Splunk-CIM-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Splunk Common Information Model (CIM)-Logs erfassen können, indem Sie Splunk und einen Chronicle-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Logtypen und unterstützten Splunk-Versionen aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Chronicle.

Überblick

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie Splunk-Agents so konfiguriert werden, dass Logs an Chronicle gesendet werden. Jede Kundenbereitstellung kann sich von dieser Darstellung unterscheiden und komplexer sein.

Bereitstellungsarchitektur

Das Architekturdiagramm zeigt die folgenden Komponenten:

  • Datenquelle: Das zu überwachende System, in dem Splunk installiert ist.

  • Splunk: Erfasst Informationen aus der Datenquelle und leitet sie an den Chronicle-Forwarder weiter.

  • Chronicle-Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Chronicle weiterzuleiten.

  • Chronicle: Bewahrt und analysiert die Logs des Flottenservers.

Ein Aufnahmelabel identifiziert den Parser, der die Log-Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel SPLUNK.

Hinweise

  • Verwenden Sie die vom Chronicle-Parser unterstützte Splunk Version 5.0.

  • Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

Splunk-Agent und Chronicle-Forwarder konfigurieren

  1. Richte Splunk Enterprise ein.

  2. Installieren Sie einen CIM-kompatiblen Agent von Splunkbase.

  3. Chronicle-Forwarder einrichten

  4. Konfigurieren Sie einen Chronicle-Forwarder, um die Logs in das Chronicle-System zu übertragen. Im Folgenden finden Sie ein Beispiel für eine Chronicle-Forwarderkonfiguration:

      - splunk:
          common:
            enabled: true
            data_type: SPLUNK
            batch_n_seconds: 10
            batch_n_bytes: 819200
          url: <SPLUNK_URL>
          query_cim: true
          is_ignore_cert: true
          query_string: datamodel Network_Traffic All_Traffic flat
    

Überlegungen zum Schreiben von Splunk-Suchanfragen

Splunk hat eine eigene Suchsprache, die SQL ähnelt. Achten Sie darauf, die richtige Syntax für Ihre Suchanfrage zu verwenden. Berücksichtigen Sie beim Erstellen einer Abfrage die folgenden Suchmerkmale:

Escape-Zeichen

Wenn ein Stringwert ein doppeltes Anführungszeichen (") enthält, verwenden Sie umgekehrte Schrägstriche, um die Anführungszeichen zu maskieren. Andernfalls wird das Ende des Stringwerts bei der Suche falsch interpretiert.

Beispiel: Wenn Sie nach einem String WHERE _raw="The user "vpatel" isn't authenticated." suchen möchten, müssen Sie die Sequenz \" verwenden, um nach einem literalen doppelten Anführungszeichen zu suchen.

Schreiben Sie den Suchstring im folgenden Format:

WHERE _raw="The user \"vpatel\" isn't authenticated."

Um den umgekehrten Schrägstrich \ als Escapezeichen zu maskieren, suchen Sie mit der Abfolge \\ nach einem umgekehrten Schrägstrich.

Ein String wie C:\user\abc muss beispielsweise als C:\\user\\abc geschrieben werden.

Wenn ein Abschnitt der Abfrage ungültig ist, wird die gesamte Abfrage nicht ausgewertet und eine Fehlermeldung wird angezeigt.

Im folgenden Beispiel fehlt die Option für den Suchmodus in der Abfrage:

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

In diesem Beispiel fehlt die Option „Suchmodus“ in der Abfrage. Dies führt zu folgendem Fehler:

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Unterstützung mehrerer Datenmodelle

Splunk unterstützt eine einzelne große Abfrage, die Datenmodelle umfasst. Mit der folgenden Suchanfrage werden Daten aus mehreren Datenmodellen extrahiert:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Dies sind die Komponenten dieser Abfrage, die Datenmodelle umfassen:

Multisearch: Die Abfrage muss mit dem Wort multisearch beginnen. Eine Abfrage für ein Datenmodell muss in eckige Klammern [ ] gesetzt werden und mit einem senkrechten |-Zeichen beginnen.

Network_Traffic: Der Name des Datenmodells.

All_Traffic: Dataset des Datenmodells Network_Traffic.

flat: Suchmodus. Die anderen Optionen sind search und acceleration_search.

