels.key/value (descontinuado) additional.fields |
| return_addr | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| status_code | about.labels.key/value (descontinuado) additional.fields |
| subject | network.email.subject(repeated) |
| tag | about.labels.key/value (descontinuado) additional.fields |
| url | about.url |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| atraso x | about.labels.key/value (descontinuado) additional.fields |
| xref | about.labels.key/value (descontinuado) additional.fields |
Filtragem
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a filtragem do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| filter_action | about.labels.key/value (descontinuado) additional.fields |
| filter_score | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_extra | about.labels.key/value (descontinuado) additional.fields |
| signature_id | metadata.product_event_type |
Portas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as portas do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| creation_time | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (descontinuado) additional.fields |
| src_should_timesync | principal.labels.key/value (descontinuado) additional.fields |
| src_should_update | principal.labels.key/value (descontinuado) additional.fields |
| estado | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
| transport_dest_port | target.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Processos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados de processos do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_is_expected | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| mem_used | about.labels.key/value (descontinuado) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (descontinuado) additional.fields |
| parent_process_exec | about.labels.key/value (descontinuado) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (descontinuado) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| difusão reversa que restaura | about.labels.key/value (descontinuado) additional.fields |
| process_current_directory | about.labels.key/value (descontinuado) additional.fields |
| process_exec | about.labels.key/value (descontinuado) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Serviços
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para os serviços do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_is_expected | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| serviço | target.application |
| service_dll | about.labels.key/value (descontinuado) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (descontinuado) additional.fields |
| service_dll_signature_exists | about.labels.key/value (descontinuado) additional.fields |
| service_dll_signature_verified | about.labels.key/value (descontinuado) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (descontinuado) additional.fields |
| service_id | about.labels.key/value (descontinuado) additional.fields |
| service_name | about.labels.key/value (descontinuado) additional.fields |
| service_path | about.labels.key/value (descontinuado) additional.fields |
| service_signature_exists | about.labels.key/value (descontinuado) additional.fields |
| service_signature_verified | about.labels.key/value (descontinuado) additional.fields |
| start_mode | about.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Sistema de arquivos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o sistema de arquivos do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| file_access_time | about.labels.key/value (descontinuado) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (descontinuado) additional.fields |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (descontinuado) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Registro
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o registro do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (descontinuado) additional.fields |
| registry_path | about.labels.key/value (descontinuado) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (descontinuado) additional.fields |
| registry_value_type | about.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Assinaturas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as assinaturas do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (descontinuado) additional.fields |
Signatures_vendor_product
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Signatures_vendor_product do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Interprocess_Messaging
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Interprocess_Messaging do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| endpoint | about.labels.key/value (descontinuado) additional.fields |
| endpoint_version | about.labels.key/value (descontinuado) additional.fields |
| mensagem | about.labels.key/value (descontinuado) additional.fields |
| message_consumed_time | about.labels.key/value (descontinuado) additional.fields |
| message_correlation_id | about.labels.key/value (descontinuado) additional.fields |
| message_delivered_time | about.labels.key/value (descontinuado) additional.fields |
| message_delivery_mode | about.labels.key/value (descontinuado) additional.fields |
| message_expiration_time | about.labels.key/value (descontinuado) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (descontinuado) additional.fields |
| message_properties | about.labels.key/value (descontinuado) additional.fields |
| message_received_time | about.labels.key/value (descontinuado) additional.fields |
| message_redelivered | about.labels.key/value (descontinuado) additional.fields |
| message_reply_dest | target.labels.key/value (descontinuado) additional.fields |
| message_type | about.labels.key/value (descontinuado) additional.fields |
| parâmetros | about.labels.key/value (descontinuado) additional.fields |
| payload | about.labels.key/value (descontinuado) additional.fields |
| payload_type | about.labels.key/value (descontinuado) additional.fields |
| request_payload | about.labels.key/value (descontinuado) additional.fields |
| request_payload_type | about.labels.key/value (descontinuado) additional.fields |
| request_sent_time | about.labels.key/value (descontinuado) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (descontinuado) additional.fields |
| response_received_time | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| return_message | about.labels.key/value (descontinuado) additional.fields |
| rpc_protocol | network.application_protocol |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
IDS_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados IDS_Attacks do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (descontinuado) additional.fields |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
DS_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados DS_Attacks do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_port | target.port |
All_Inventory
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Inventory do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| hypervisor_id | about.labels.key/value (descontinuado) additional.fields |
| serial | principal.asset.hardware.serial_number |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
CPU
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a CPU do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (descontinuado) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (descontinuado) additional.fields |
| cpu_time | about.labels.key/value (descontinuado) additional.fields |
| cpu_user_percent | about.labels.key/value (descontinuado) additional.fields |
Memória
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a memória do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (descontinuado) additional.fields |
| heap_initial | about.labels.key/value (descontinuado) additional.fields |
| heap_max | about.labels.key/value (descontinuado) additional.fields |
| heap_used | about.labels.key/value (descontinuado) additional.fields |
| non_heap_committed | about.labels.key/value (descontinuado) additional.fields |
| non_heap_initial | about.labels.key/value (descontinuado) additional.fields |
| non_heap_max | about.labels.key/value (descontinuado) additional.fields |
| non_heap_used | about.labels.key/value (descontinuado) additional.fields |
| objects_pending | about.labels.key/value (descontinuado) additional.fields |
| mem | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (descontinuado) additional.fields |
| mem_free | about.labels.key/value (descontinuado) additional.fields |
| mem_used | about.labels.key/value (descontinuado) additional.fields |
| swap | about.labels.key/value (descontinuado) additional.fields |
| swap_free | about.labels.key/value (descontinuado) additional.fields |
| swap_used | about.labels.key/value (descontinuado) additional.fields |
network
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a rede do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (descontinuado) additional.fields |
| inline_nat | about.labels.key/value (descontinuado) additional.fields |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (descontinuado) additional.fields |
| mac | principal.asset.mac |
| name | principal.resource.name |
| nó | about.labels.key/value (descontinuado) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (descontinuado) additional.fields |
| thruput | about.labels.key/value (descontinuado) additional.fields |
| thruput_max | about.labels.key/value (descontinuado) additional.fields |
SO
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o SO do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (descontinuado) additional.fields |
| cpu_time | about.labels.key/value (descontinuado) additional.fields |
| free_physical_memory | about.labels.key/value (descontinuado) additional.fields |
| free_swap | about.labels.key/value (descontinuado) additional.fields |
| max_file_descriptors | about.labels.key/value (descontinuado) additional.fields |
| open_file_descriptors | about.labels.key/value (descontinuado) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (descontinuado) additional.fields |
| os_version | about.labels.key/value (descontinuado) additional.fields |
| physical_memory | about.labels.key/value (descontinuado) additional.fields |
| swap_space | about.labels.key/value (descontinuado) additional.fields |
| system_load | about.labels.key/value (descontinuado) additional.fields |
| total_processors | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
Armazenamento
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o armazenamento do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| matriz | about.labels.key/value (descontinuado) additional.fields |
| blocksize | about.labels.key/value (descontinuado) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (descontinuado) additional.fields |
| latência | about.labels.key/value (descontinuado) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| primária | principal.resource.parent |
| read_blocks | about.labels.key/value (descontinuado) additional.fields |
| read_latency | about.labels.key/value (descontinuado) additional.fields |
| read_ops | about.labels.key/value (descontinuado) additional.fields |
| armazenamento | about.labels.key/value (descontinuado) additional.fields |
| write_blocks | about.labels.key/value (descontinuado) additional.fields |
| write_latency | about.labels.key/value (descontinuado) additional.fields |
| write_ops | about.labels.key/value (descontinuado) additional.fields |
| matriz | about.labels.key/value (descontinuado) additional.fields |
| blocksize | about.labels.key/value (descontinuado) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (descontinuado) additional.fields |
| fd_used | about.labels.key/value (descontinuado) additional.fields |
| latência | about.labels.key/value (descontinuado) additional.fields |
| mount | about.labels.key/value (descontinuado) additional.fields |
| primária | principal.resource.parent |