Wir empfehlen die folgende Splunk-Abfrage für die Suche mit mehreren Datenmodellen:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Unterstützte Logtypen und Datenmodelle

Splunk-Datenmodell Unterstützt
Benachrichtigungen Ja
Anwendungsstatus (eingestellt) Nein
Authentifizierung Ja
Zertifikate Ja
Ändern Ja
Veränderungsanalyse (eingestellt) Nein
Datenzugriff Ja
Datenbanken Ja
Schutz vor Datenverlust Ja
E-Mail Ja
Endpunkt Ja
Terminsignaturen Ja
Kommunikation zwischen Prozessen Ja
Einbruchserkennung Ja
Inventar Ja
Virtuelle Java-Maschinen (JVM) Ja
Malware Ja
Netzwerkauflösung (DNS) Ja
Netzwerksitzungen Ja
Netzwerkverkehr Ja
Leistung Ja
Splunk-Audit-Logs Ja
Ticketverwaltung Ja
Updates Ja
Sicherheitslücken Ja
Web Ja

Referenz zur Feldzuordnung

In diesem Abschnitt wird erläutert, wie der Chronicle-Parser Splunk-Logfelder für die Datasets den UDM-Feldern (Chronicle Unified Data Model) zuordnet. Weitere Informationen finden Sie im Splunk-Dokument für Version 5.0.1.

Benachrichtigungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Benachrichtigungen des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
App observer.application
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_type target.resource.resource_type
id metadata.product_log_id
mitre_technique_id security_result.detection_fields.labels.key/value
Schweregrad security_result.severity
severity_id about.labels.key/value
Signatur metadata.description
signature_id security_result.rule_name
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_type principal.resource.resource_type
Tag about.labels.key/value
Typ security_result.alert_state
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_name principal.user.userid
user_priority principal.user.attribute.label.key/value
vendor_account about.labels.key/value
vendor_region about.location.country_or_region

Authentifizierung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Authentifizierung des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
App target.application
authentication_method about.labels.key/value
authentication_service extension.auth.auth_details
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_nt_domain target.labels.key/value
dest_priority target.labels.key/value
Dauer network.session_duration
reason security_result.summary
response_time about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_nt_domain principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_id principal.user.userid
src_user_priority principal.labels.key/value
src_user_role principal.user.attribute.roles.name (wiederholt)
src_user_type principal.user.attribute.roles.type
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_agent network.http.user_agent
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value
user_role principal.user.attribute.roles.name (wiederholt)
user_type principal.user.attribute.roles.type
vendor_account about.labels.key/value

All_Certificates

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Certificates“ aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
Dauer network.session_duration
response_time about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_port principal.port
src_priority principal.labels.key/value
Tag about.labels.key/value
transport network.ip_protocol

SSL

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die SSL-Version des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
ssl_end_time network.tls.server.certificate.not_after
ssl_engine about.labels.key/value
ssl_hash about.labels.key/value
ssl_is_valid about.labels.key/value
ssl_issuer network.tls.server.certificate.issuer
ssl_issuer_common_name about.labels.key/value
ssl_issuer_email about.labels.key/value
ssl_issuer_email_domain about.labels.key/value
ssl_issuer_locality about.labels.key/value
ssl_issuer_organization about.labels.key/value
ssl_issuer_state about.labels.key/value
ssl_issuer_street about.labels.key/value
ssl_issuer_unit about.labels.key/value
ssl_name about.labels.key/value
ssl_policies about.labels.key/value
ssl_publickey about.labels.key/value
ssl_publickey_algorithm about.labels.key/value
ssl_serial network.tls.server.certificate.serial
ssl_session_id network.session_id
ssl_signature_algorithm about.labels.key/value
ssl_start_time network.tls.server.certificate.not_before
ssl_subject network.tls.server.certificate.subject
ssl_subject_common_name about.labels.key/value
ssl_subject_email about.labels.key/value
ssl_subject_email_domain about.labels.key/value
ssl_subject_locality about.labels.key/value
ssl_subject_organization about.labels.key/value
ssl_subject_state about.labels.key/value
ssl_subject_street about.labels.key/value
ssl_subject_unit about.labels.key/value
ssl_validity_window about.labels.key/value
ssl_version network.tls.server.certificate.version

All_Changes

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Changes“ aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
change_type security_result.category_details
Befehl principal.process.command_line
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVD Hauptkonto.asset.hostname, principal.asset.ip
Objekt target.resource.name
object_attrs about.labels.key/value
object_category about.labels.key/value
object_id target.user.product_object_id
object_path target.file.full_path
Ergebnis metadata.description
result_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
Status security_result.summary
Tag about.labels.key/value
Nutzer target.user.userid
user_agent network.http.user_agent
user_name principal.user.user_display_name, target.labels.key/value
user_type hauptkonto.nutzer.attribute.roles.type, target.user.attribute.roles.type
vendor_account about.labels.key/value
vendor_product about.labels.key/value
vendor_region about.location.country_or_region

Account_Management

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Account_Management aufgeführt:

Logfeld UDM-Zuordnung
dest_nt_domain target.administrative_domain
src_nt_domain principal.administrative_domain
src_user principal.user.userid
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
src_user_name principal.labels.key/value
src_user_type principal.user.attribute.roles.type

Instance_Changes

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Instance_Changes“ aufgeführt:

Logfeld UDM-Zuordnung
image_id principal.asset_id
instance_type about.labels.key/value

network_Changes

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „network_Changes“ aufgeführt:

Logfeld UDM-Zuordnung
dest_ip_range target.labels.key/value
dest_port_range target.labels.key/value
direction network.direction
Protokoll network.ip_protocol
rule_action security_result.action_details
security_result.action
src_ip_range principal.labels.key/value
src_port_range principal.labels.key/value

Data_Access

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Data_Access aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
App target.application
app_id metadata.product_log_id
dest target.ip, target.hostname, target.labels.key/value
dest_name target.administrative_domain
dest_url target.url
DVD Hauptkonto.asset.hostname, principal.asset.ip
E‑Mail principal.user.email_addresses
Objekt target.resource.name
object_category about.labels.key/value
object_id target.user.product_object_id
object_path target.file.full_path
object_size target.file.size
Inhaber about.labels.key/value
owner_email about.labels.key/value
owner_id principal.user.userid
parent_object target.resource.parent
parent_object_id about.labels.key/value
parent_object_category about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
tenant_id about.labels.key/value
Nutzer principal.user.user_display_name
user_agent network.http.user_agent
user_group principal.user.group_identifiers(repeated)
user_role principal.user.attribute.roles.name (wiederholt)
vendor_product about.labels.key/value
vendor_product_id about.labels.key/value

All_Databases

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Databases“ aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
Dauer network.session_duration
Objekt target.resource.name
response_time about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Database_Instance

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Database_Instance aufgeführt:

Logfeld UDM-Zuordnung
instance_name target.resource.attributes.key/value
instance_version target.resource.attributes.key/value
process_limit about.labels.key/value
session_limit about.labels.key/value

Database_Query

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Database_Query aufgeführt:

Logfeld UDM-Zuordnung
Abfrage about.labels.key/value
query_id about.labels.key/value
query_time about.labels.key/value
records_affected about.labels.key/value

Instance_Stats

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Instance_Stats“ aufgeführt:

Logfeld UDM-Zuordnung
Verfügbarkeit about.labels.key/value
avg_executions about.labels.key/value
dump_area_used about.labels.key/value
instance_reads about.labels.key/value
instance_writes about.labels.key/value
number_of_users about.labels.key/value
Verfahren about.labels.key/value
Sitzungen about.labels.key/value
sga_buffer_cache_size about.labels.key/value
sga_buffer_hit_limit about.labels.key/value
sga_data_dict_hit_ratio about.labels.key/value
sga_fixed_area_size about.labels.key/value
sga_free_memory about.labels.key/value
sga_library_cache_size about.labels.key/value
sga_redo_log_buffer_size about.labels.key/value
sga_shared_pool_size about.labels.key/value
sga_sql_area_size about.labels.key/value
start_time about.labels.key/value
tablespace_used about.labels.key/value

Session_Info

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Session_Info“ aufgeführt:

Logfeld UDM-Zuordnung
buffer_cache_hit_ratio about.labels.key/value
Commits about.labels.key/value
cpu_used about.labels.key/value
cursor about.labels.key/value
elapsed_time about.labels.key/value
logical_reads about.labels.key/value
Maschine about.hostname
memory_sorts about.labels.key/value
physical_reads about.labels.key/value
seconds_in_wait about.labels.key/value
session_id network.session_id
session_status about.labels.key/value
table_scans about.labels.key/value
wait_state about.labels.key/value
wait_time about.labels.key/value

Lock_Info

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Lock_Info aufgeführt:

Logfeld UDM-Zuordnung
last_call_minute about.labels.key/value
lock_mode about.labels.key/value
lock_session_id about.labels.key/value
logon_time about.labels.key/value
obj_name about.labels.key/value
os_pid target.process.pid
serial_num target.resource.product_object_id

Tablespace

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Tablespace aufgeführt:

Logfeld UDM-Zuordnung
free_bytes about.file.size
tablespace_name about.resource.name
tablespace_reads about.labels.key/value
tablespace_status about.labels.key/value
tablespace_writes about.labels.key/value

Query_Stats

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Query_Stats aufgeführt:

Logfeld UDM-Zuordnung
indexes_hit about.labels.key/value
query_plan_hit about.labels.key/value
stored_procedures_called about.labels.key/value
tables_hit about.labels.key/value

DLP_Incidents

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset DLP_Incidents aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
App target.application
category security_result.category_details
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_zone target.location.country_or_origin
dlp_type about.labels.key/value
DVD Hauptkonto.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
dvc_zone principal.asset.location.country_or_region
Objekt target.resource.name
object_category about.labels.key/value
object_path target.file.full_path
Schweregrad security_result.severity
severity_id about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
src_zone principal.location.country_or_origin
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

All_Email

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Email“ aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
delay about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
Dauer network.session_duration
file_hash about.file.sha256, about.file.md5, about.file.sha1
file_name about.labels.key/value
file_size about.file.size
internal_message_id metadata.product_log_id
message_id network.email.mail_id
message_info about.labels.key/value
orig_dest target.labels.key/value
orig_recipient about.labels.key/value
orig_src network.email.from
process principal.process.command_line
process_id principal.process.pid
Protokoll network.application_protocol
Empfänger network.email.to
recipient_count about.labels.key/value
recipient_domain about.labels.key/value
recipient_status about.labels.key/value
response_time about.labels.key/value
retries about.labels.key/value
return_addr about.labels.key/value
Größe about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.email_addresses
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_domain principal.administrative_domain
src_user_priority principal.labels.key/value
status_code about.labels.key/value
subject network.email.subject(repeated)
Tag about.labels.key/value
URL about.url
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value
Xdelay about.labels.key/value
XRef about.labels.key/value

Wird gefiltert

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Filtering“ aufgeführt:

Logfeld UDM-Zuordnung
filter_action about.labels.key/value
filter_score about.labels.key/value
Signatur metadata.description
signature_extra about.labels.key/value
signature_id metadata.product_event_type

Ports

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Ports des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
creation_time about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
src principal.ip, principal.hostname, principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_port principal.port
src_requires_av principal.labels.key/value
src_should_timesync principal.labels.key/value
src_should_update principal.labels.key/value
state about.labels.key/value
Tag about.labels.key/value
transport network.ip_protocol
transport_dest_port target.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Prozesse

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Prozesse aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
cpu_load_percent about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_is_expected target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
mem_used about.labels.key/value
original_file_name src.file.full_path
os principal.asset.platform_software.platform_version
parent_process about.labels.key/value
parent_process_exec about.labels.key/value
parent_process_id principal.process.parent_process.parent_pid
parent_process_guid principal.process.parent_process.product_specific_process_id
parent_process_name about.labels.key/value
parent_process_path principal.process.parent_process.command_line
process about.labels.key/value
process_current_directory about.labels.key/value
process_exec about.labels.key/value
process_hash principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
process_integrity_level security_result.severity
process_name principal.process.command_line
process_path principal.process.file.full_path
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_id principal.user.userid
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Dienste

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Dienste aufgeführt:

Logfeld UDM-Zuordnung
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_is_expected target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
Dienst target.application
service_dll about.labels.key/value
service_dll_path about.file.full_path
service_dll_hash about.labels.key/value
service_dll_signature_exists about.labels.key/value
service_dll_signature_verified about.labels.key/value
service_exec target.process.file.full_path
service_hash about.labels.key/value
service_id about.labels.key/value
service_name about.labels.key/value
service_path about.labels.key/value
service_signature_exists about.labels.key/value
service_signature_verified about.labels.key/value
start_mode about.labels.key/value
Status security_result.summary
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Dateisystem

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset-Dateisystem aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
file_access_time about.labels.key/value
file_create_time target.asset.attribute.creation_time
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_modify_time about.labels.key/value
file_name about.labels.key/value
file_path target.file.full_path
file_acl about.labels.key/value
file_size target.file.size
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Registry

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzregistrierung aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
registry_hive about.labels.key/value
registry_path about.labels.key/value
registry_key_name target.registry.registry_key
registry_value_data target.registry.registry_value_data
registry_value_name target.registry.registry_value_name
registry_value_text about.labels.key/value
registry_value_type about.labels.key/value
Status security_result.summary
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Signaturen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Signaturen aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
Tag about.labels.key/value

Signatures_vendor_product

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Signatures_vendor_product“ aufgeführt:

Logfeld UDM-Zuordnung
vendor_product about.labels.key/value

All_Interprocess_Messaging

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Interprocess_Messaging“ aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
Dauer network.session_duration
Endpunkt about.labels.key/value
endpoint_version about.labels.key/value
nachricht about.labels.key/value
message_consumed_time about.labels.key/value
message_correlation_id about.labels.key/value
message_delivered_time about.labels.key/value
message_delivery_mode about.labels.key/value
message_expiration_time about.labels.key/value
message_id metadata.product.log_id
message_priority about.labels.key/value
message_properties about.labels.key/value
message_received_time about.labels.key/value
message_redelivered about.labels.key/value
message_reply_dest target.labels.key/value
message_type about.labels.key/value
Parameter about.labels.key/value
payload about.labels.key/value
payload_type about.labels.key/value
request_payload about.labels.key/value
request_payload_type about.labels.key/value
request_sent_time about.labels.key/value
response_code network.http.response_code
response_payload_type about.labels.key/value
response_received_time about.labels.key/value
response_time about.labels.key/value
return_message about.labels.key/value
rpc_protocol network.application_protocol
Status security_result.summary
Tag about.labels.key/value

IDS_Attacks

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset IDS_Attacks aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
category security_result.category_details
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVD Hauptkonto.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
file_path target.file.full_path
ids_type about.labels.key/value
Schweregrad security_result.severity
severity_id about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_port principal.port
Tag about.labels.key/value
transport network.ip_protocol
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

DS_Attacks

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset DS_Attacks aufgeführt:

Logfeld UDM-Zuordnung
dest_port target.port

All_Inventory

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Inventory“ aufgeführt:

Logfeld UDM-Zuordnung
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
aktiviert about.labels.key/value
Familie about.labels.key/value
hypervisor_id about.labels.key/value
serial principal.asset.hardware.serial_number
Status security_result.summary
Tag about.labels.key/value
vendor_product about.labels.key/value
version about.labels.key/value

CPU

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die CPU des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
cpu_cores principal.asset.hardware.cpu_number_cores
cpu_count about.labels.key/value
cpu_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_percent about.labels.key/value
cpu_time about.labels.key/value
cpu_user_percent about.labels.key/value

Arbeitsspeicher

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Speicher des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
mem principal.asset.hardware.ram
heap_committed about.labels.key/value
heap_initial about.labels.key/value
heap_max about.labels.key/value
heap_used about.labels.key/value
non_heap_committed about.labels.key/value
non_heap_initial about.labels.key/value
non_heap_max about.labels.key/value
non_heap_used about.labels.key/value
objects_pending about.labels.key/value
mem principal.asset.hardware.ram
mem_committed about.labels.key/value
mem_free about.labels.key/value
mem_used about.labels.key/value
Swap-Speicher about.labels.key/value
swap_free about.labels.key/value
swap_used about.labels.key/value

Netzwerk

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset-Netzwerk aufgeführt:

Logfeld UDM-Zuordnung
dest_ip target.ip
dns about.labels.key/value
inline_nat about.labels.key/value
Oberfläche about.labels.key/value
ip principal.asset.ip
lb_method about.labels.key/value
mac principal.asset.mac
name principal.resource.name
Knoten about.labels.key/value
node_port target.port
src_ip principal.ip
vip_port about.labels.key/value
Thruput about.labels.key/value
thruput_max about.labels.key/value

Betriebssystem

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Betriebssystem des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
os principal.asset.platform_software.platform_version
committed_memory about.labels.key/value
cpu_time about.labels.key/value
free_physical_memory about.labels.key/value
free_swap about.labels.key/value
max_file_descriptors about.labels.key/value
open_file_descriptors about.labels.key/value
os principal.asset.platform_software.platform_version
os_architecture about.labels.key/value
os_version about.labels.key/value
physical_memory about.labels.key/value
swap_space about.labels.key/value
system_load about.labels.key/value
total_processors about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type

Speicher

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Speicher des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
array about.labels.key/value
Blockgröße about.labels.key/value
Cluster about.resource.resource_type = "CLUSTER"
fd_max about.labels.key/value
Latenz about.labels.key/value
Mount principal.resource.attribute.labels.key/value
parent principal.resource.parent
read_blocks about.labels.key/value
read_latency about.labels.key/value
read_ops about.labels.key/value
Speicherplatz about.labels.key/value
write_blocks about.labels.key/value
write_latency about.labels.key/value
write_ops about.labels.key/value
array about.labels.key/value
Blockgröße about.labels.key/value
Cluster about.resource.resource_type = "CLUSTER"
fd_max about.labels.key/value
fd_used about.labels.key/value
Latenz about.labels.key/value
Mount about.labels.key/value
parent principal.resource.parent
read_blocks about.labels.key/value
read_latency about.labels.key/value
read_ops about.labels.key/value
Speicherplatz about.labels.key/value
storage_free about.labels.key/value
storage_free_percent about.labels.key/value
storage_used about.labels.key/value
storage_used_percent about.labels.key/value
write_blocks about.labels.key/value
write_latency about.labels.key/value
write_ops about.labels.key/value
error_code security_result.description
Vorgang about.labels.key/value
storage_name about.resource.name

Nutzer

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatznutzer aufgeführt:

Logfeld UDM-Zuordnung
interactive about.labels.key/value
Passwort about.labels.key/value
shell about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value

Virtual_OS

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Virtual_OS aufgeführt:

Logfeld UDM-Zuordnung
Hypervisor about.labels.key/value

Snapshot

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Snapshot des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
Größe about.file.size
snapshot about.labels.key/value
Zeit about.labels.key/value

JVM

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-JVM aufgeführt:

Logfeld UDM-Zuordnung
jvm_description security_result.description
Tag about.labels.key/value

Gewinde

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Threading aufgeführt:

Logfeld UDM-Zuordnung
cm_enabled about.labels.key/value
cm_supported about.labels.key/value
cpu_time_enabled about.labels.key/value
cpu_time_supported about.labels.key/value
current_cpu_time about.labels.key/value
current_user_time about.labels.key/value
daemon_thread_count about.labels.key/value
omu_supported about.labels.key/value
peak_thread_count about.labels.key/value
synch_supported about.labels.key/value
thread_count about.labels.key/value
threads_started about.labels.key/value

Laufzeit

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Laufzeit aufgeführt:

Logfeld UDM-Zuordnung
process_name principal.process.command_line
start_time about.labels.key/value
uptime about.labels.key/value
vendor_product about.labels.key/value
version about.labels.key/value

Kompilierung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzkompilierung aufgeführt:

Logfeld UDM-Zuordnung
compilation_time about.labels.key/value

Klassen laden

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Classloading“ aufgeführt:

Logfeld UDM-Zuordnung
current_loaded about.labels.key/value
total_loaded about.labels.key/value
total_unloaded about.labels.key/value

Malware_Attacks

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Malware_Attacks aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
category security_result.category_details
Datum about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_nt_domain target.administrative_domain
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
file_path target.file.full_path
Schweregrad security_result.severity
severity_id about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
URL about.url
vendor_product about.labels.key/value

Malware_Operations

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Malware_Operations aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_nt_domain target.labels.key/value
dest_nt_domain target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
product_version about.labels.key/value
signature_version security_result.rule_version
Tag about.labels.key/value
vendor_product about.labels.key/value

Malware_Operations

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Malware_Operations aufgeführt:

Logfeld UDM-Zuordnung
dest_category target.labels.key/value

DNS

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das DNS des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
additional_answer_count about.labels.key/value
answer network.dns.answer.data
answer_count about.labels.key/value
authority_answer_count about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
Dauer network.session_duration
message_type about.labels.key/value
name about.labels.key/value
Abfrage network.dns.questions.name
query_count about.labels.key/value
query_type network.dns.questions.type
record_type network.dns.answer.type(uint32)
reply_code about.labels.key/value
reply_code_id network.dns.response_code
response_time about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_port principal.port
src_priority principal.labels.key/value
Tag about.labels.key/value
transaction_id network.dns.id
transport network.ip_protocol
ttl about.labels.key/value
vendor_product about.labels.key/value

All_Sessions

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Sessions“ aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_dns target.labels.key/value
dest_ip network.dhcp.ciaddr
dest_mac network.dhcp.chaddr
dest_nt_host target.labels.key/value
dest_priority target.labels.key/value
Dauer network.session_duration
response_time about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_dns principal.labels.key/value
src_ip principal.ip
src_mac principal.mac
src_nt_host principal.labels.key/value
src_priority principal.labels.key/value
Tag about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

DHCP

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das DHCP des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
lease_duration network.dhcp.lease_time_second
lease_scope about.labels.key/value

All_Traffic

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Traffic“ aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
App network.application_protocol
Bytes about.labels.key/value
bytes_in network.received_bytes
bytes_out network.sent_bytes
channel about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_interface target.labels.key/value
dest_ip target.ip
dest_mac target.mac
dest_port target.port
dest_priority target.labels.key/value
dest_translated_ip target.nat_ip
dest_translated_port target.nat_port
dest_zone target.location.country_or_origin
direction network.direction
Dauer network.session_duration
DVD Hauptkonto.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_ip about.labels.key/value
dvc_mac principal.asset.mac
dvc_priority about.labels.key/value
dvc_zone principal.asset.location.country_or_region
flow_id about.labels.key/value
icmp_code about.labels.key/value
icmp_type about.labels.key/value
Pakete about.labels.key/value
packets_in about.labels.key/value
packets_out about.labels.key/value
Protokoll about.labels.key/value
protocol_version about.labels.key/value
response_time about.labels.key/value
Regel security_result.rule_id
session_id network.session_id
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_interface principal.labels.key/value
src_ip principal.ip
src_mac principal.mac
src_port principal.port
src_priority principal.labels.key/value
src_translated_ip principal.nat_ip
src_translated_port principal.nat_port
src_zone principal.location.country_or_origin
Ssid about.labels.key/value
Tag about.labels.key/value
tcp_flag about.labels.key/value
transport network.ip_protocol
tos about.labels.key/value
ttl network.dns.additional.ttl
Nutzer principal.user.userid
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_account about.labels.key/value
vendor_product about.labels.key/value
vlan about.labels.key/value
wlan about.labels.key/value

All_Performance

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Performance“ aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
hypervisor_id about.labels.key/value
resource_type about.labels.key/value
Tag about.labels.key/value

Räumlichkeiten

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Einrichtungen des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
fan_speed about.labels.key/value
power about.labels.key/value
Temperatur about.labels.key/value

Zeitsynchronisierung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Timesync aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action

Verfügbarkeit

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Betriebszeit des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
uptime about.labels.key/value

View_Activity

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset View_Activity aufgeführt:

Logfeld UDM-Zuordnung
App target.application
ausgegeben about.labels.key/value
uri about.labels.key/value
Nutzer principal.user.user_display_name
Ansicht about.labels.key/value

Datamodel_Acceleration

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Datamodel_Acceleration aufgeführt:

Logfeld UDM-Zuordnung
access_count about.labels.key/value
access_time about.labels.key/value
App target.application
Buckets about.labels.key/value
buckets_size about.labels.key/value
abgeschlossen about.labels.key/value
cron about.labels.key/value
Datenmodell about.labels.key/value
Hashwert about.labels.key/value
frühester about.labels.key/value
is_inprogress about.labels.key/value
last_error about.labels.key/value
last_sid about.labels.key/value
neueste about.labels.key/value
mod_time about.labels.key/value
Nachrichten about.labels.key/value
Größe about.file.size
summary_id about.labels.key/value

Search_Activity

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Search_Activity“ aufgeführt:

Logfeld UDM-Zuordnung
Host about.hostname
info about.labels.key/value
search about.labels.key/value
search_et about.labels.key/value
search_lt about.labels.key/value
search_type about.labels.key/value
source principal.labels.key/value
Quelltyp principal.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Scheduler_Activity

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Scheduler_Activity aufgeführt:

Logfeld UDM-Zuordnung
App target.application
Host about.hostname
savedsearch_name about.labels.key/value
sid about.labels.key/value
source principal.labels.key/value
Quelltyp principal.labels.key/value
splunk_server principal.ip, principal.hostname
Status security_result.summary
Nutzer principal.user.user_display_name

Web_Service_Errors

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Web_Service_Errors aufgeführt:

Logfeld UDM-Zuordnung
Host about.hostname
source principal.labels.key/value
Quelltyp principal.labels.key/value
event_id security_result.rule_name

Modular_Actions

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Modular_Actions aufgeführt:

Logfeld UDM-Zuordnung
action_mode about.labels.key/value
action_status about.labels.key/value
App target.application
Dauer network.session_duration
Komponente about.labels.key/value
orig_rid about.labels.key/value
orig_sid about.labels.key/value
rid about.labels.key/value
search_name about.labels.key/value
action_name security_result.action_details
Signatur metadata.description
sid about.labels.key/value
Nutzer about.labels.key/value

All_Ticket_Management

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Ticket_Management“ aufgeführt:

Logfeld UDM-Zuordnung
affect_dest target.labels.key/value
Kommentare about.labels.key/value
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
Priorität security_result.priority_details
Schweregrad security_result.severity
severity_id about.labels.key/value
splunk_id about.labels.key/value
splunk_realm about.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
Status security_result.summary
Tag about.labels.key/value
ticket_id target.user.attribute.label.ley/value
time_submitted principal.user.attribute.creation_time
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Ändern

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Änderung des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
Ändern about.labels.key/value

Vorfall

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Vorfall des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
Vorfall about.labels.key/value

Problem

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Problem des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
Aufgabe about.labels.key/value

Updates

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Updates des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_should_update target.labels.key/value
DVD Hauptkonto.asset.hostname, principal.asset.ip
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
Schweregrad security_result.severity
severity_id about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
Status security_result.summary
Tag about.labels.key/value
vendor_product about.labels.key/value

Sicherheitslücken

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Sicherheitslücken des Splunk-Datasets aufgeführt:

Logfeld UDM-Zuordnung
Bugtraq about.labels.key/value
category security_result.category_details
cert about.labels.key/value
cve vulnerabilites.cve_description
cvss vulnerabilites.cvss_base_score
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVD Hauptkonto.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
msft about.labels.key/value
MSKB about.labels.key/value
Schweregrad extensions.vulns.vulnerabilites.severity
severity_id about.labels.key/value
Signatur metadata.description
signature_id metadata.product_event_type
Tag about.labels.key/value
URL extensions.vulns.vulnerabilites.about.url
Nutzer extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value
XRef about.labels.key/value

Web

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Web aufgeführt:

Logfeld UDM-Zuordnung
Aktion security_result.action_details
security_result.action
App target.application
Bytes about.labels.key/value
bytes_in network.received_bytes
bytes_out network.sent_bytes
im Cache gespeichert about.labels.key/value
category security_result.category_details
Keks about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_port target.port
Dauer network.session_duration
http_content_type about.labels.key/value
http_method network.http.method
http_referrer network.http.referral_url
http_referrer_domain about.labels.key/value
http_user_agent network.http.user_agent
http_user_agent_length about.labels.key/value
response_time about.labels.key/value
Website about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
Status network.http.response_code
Tag about.labels.key/value
uri_path about.labels.key/value
uri_query about.labels.key/value
URL about.url
url_domain about.asset.network_domain
url_length about.labels.key/value
Nutzer principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

UDM-Ereignistypen

In der folgenden Tabelle sind die Splunk-Tags und die entsprechenden UDM-Ereignistypen aufgeführt:

Datenmodell Splunk-Tags UDM-Ereignistyp
Benachrichtigungen Benachrichtigung STATUS_UPDATE
Authentifizierung authentication USER_UNCATEGORIZED
Zertifikat Zertifikat NETWORK_UNCATEGORIZED
Ändern Ändern SYSTEM_AUDIT_LOG_UNCATEGORIZED
Datenzugriff Daten, Zugriff USER_RESOURCE_ACCESS
Datenbanken Datenbank USER_RESOURCE_ACCESS
Datenbanken Datenbank, Instanz, Statistiken STATUS_UPDATE
Datenbanken Datenbank, Instanz, Status STATUS_UPDATE
Datenbanken Datenbank, Instanz, Sperre STATUS_UPDATE
Datenbanken Datenbank, Abfrage STATUS_UPDATE
Datenbanken Datenbank, Abfrage, Tabellenplatz STATUS_UPDATE
Datenbanken Datenbank, Abfrage, Statistiken STATUS_UPDATE
Schutz vor Datenverlust dlp, Vorfall SCAN_UNCATEGORIZED
E-Mail E‑Mail EMAIL_UNCATEGORIZED
E-Mail E-Mail, Zustellung EMAIL_TRANSACTION
Endpunkt warten, Port SERVICE_UNSPECIFIED
Endpunkt Prozess, Bericht PROCESS_UNCATEGORIZED
Endpunkt Dienst, Bericht SERVICE_UNSPECIFIED
Endpunkt Endpunkt, Dateisystem FILE_UNCATEGORIZED
Endpunkt Endpunkt, Registry REGISTRY_UNCATEGORIZED
Terminsignatur track_event_signature STATUS_UPDATE
Kommunikation zwischen Prozessen messaging STATUS_UPDATE
Instrusion-Erkennung ids, Angriff SERVICE_UNSPECIFIED
Inventar inventory SYSTEM_AUDIT_LOG_UNCATEGORIZED
Java Virtual Machine (JVM) jvm SYSTEM_AUDIT_LOG_UNCATEGORIZED
Malware Malware STATUS_UPDATE
Netzwerkauflösung(DNS) netzwerk, auflösung, dns NETWORK_DNS
Netzwerksitzungen Netzwerk, Sitzung NETWORK_CONNECTION
Netzwerksitzungen Netzwerk, Sitzung, dhcp NETWORK_DHCP
Netzwerkverkehr Netzwerk, kommunizieren NETWORK_CONNECTION
Leistung Leistung SERVICE_UNSPECIFIED
Splunk-Audit-Logs Änderung STATUS_UPDATE
Ticketverwaltung Ticketfunktionen STATUS_UPDATE
Ticketverwaltung Ticketfunktionen, ändern STATUS_UPDATE
Updates update STATUS_UPDATE
Sicherheitslücken Bericht, Sicherheitslücken SCAN_UNCATEGORIZED
Web web NETWORK_UNCATEGORIZED

Nächste Schritte