| read_blocks | about.labels.key/value (descontinuado) additional.fields |
| read_latency | about.labels.key/value (descontinuado) additional.fields |
| read_ops | about.labels.key/value (descontinuado) additional.fields |
| armazenamento | about.labels.key/value (descontinuado) additional.fields |
| storage_free | about.labels.key/value (descontinuado) additional.fields |
| storage_free_percent | about.labels.key/value (descontinuado) additional.fields |
| storage_used | about.labels.key/value (descontinuado) additional.fields |
| storage_used_percent | about.labels.key/value (descontinuado) additional.fields |
| write_blocks | about.labels.key/value (descontinuado) additional.fields |
| write_latency | about.labels.key/value (descontinuado) additional.fields |
| write_ops | about.labels.key/value (descontinuado) additional.fields |
| error_code | security_result.description |
| operação | about.labels.key/value (descontinuado) additional.fields |
| storage_name | about.resource.name |
Usuário
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o usuário do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| interativo | about.labels.key/value (descontinuado) additional.fields |
| senha | about.labels.key/value (descontinuado) additional.fields |
| shell | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Virtual_OS do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| hipervisor | about.labels.key/value (descontinuado) additional.fields |
Snapshot
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o snapshot do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| tamanho | about.file.size |
| snapshot | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
JVM
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a JVM do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| jvm_description | security_result.description |
| tag | about.labels.key/value (descontinuado) additional.fields |
Linha de execução
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a Threading do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| cm_enabled | about.labels.key/value (descontinuado) additional.fields |
| cm_supported | about.labels.key/value (descontinuado) additional.fields |
| cpu_time_enabled | about.labels.key/value (descontinuado) additional.fields |
| cpu_time_supported | about.labels.key/value (descontinuado) additional.fields |
| current_cpu_time | about.labels.key/value (descontinuado) additional.fields |
| current_user_time | about.labels.key/value (descontinuado) additional.fields |
| daemon_thread_count | about.labels.key/value (descontinuado) additional.fields |
| omu_supported | about.labels.key/value (descontinuado) additional.fields |
| peak_thread_count | about.labels.key/value (descontinuado) additional.fields |
| synch_supported | about.labels.key/value (descontinuado) additional.fields |
| thread_count | about.labels.key/value (descontinuado) additional.fields |
| threads_started | about.labels.key/value (descontinuado) additional.fields |
Ambiente de execução
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o ambiente de execução do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| version | about.labels.key/value (descontinuado) additional.fields |
Compilação
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a compilação do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| compilation_time | about.labels.key/value (descontinuado) additional.fields |
Carregamento de classe
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Classloading:
| Campo de registro | Mapeamento de UDM |
|---|---|
| current_loaded | about.labels.key/value (descontinuado) additional.fields |
| total_loaded | about.labels.key/value (descontinuado) additional.fields |
| total_unloaded | about.labels.key/value (descontinuado) additional.fields |
Malware_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Attacks do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| data | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_path | target.file.full_path |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Malware_Operations
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Operations do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| product_version | about.labels.key/value (descontinuado) additional.fields |
| signature_version | security_result.rule_version |
| tag | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Malware_Operations
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Operations do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_category | target.labels.key/value (descontinuado) additional.fields |
DNS
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o DNS do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| additional_answer_count | about.labels.key/value (descontinuado) additional.fields |
| resposta | network.dns.answer.data |
| answer_count | about.labels.key/value (descontinuado) additional.fields |
| authority_answer_count | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value (descontinuado) additional.fields |
| name | about.labels.key/value (descontinuado) additional.fields |
| consulta | network.dns.questions.name |
| query_count | about.labels.key/value (descontinuado) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (descontinuado) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transaction_id | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Sessions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Sessions do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_dns | target.labels.key/value (descontinuado) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_dns | principal.labels.key/value (descontinuado) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
DHCP
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o DHCP do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (descontinuado) additional.fields |
All_Traffic
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Traffic:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | network.application_protocol |
| bytes | about.labels.key/value (descontinuado) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| canal | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_interface | target.labels.key/value (descontinuado) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direção | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_ip | about.labels.key/value (descontinuado) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (descontinuado) additional.fields |
| icmp_code | about.labels.key/value (descontinuado) additional.fields |
| icmp_type | about.labels.key/value (descontinuado) additional.fields |
| pacotes | about.labels.key/value (descontinuado) additional.fields |
| packets_in | about.labels.key/value (descontinuado) additional.fields |
| packets_out | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| protocol_version | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| regra | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_interface | principal.labels.key/value (descontinuado) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| tcp_flag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
| tos | about.labels.key/value (descontinuado) additional.fields |
| ttl | network.dns.additional.ttl |
| usuário | principal.user.userid |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| vlan | about.labels.key/value (descontinuado) additional.fields |
| Wi-Fi | about.labels.key/value (descontinuado) additional.fields |
All_Performance
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Performance:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| hypervisor_id | about.labels.key/value (descontinuado) additional.fields |
| resource_type | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
Instalações
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados do Splunk Facilities:
| Campo de registro | Mapeamento de UDM |
|---|---|
| fan_speed | about.labels.key/value (descontinuado) additional.fields |
| power | about.labels.key/value (descontinuado) additional.fields |
| temperatura | about.labels.key/value (descontinuado) additional.fields |
Timesync
A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o conjunto de dados Timesync do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
Tempo de atividade
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o tempo de atividade do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
View_Activity
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o conjunto de dados View_Activity do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| app | target.application |
| gasto | about.labels.key/value (descontinuado) additional.fields |
| URI | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| visualizar | about.labels.key/value (descontinuado) additional.fields |
Datamodel_Acceleration
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Datamodel_Acceleration do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| access_count | about.labels.key/value (descontinuado) additional.fields |
| access_time | about.labels.key/value (descontinuado) additional.fields |
| app | target.application |
| buckets | about.labels.key/value (descontinuado) additional.fields |
| buckets_size | about.labels.key/value (descontinuado) additional.fields |
| complete | about.labels.key/value (descontinuado) additional.fields |
| cron | about.labels.key/value (descontinuado) additional.fields |
| datamodel | about.labels.key/value (descontinuado) additional.fields |
| resumo | about.labels.key/value (descontinuado) additional.fields |
| mais antiga | about.labels.key/value (descontinuado) additional.fields |
| is_inprogress | about.labels.key/value (descontinuado) additional.fields |
| last_error | about.labels.key/value (descontinuado) additional.fields |
| last_sid | about.labels.key/value (descontinuado) additional.fields |
| mais recente | about.labels.key/value (descontinuado) additional.fields |
| mod_time | about.labels.key/value (descontinuado) additional.fields |
| e grupos | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.file.size |
| summary_id | about.labels.key/value (descontinuado) additional.fields |
Search_Activity
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Search_Activity do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| host | about.hostname |
| informações | about.labels.key/value (descontinuado) additional.fields |
| search | about.labels.key/value (descontinuado) additional.fields |
| search_et | about.labels.key/value (descontinuado) additional.fields |
| search_lt | about.labels.key/value (descontinuado) additional.fields |
| search_type | about.labels.key/value (descontinuado) additional.fields |
| source | principal.labels.key/value (descontinuado) additional.fields |
| sourcetype | principal.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Scheduler_Activity:
| Campo de registro | Mapeamento de UDM |
|---|---|
| app | target.application |
| host | about.hostname |
| savedsearch_name | about.labels.key/value (descontinuado) additional.fields |
| sid | about.labels.key/value (descontinuado) additional.fields |
| source | principal.labels.key/value (descontinuado) additional.fields |
| sourcetype | principal.labels.key/value (descontinuado) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| status | security_result.summary |
| usuário | principal.user.user_display_name |
Web_Service_Errors
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Web_Service_Errors:
| Campo de registro | Mapeamento de UDM |
|---|---|
| host | about.hostname |
| source | principal.labels.key/value (descontinuado) additional.fields |
| sourcetype | principal.labels.key/value (descontinuado) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Modular_Actions do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| action_mode | about.labels.key/value (descontinuado) additional.fields |
| action_status | about.labels.key/value (descontinuado) additional.fields |
| app | target.application |
| duration | network.session_duration |
| componente | about.labels.key/value (descontinuado) additional.fields |
| orig_rid | about.labels.key/value (descontinuado) additional.fields |
| orig_sid | about.labels.key/value (descontinuado) additional.fields |
| livrar | about.labels.key/value (descontinuado) additional.fields |
| search_name | about.labels.key/value (descontinuado) additional.fields |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value (descontinuado) additional.fields |
| usuário | about.labels.key/value (descontinuado) additional.fields |
All_Ticket_Management
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Ticket_Management do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| affect_dest | target.labels.key/value (descontinuado) additional.fields |
| comentários | about.labels.key/value (descontinuado) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| prioridade | security_result.priority_details |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| splunk_id | about.labels.key/value (descontinuado) additional.fields |
| splunk_realm | about.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Alterar
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a mudança do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| alterar | about.labels.key/value (descontinuado) additional.fields |
Incidente
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados de incidentes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| incidente | about.labels.key/value (descontinuado) additional.fields |
Problema
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o problema do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| problema | about.labels.key/value (descontinuado) additional.fields |
Atualizações
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as atualizações do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Vulnerabilidades
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as vulnerabilidades do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| bugtraq | about.labels.key/value (descontinuado) additional.fields |
| categoria | security_result.category_details |
| cert | about.labels.key/value (descontinuado) additional.fields |
| cve | vulnerabilites.cve_description |
| csv | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| msft | about.labels.key/value (descontinuado) additional.fields |
| mskb | about.labels.key/value (descontinuado) additional.fields |
| gravidade, | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (descontinuado) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| usuário | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| xref | about.labels.key/value (descontinuado) additional.fields |
Web
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados da Web do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| bytes | about.labels.key/value (descontinuado) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| em cache | about.labels.key/value (descontinuado) additional.fields |
| categoria | security_result.category_details |
| biscoito | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value (descontinuado) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (descontinuado) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| site | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| status | network.http.response_code |
| tag | about.labels.key/value (descontinuado) additional.fields |
| uri_path | about.labels.key/value (descontinuado) additional.fields |
| uri_query | about.labels.key/value (descontinuado) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Tipos de eventos da UDM
A tabela a seguir lista as tags do Splunk e os tipos de evento do UDM correspondentes:
| Modelo de dados | Tags do Splunk | Tipo de evento de UDM |
|---|---|---|
| Alertas | alerta | STATUS_UPDATE |
| Authentication | authentication | USER_UNCATEGORIZED |
| Certificado | certificado | NETWORK_UNCATEGORIZED |
| Alterar | alterar | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Acesso aos dados | dados, acessar | USER_RESOURCE_ACCESS |
| Bancos de dados | database | USER_RESOURCE_ACCESS |
| Bancos de dados | banco de dados, instância, estatísticas | STATUS_UPDATE |
| Bancos de dados | banco de dados, instância, status | STATUS_UPDATE |
| Bancos de dados | banco de dados, instância, bloqueio | STATUS_UPDATE |
| Bancos de dados | banco de dados, consulta | STATUS_UPDATE |
| Bancos de dados | banco de dados, consulta, espaço de tabela | STATUS_UPDATE |
| Bancos de dados | banco de dados, consulta, estatísticas | STATUS_UPDATE |
| Prevenção contra perda de dados | dlp, incidente | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| e-mail, entrega | EMAIL_TRANSACTION | |
| Endpoint | escuta, porta | SERVICE_UNSPECIFIED |
| Endpoint | processo, relatório | PROCESS_UNCATEGORIZED |
| Endpoint | serviço, relatório | SERVICE_UNSPECIFIED |
| Endpoint | endpoint, filesystem | FILE_UNCATEGORIZED |
| Endpoint | endpoint, registro | REGISTRY_UNCATEGORIZED |
| Assinatura do evento | track_event_signature | STATUS_UPDATE |
| Mensagens entre processos | envio de mensagem | STATUS_UPDATE |
| Detecção de instruções | IDs, ataque | SERVICE_UNSPECIFIED |
| Inventário | inventário | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Máquina virtual Java (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | malware | STATUS_UPDATE |
| Resolução de rede (DNS) | rede, resolução, dns | NETWORK_DNS |
| Sessões de rede | rede, sessão | NETWORK_CONNECTION |
| Sessões de rede | rede, sessão, dhcp | NETWORK_DHCP |
| Tráfego de rede | rede, se comunicar | NETWORK_CONNECTION |
| Desempenho | desempenho | SERVICE_UNSPECIFIED |
| Registros de auditoria do Splunk | modificação | STATUS_UPDATE |
| Gerenciamento de tíquetes | venda de ingressos | STATUS_UPDATE |
| Gerenciamento de tíquetes | venda de ingressos, alterar | STATUS_UPDATE |
| Atualizações | update | STATUS_UPDATE |
| Vulnerabilidades | relatório, vulnerabilidades | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |