Splunk CIM-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Splunk Common Information Model-Logs (CIM) erfassen, indem Sie Splunk und einen Chronicle-Forwarder konfigurieren. In diesem Dokument werden auch die unterstützten Logtypen und unterstützten Splunk-Versionen aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Chronicle.

Übersicht

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie Splunk-Agents so konfiguriert werden, dass Logs an Chronicle gesendet werden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.

Deployment-Architektur

Das Architekturdiagramm enthält die folgenden Komponenten:

Datenquelle: Das zu überwachende System, in dem Splunk installiert ist.
Splunk: erfasst Informationen aus der Datenquelle und leitet sie an den Chronicle-Forwarder weiter.
Chronicle-Forwarder: Eine einfache Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Chronicle weiterzuleiten.
Chronicle: Behält die Logs des Fleet-Servers bei und analysiert sie.

Ein Aufnahmelabel identifiziert den Parser, der die Protokollrohdaten in ein strukturiertes UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel SPLUNK.

Hinweis

Splunk-Version 5.0 verwenden, die vom Chronicle-Parser unterstützt wird
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

Splunk-Agent und Chronicle-Forwarder konfigurieren

Richten Sie Splunk Enterprise ein.
CIM-kompatiblen Agent von Splunkbase installieren
Chronik-Forwarder einrichten

Konfigurieren Sie den Chronicle-Forwarder, um die Logs in das Chronicle-System zu übertragen. Das folgende Beispiel zeigt eine Chronicle-Forwarder-Konfiguration:

  - splunk:
      common:
        enabled: true
        data_type: SPLUNK
        batch_n_seconds: 10
        batch_n_bytes: 819200
      url: <SPLUNK_URL>
      query_cim: true
      is_ignore_cert: true
      query_string: | datamodel Network_Traffic All_Traffic

Unterstützte Logtypen und Datenmodelle

Splunk-Datenmodell	Unterstützt
Benachrichtigungen	Ja
Anwendungsstatus (verworfen)	Nein
Authentifizierung	Ja
Zertifikate	Ja
Ändern	Ja
Änderungsanalyse (eingestellt)	Nein
Datenzugriff	Ja
Datenbanken	Ja
Schutz vor Datenverlust	Ja
E-Mail	Ja
Endpunkt	Ja
Unterschriften der Veranstaltung	Ja
Interprocess Messaging	Ja
Einbruchserkennung	Ja
Inventar	Ja
Java Virtual Machines (JVM)	Ja
Malware	Ja
Netzwerkauflösung (DNS)	Ja
Netzwerksitzungen	Ja
Netzwerkverkehr	Ja
Leistung	Ja
Splunk-Audit-Logs	Ja
Ticketverwaltung	Ja
Updates	Ja
Sicherheitslücken	Ja
Web	Ja

Referenz zur Feldzuordnung

In diesem Abschnitt wird erläutert, wie der Chronicle-Parser Splunk-Logfeldern den Feldern von Chronicle Unified Data Model (UDM) für die Datensätze zuordnet. Weitere Informationen finden Sie im Splunk-Dokument für Version 5.0.1.

Benachrichtigungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz-Alerts aufgeführt:

Logfeld	UDM-Zuordnung
App	observer.application
description	Sicherheitsergebnis
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Zieltyp	target.resource.resource_type
id	Metadaten.Produkt_ID
mitre_technique_id	security_result.detection_fields.labels.key/Wert
Schweregrad	security_result.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	security_result.rule_name
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_type [src_type]	Hauptkonto.resource.resource_type
Tag	Informationen zu Labels.Schlüssel/Wert
Typ	Sicherheitsergebnis
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
Benutzername	Hauptkonto.Nutzer.Nutzer-ID
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterkonto	Informationen zu Labels.Schlüssel/Wert
Anbieterregion	info.standort.land_oder_region

Authentifizierung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzauthentifizierung aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
App	Zielanwendung
Authentifizierungsmethode	Informationen zu Labels.Schlüssel/Wert
Authentifizierungsdienst	Erweiterung.auth.auth_details
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_nt_domain	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
reason	Sicherheitsergebnis
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
src_nt_domain	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_user (Nutzer)	Hauptkonto.user.nutzer_displayname
src_user_bunit	Hauptkonto.labels.Schlüssel/Wert
src_user_category [Benutzerkategorie]	Hauptkonto.labels.Schlüssel/Wert
src_user_id (Nutzer-ID)	Hauptkonto.Nutzer.Nutzer-ID
Priorität_src_user	Hauptkonto.labels.Schlüssel/Wert
src_user_role	Prinzipal.user.attribute.roles.name (wiederholt)
nutzertyp	Principal.user.attribute.roles.type
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
user_agent	network.http.user_agent.
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
user_id	Hauptkonto.Nutzer.Nutzer-ID
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Nutzerrolle	Prinzipal.user.attribute.roles.name (wiederholt)
Nutzertyp	Principal.user.attribute.roles.type
Anbieterkonto	Informationen zu Labels.Schlüssel/Wert

Alle_Zertifikate

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Certificates“ aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_port	Zielport
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
src_port	Hauptkonto
Priorität	Hauptkonto.labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert
transport	network.ip_protokoll

SSL

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz-SSL aufgeführt:

Logfeld	UDM-Zuordnung
SSL-Endzeit	network.tls.server.certificate.not_after
SSL-Engine	Informationen zu Labels.Schlüssel/Wert
SSL-Hash	Informationen zu Labels.Schlüssel/Wert
ssl_is_valid	Informationen zu Labels.Schlüssel/Wert
SSL-Aussteller	network.tls.server.certificate.issuer.
ssl_issuer_common_name	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_email	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_email_domain	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_locality	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_organization	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_state	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_street	Informationen zu Labels.Schlüssel/Wert
ssl_issuer_unit	Informationen zu Labels.Schlüssel/Wert
SSL-Name	Informationen zu Labels.Schlüssel/Wert
SSL-Richtlinien	Informationen zu Labels.Schlüssel/Wert
SSL-PublicKey	Informationen zu Labels.Schlüssel/Wert
ssl_publickey_algorithm	Informationen zu Labels.Schlüssel/Wert
ssl_serial	network.tls.server.certificate.serial
ssl_session_id	network.session_id (Netzwerk-ID)
SSL-Signaturalgorithmus	Informationen zu Labels.Schlüssel/Wert
SSL-Startzeit	network.tls.server.certificate.not_before
ssl_subject	network.tls.server.certificate.subject.
ssl_subject_common_name	Informationen zu Labels.Schlüssel/Wert
ssl_subject_email	Informationen zu Labels.Schlüssel/Wert
ssl_subject_email_domain	Informationen zu Labels.Schlüssel/Wert
ssl_subject_locality	Informationen zu Labels.Schlüssel/Wert
ssl_subject_organization	Informationen zu Labels.Schlüssel/Wert
ssl_subject_state	Informationen zu Labels.Schlüssel/Wert
ssl_subject_street	Informationen zu Labels.Schlüssel/Wert
ssl_subject_unit	Informationen zu Labels.Schlüssel/Wert
SSL-Gültigkeitszeitraum	Informationen zu Labels.Schlüssel/Wert
SSL-Version	network.tls.server.certificate.version.

Alle Änderungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz All_Changes aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
Änderungstyp	Details zum Sicherheitsergebnis
Befehl	Hauptkonto.Prozess.Befehlszeile
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
Objekt	target.resource.name
Objektattraktivität	Informationen zu Labels.Schlüssel/Wert
Objektkategorie	Informationen zu Labels.Schlüssel/Wert
Objekt-ID	target.user.product_object_id [Zielnutzer_ID]
Objektpfad	target.file.full_path
Ergebnis	Sicherheitsergebnis
Ergebnis-ID	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	target.user.user_display_name, Prinzipal.user.user_display_name
user_agent	network.http.user_agent.
Benutzername	Prinzipal.user.userid, target.user.userid
Nutzertyp	Prinzipal.user.attribute.roles.type, target.user.attribute.roles.type
Anbieterkonto	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
Anbieterregion	info.standort.land_oder_region

Kontoverwaltung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Account_Management“ aufgeführt:

Logfeld	UDM-Zuordnung
dest_nt_domain	target.administrative_domain
src_nt_domain	Hauptkonto.administrative_Domain
src_user (Nutzer)	Hauptkonto.user.nutzer_displayname
src_user_bunit	Hauptkonto.labels.Schlüssel/Wert
src_user_category [Benutzerkategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität_src_user	Hauptkonto.labels.Schlüssel/Wert
src_nutzername	Hauptkonto.labels.Schlüssel/Wert
nutzertyp	Principal.user.attribute.roles.type

Instanzänderungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Instance_Changes aufgeführt:

Logfeld	UDM-Zuordnung
Bild-ID	Hauptkonto-Asset-ID
Instanztyp	Informationen zu Labels.Schlüssel/Wert

Netzwerk_Änderungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz network_Changes aufgeführt:

Logfeld	UDM-Zuordnung
Zielbereich	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Zielbereich	target.labels.key/value (Ziellabel.Schlüssel/Wert)
direction	network.direction
Protokoll	network.ip_protokoll
Regelaktion	security_result.action_details security_result.action
src_ip_range	Hauptkonto.labels.Schlüssel/Wert
src_port_range	Hauptkonto.labels.Schlüssel/Wert

Datenzugriff

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Data_Access aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
App	Zielanwendung
app_id	Metadaten.Produkt_ID
dest	target.ip, target.hostname, target.labels.key/value
Zielname	target.administrative_domain
Ziel-URL	Ziel-URL
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
email	Hauptkonto.nutzer.email_adressen
Objekt	target.resource.name
Objektkategorie	Informationen zu Labels.Schlüssel/Wert
Objekt-ID	target.user.product_object_id [Zielnutzer_ID]
Objektpfad	target.file.full_path
Objektgröße	target.file.size
Inhaber	Informationen zu Labels.Schlüssel/Wert
E-Mail-Adresse des Eigentümers	Informationen zu Labels.Schlüssel/Wert
Inhaber-ID	Hauptkonto.Nutzer.Nutzer-ID
übergeordnetes Objekt	target.resource.parent
übergeordnetes_Objekt-ID	Informationen zu Labels.Schlüssel/Wert
übergeordnetes Objekt	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
tenant_id	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
user_agent	network.http.user_agent.
Nutzergruppe	Prinzipal.user.group_identifiers(wiederholt)
Nutzerrolle	Prinzipal.user.attribute.roles.name (wiederholt)
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
Anbieter_Produkt-ID	Informationen zu Labels.Schlüssel/Wert

Alle_Datenbanken

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Databases“ aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
Objekt	target.resource.name
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Datenbankinstanz

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Database_Instance aufgeführt:

Logfeld	UDM-Zuordnung
instance_name	target.resource.attributes.key/value
Instanzversion	target.resource.attributes.key/value
Prozesslimit	Informationen zu Labels.Schlüssel/Wert
Sitzungslimit	Informationen zu Labels.Schlüssel/Wert

Datenbankabfrage

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Database_Query aufgeführt:

Logfeld	UDM-Zuordnung
query	Informationen zu Labels.Schlüssel/Wert
Abfrage-ID	Informationen zu Labels.Schlüssel/Wert
Abfragezeit	Informationen zu Labels.Schlüssel/Wert
Einträge_betroffen	Informationen zu Labels.Schlüssel/Wert

Instanzstatistiken

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Instance_Stats aufgeführt:

Logfeld	UDM-Zuordnung
Verfügbarkeit	Informationen zu Labels.Schlüssel/Wert
avg_executions	Informationen zu Labels.Schlüssel/Wert
dump_area_used	Informationen zu Labels.Schlüssel/Wert
Instanzlesevorgänge	Informationen zu Labels.Schlüssel/Wert
Instanzschreibvorgänge	Informationen zu Labels.Schlüssel/Wert
Anzahl_der_Nutzer	Informationen zu Labels.Schlüssel/Wert
Verfahren	Informationen zu Labels.Schlüssel/Wert
sessions	Informationen zu Labels.Schlüssel/Wert
sga_buffer_cache	Informationen zu Labels.Schlüssel/Wert
sga_buffer_hit_limit	Informationen zu Labels.Schlüssel/Wert
sga_data_dict_hit_ratio.	Informationen zu Labels.Schlüssel/Wert
sga_fixed_area_size	Informationen zu Labels.Schlüssel/Wert
sga_free_memory	Informationen zu Labels.Schlüssel/Wert
sga_library_cache_Größe	Informationen zu Labels.Schlüssel/Wert
sga_redo_log_buffer_size	Informationen zu Labels.Schlüssel/Wert
sga_shared_pool_größe	Informationen zu Labels.Schlüssel/Wert
sga_sql_area_size	Informationen zu Labels.Schlüssel/Wert
Startzeit	Informationen zu Labels.Schlüssel/Wert
belegter Tisch	Informationen zu Labels.Schlüssel/Wert

Sitzungsinformationen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Session_Info aufgeführt:

Logfeld	UDM-Zuordnung
Puffer_Cache-Trefferquote	Informationen zu Labels.Schlüssel/Wert
Commits	Informationen zu Labels.Schlüssel/Wert
CPU_gebraucht	Informationen zu Labels.Schlüssel/Wert
cursor	Informationen zu Labels.Schlüssel/Wert
Verstrichene Zeit	Informationen zu Labels.Schlüssel/Wert
Logische Lesevorgänge	Informationen zu Labels.Schlüssel/Wert
Maschine	info.hostname
Arbeitsspeicher_sortiert	Informationen zu Labels.Schlüssel/Wert
physische_Lesevorgänge	Informationen zu Labels.Schlüssel/Wert
Sekunden_in_Wartezeit	Informationen zu Labels.Schlüssel/Wert
session_id	network.session_id (Netzwerk-ID)
Sitzungsstatus	Informationen zu Labels.Schlüssel/Wert
Tabellenscans	Informationen zu Labels.Schlüssel/Wert
Wait_state	Informationen zu Labels.Schlüssel/Wert
Wartezeit	Informationen zu Labels.Schlüssel/Wert

Sperrinformationen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Lock_Info aufgeführt:

Logfeld	UDM-Zuordnung
Letzte_Anruf_Minute	Informationen zu Labels.Schlüssel/Wert
Sperrmodus	Informationen zu Labels.Schlüssel/Wert
ID_der_Sitzungssperre	Informationen zu Labels.Schlüssel/Wert
Logon_time	Informationen zu Labels.Schlüssel/Wert
Obj_Name	Informationen zu Labels.Schlüssel/Wert
os_pid	target.process.pid
Seriennummer	target.resource.product_object_id

Tablespace

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Tablespace aufgeführt:

Logfeld	UDM-Zuordnung
free_bytes	Informationen zu Dateigröße
Tabellenplatzname	about.resource.name
Tabellenplatz_Lesevorgänge	Informationen zu Labels.Schlüssel/Wert
Tabellenplatzstatus	Informationen zu Labels.Schlüssel/Wert
Tabellenplatzhalter	Informationen zu Labels.Schlüssel/Wert

Suchanfragenstatistiken

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Query_Stats aufgeführt:

Logfeld	UDM-Zuordnung
index_hit	Informationen zu Labels.Schlüssel/Wert
Abfrageplan	Informationen zu Labels.Schlüssel/Wert
gespeicherte_Prozeduren	Informationen zu Labels.Schlüssel/Wert
Tabellentreffer	Informationen zu Labels.Schlüssel/Wert

DLP_Vorfälle

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz DLP_Vorfälle aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
App	Zielanwendung
category	Details zum Sicherheitsergebnis
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Zielzone	target.location.country_or_origin
dlp_typ	Informationen zu Labels.Schlüssel/Wert
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
DVC_BUnit	Informationen zu Labels.Schlüssel/Wert
DVC-Kategorie	Informationen zu Labels.Schlüssel/Wert
dvc_priorität	Informationen zu Labels.Schlüssel/Wert
DVV-Zone	Hauptkonto.asset.location.country_or_region
Objekt	target.resource.name
Objektkategorie	Informationen zu Labels.Schlüssel/Wert
Objektpfad	target.file.full_path
Schweregrad	security_result.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_user (Nutzer)	Hauptkonto.user.nutzer_displayname
src_user_bunit	Hauptkonto.labels.Schlüssel/Wert
src_user_category [Benutzerkategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität_src_user	Hauptkonto.labels.Schlüssel/Wert
src_zone	Principal.Standort.Land_oder_Ursprung
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Alle_E-Mails

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz All_Email aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
delay	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
Datei-Hash	about.file.sha256, about.file.md5, about.file.sha1
Dateiname	Informationen zu Labels.Schlüssel/Wert
Dateigröße	Informationen zu Dateigröße
Interne Nachrichten-ID	Metadaten.Produkt_ID
message_id	network.email.mail_id
message_info	Informationen zu Labels.Schlüssel/Wert
Original-Ziel	target.labels.key/value (Ziellabel.Schlüssel/Wert)
ursprüngliche Empfänger	Informationen zu Labels.Schlüssel/Wert
Orig_src	network.email.from
process	Hauptkonto.Prozess.Befehlszeile
Prozess-ID	Hauptkonto.prozess.pid
Protokoll	Netzwerk.Anwendungsprotokoll
Empfänger	network.email.to
Empfängeranzahl	Informationen zu Labels.Schlüssel/Wert
Empfängerdomain	Informationen zu Labels.Schlüssel/Wert
Empfängerstatus	Informationen zu Labels.Schlüssel/Wert
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
retries	Informationen zu Labels.Schlüssel/Wert
return_addr (Return_addr)	Informationen zu Labels.Schlüssel/Wert
Größe	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_user (Nutzer)	Hauptkonto.nutzer.email_adressen
src_user_bunit	Hauptkonto.labels.Schlüssel/Wert
src_user_category [Benutzerkategorie]	Hauptkonto.labels.Schlüssel/Wert
src_user_domain (Nutzerdomain)	Hauptkonto.administrative_Domain
Priorität_src_user	Hauptkonto.labels.Schlüssel/Wert
Statuscode	Informationen zu Labels.Schlüssel/Wert
subject	network.email.subject(wiederholt)
Tag	Informationen zu Labels.Schlüssel/Wert
url	info.url
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
Xdelay	Informationen zu Labels.Schlüssel/Wert
Xref	Informationen zu Labels.Schlüssel/Wert

Wird gefiltert

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzfilterung aufgelistet:

Logfeld	UDM-Zuordnung
Filteraktion	Informationen zu Labels.Schlüssel/Wert
Filterwert	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
signatur_extra	Informationen zu Labels.Schlüssel/Wert
Signatur-ID	Metadaten.Produktereignisereignis

Ports

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzports aufgeführt:

Logfeld	UDM-Zuordnung
Erstellungszeit	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_port	Zielport
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_timesync	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Prozess_Leiten	Hauptkonto.prozess.product_specific_process_id
Prozess-ID	Hauptkonto.prozess.pid
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_port	Hauptkonto
src_requirements_av	Hauptkonto.labels.Schlüssel/Wert
src_should_timesync (Ist synchronisiert)	Hauptkonto.labels.Schlüssel/Wert
src_sollte_aktualisiert werden	Hauptkonto.labels.Schlüssel/Wert
Status	Informationen zu Labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert
transport	network.ip_protokoll
Transportziel	target.labels.key/value (Ziellabel.Schlüssel/Wert)
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert

Prozesse

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzprozesse aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
CPU-Auslastung in Prozent	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_is_expected	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_timesync	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Mem_used	Informationen zu Labels.Schlüssel/Wert
Originaldateiname	src.file.full_path
os	Hauptkonto.asset.platform_software.platform_version
übergeordneter Prozess	Informationen zu Labels.Schlüssel/Wert
übergeordneter Prozess	Informationen zu Labels.Schlüssel/Wert
übergeordnete Prozess-ID	chief.process.parent_process.parent_pid
übergeordneter Prozess	Principal.process.parent_process.product_specific_process_id
übergeordneter_Prozessname	Informationen zu Labels.Schlüssel/Wert
übergeordneter_Prozesspfad	Principal.process.parent_process.command_line
process	Informationen zu Labels.Schlüssel/Wert
aktuelles_verzeichnis	Informationen zu Labels.Schlüssel/Wert
Prozessausführung	Informationen zu Labels.Schlüssel/Wert
Prozess-Hash	Principal.
Prozess_Leiten	Hauptkonto.prozess.product_specific_process_id
Prozess-ID	Hauptkonto.prozess.pid
Prozessintegritätsebene	security_result.severity
Prozessname	Hauptkonto.Prozess.Befehlszeile
Prozesspfad	Principal.process.file.full_path
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
user_id	Hauptkonto.Nutzer.Nutzer-ID
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Dienste

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzdienste aufgelistet:

Logfeld	UDM-Zuordnung
description	Sicherheitsergebnis
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_is_expected	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_timesync	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Prozess_Leiten	Hauptkonto.prozess.product_specific_process_id
Prozess-ID	Hauptkonto.prozess.pid
Dienst	Zielanwendung
Dienst_dll	Informationen zu Labels.Schlüssel/Wert
service_dll_path	info.datei.vollständiger_pfad
service_dll_hash	Informationen zu Labels.Schlüssel/Wert
dienst_dll_signature_exists	Informationen zu Labels.Schlüssel/Wert
service_dll_signature_bestätigt	Informationen zu Labels.Schlüssel/Wert
service_exec	target.process.file.full_path
service_hash	Informationen zu Labels.Schlüssel/Wert
service_id	Informationen zu Labels.Schlüssel/Wert
service_name	Informationen zu Labels.Schlüssel/Wert
Dienstpfad	Informationen zu Labels.Schlüssel/Wert
dienst_signature_exists	Informationen zu Labels.Schlüssel/Wert
Dienstsignatur	Informationen zu Labels.Schlüssel/Wert
Startmodus	Informationen zu Labels.Schlüssel/Wert
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Dateisystem

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset-Dateisystem aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_timesync	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Datei_Zugriffszeit	Informationen zu Labels.Schlüssel/Wert
Erstellungszeit für Datei	target.asset.attribute.creation_time
Datei-Hash	target.file.sha256, target.file.md5, target.file.sha1
Datei_Zeit ändern	Informationen zu Labels.Schlüssel/Wert
Dateiname	Informationen zu Labels.Schlüssel/Wert
Dateipfad	target.file.full_path
Datei_ACL	Informationen zu Labels.Schlüssel/Wert
Dateigröße	target.file.size
Prozess_Leiten	Hauptkonto.prozess.product_specific_process_id
Prozess-ID	Hauptkonto.prozess.pid
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Registry

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzregistrierung aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_timesync	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Prozess_Leiten	Hauptkonto.prozess.product_specific_process_id
Prozess-ID	Hauptkonto.prozess.pid
Registry_Hive	Informationen zu Labels.Schlüssel/Wert
Registrierungspfad	Informationen zu Labels.Schlüssel/Wert
Registry-Schlüsselname	target.registry.registry_key
Daten aus Registry-Wert	target.registry.registry_wert_daten
Registry-Wert	target.registry.registry_wert_name
Registry-Wert	Informationen zu Labels.Schlüssel/Wert
Registry-Werttyp	Informationen zu Labels.Schlüssel/Wert
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Signaturen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Signaturen des Datensatzes aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
Tag	Informationen zu Labels.Schlüssel/Wert

Signaturen_Anbieter_Produkt

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Signatures_vendor_product“ aufgeführt:

Logfeld	UDM-Zuordnung
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

All_Interprocess_Messaging

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz All_Interprocess_Messaging aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
Endpunkt	Informationen zu Labels.Schlüssel/Wert
Endpunktversion	Informationen zu Labels.Schlüssel/Wert
nachricht	Informationen zu Labels.Schlüssel/Wert
Zeit_für_Nachrichten	Informationen zu Labels.Schlüssel/Wert
Nachrichtenkorrelations-ID	Informationen zu Labels.Schlüssel/Wert
Benachrichtigungszeit	Informationen zu Labels.Schlüssel/Wert
Übermittlungsmodus für Nachrichten	Informationen zu Labels.Schlüssel/Wert
Ablaufzeit der Nachricht	Informationen zu Labels.Schlüssel/Wert
message_id	Metadaten.Produkt.Log_ID
Nachrichtenpriorität	Informationen zu Labels.Schlüssel/Wert
Nachrichteneigenschaften	Informationen zu Labels.Schlüssel/Wert
Uhrzeit_für_empfangene Nachricht	Informationen zu Labels.Schlüssel/Wert
erneut zugestellt	Informationen zu Labels.Schlüssel/Wert
Antwort_des_Nachrichtennachrichten	target.labels.key/value (Ziellabel.Schlüssel/Wert)
message_type	Informationen zu Labels.Schlüssel/Wert
Parameter	Informationen zu Labels.Schlüssel/Wert
payload	Informationen zu Labels.Schlüssel/Wert
Nutzlasttyp	Informationen zu Labels.Schlüssel/Wert
request_payload	Informationen zu Labels.Schlüssel/Wert
request_payload_type	Informationen zu Labels.Schlüssel/Wert
Sendezeit der Anfrage	Informationen zu Labels.Schlüssel/Wert
Antwortcode	network.http.response_code.
Antwortzahlungstyp	Informationen zu Labels.Schlüssel/Wert
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
return_messages	Informationen zu Labels.Schlüssel/Wert
RPC-Protokoll	Netzwerk.Anwendungsprotokoll
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert

IDS_Angriffe

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz-IDS_Attacks aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
category	Details zum Sicherheitsergebnis
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
DVC_BUnit	Informationen zu Labels.Schlüssel/Wert
DVC-Kategorie	Informationen zu Labels.Schlüssel/Wert
dvc_priorität	Informationen zu Labels.Schlüssel/Wert
Datei-Hash	target.file.sha256, target.file.md5, target.file.sha1
Dateiname	Informationen zu Labels.Schlüssel/Wert
Dateipfad	target.file.full_path
ID-Typ	Informationen zu Labels.Schlüssel/Wert
Schweregrad	security_result.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_port	Hauptkonto
Tag	Informationen zu Labels.Schlüssel/Wert
transport	network.ip_protokoll
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

DS_Angriffe

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz DS_Attacks aufgeführt:

Logfeld	UDM-Zuordnung
dest_port	Zielport

Gesamtes Inventar

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Inventory“ aufgeführt:

Logfeld	UDM-Zuordnung
description	Sicherheitsergebnis
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
aktiviert	Informationen zu Labels.Schlüssel/Wert
Familie	Informationen zu Labels.Schlüssel/Wert
Hypervisor_ID	Informationen zu Labels.Schlüssel/Wert
serial	Hauptkonto.asset.hardware.serial_number
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
version	Informationen zu Labels.Schlüssel/Wert

CPU

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-CPU aufgeführt:

Logfeld	UDM-Zuordnung
CPU-Kerne	Hauptkonto.asset.hardware.cpu_number_cores
CPU-Anzahl	Informationen zu Labels.Schlüssel/Wert
CPU_MHz	Hauptkonto.asset.hardware.cpu_clock_speed
CPU-Auslastung	Hauptkonto.asset.hardware.cpu_clock_speed
CPU-Auslastung in Prozent	Informationen zu Labels.Schlüssel/Wert
CPU-Zeit	Informationen zu Labels.Schlüssel/Wert
CPU-Nutzer in Prozent	Informationen zu Labels.Schlüssel/Wert

Arbeitsspeicher

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzarbeitsspeicher aufgeführt:

Logfeld	UDM-Zuordnung
Mem	Hauptkonto.asset.hardware.ram
Heap_zugesicherter	Informationen zu Labels.Schlüssel/Wert
Heap_Anfang	Informationen zu Labels.Schlüssel/Wert
Heap_Max	Informationen zu Labels.Schlüssel/Wert
Heap_used	Informationen zu Labels.Schlüssel/Wert
nicht_in_Heap	Informationen zu Labels.Schlüssel/Wert
Nicht_Heap-Anfang	Informationen zu Labels.Schlüssel/Wert
Nicht_Heap-max.	Informationen zu Labels.Schlüssel/Wert
nicht_in_Heap	Informationen zu Labels.Schlüssel/Wert
Objekte ausstehend	Informationen zu Labels.Schlüssel/Wert
Mem	Hauptkonto.asset.hardware.ram
Mem_Commit	Informationen zu Labels.Schlüssel/Wert
Mem_Free	Informationen zu Labels.Schlüssel/Wert
Mem_used	Informationen zu Labels.Schlüssel/Wert
Swap-Speicher	Informationen zu Labels.Schlüssel/Wert
tauschen_frei	Informationen zu Labels.Schlüssel/Wert
gebraucht	Informationen zu Labels.Schlüssel/Wert

network

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset-Netzwerk aufgeführt:

Logfeld	UDM-Zuordnung
dest_ip	Ziel-IP
dns	Informationen zu Labels.Schlüssel/Wert
Inline-Name	Informationen zu Labels.Schlüssel/Wert
Schnittstelle	Informationen zu Labels.Schlüssel/Wert
ip	Hauptkonto.asset.ip
lb_methode	Informationen zu Labels.Schlüssel/Wert
Mac	Hauptkonto.asset.mac
name	principal.resource.name
Knoten	Informationen zu Labels.Schlüssel/Wert
Knotenport	Zielport
src_ip	Hauptkonto.ip
Vip_Port	Informationen zu Labels.Schlüssel/Wert
durchstreichen	Informationen zu Labels.Schlüssel/Wert
max._max.	Informationen zu Labels.Schlüssel/Wert

Betriebssystem

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset-Betriebssystem aufgeführt:

Logfeld	UDM-Zuordnung
os	Hauptkonto.asset.platform_software.platform_version
Commit_Memory	Informationen zu Labels.Schlüssel/Wert
CPU-Zeit	Informationen zu Labels.Schlüssel/Wert
freier_physischer_speicher	Informationen zu Labels.Schlüssel/Wert
Free_Swap	Informationen zu Labels.Schlüssel/Wert
Max. Dateideskriptoren	Informationen zu Labels.Schlüssel/Wert
open_file_descriptors	Informationen zu Labels.Schlüssel/Wert
os	Hauptkonto.asset.platform_software.platform_version
Betriebssystemarchitektur	Informationen zu Labels.Schlüssel/Wert
os_version	Informationen zu Labels.Schlüssel/Wert
Physischer_Speicher	Informationen zu Labels.Schlüssel/Wert
Leerzeichen austauschen	Informationen zu Labels.Schlüssel/Wert
Systemlast	Informationen zu Labels.Schlüssel/Wert
total_processors	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis

Speicher

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzspeicher aufgeführt:

Logfeld	UDM-Zuordnung
array	Informationen zu Labels.Schlüssel/Wert
Blockgröße	Informationen zu Labels.Schlüssel/Wert
Cluster	about.resource.resource_type = „CLUSTER“
fd_max.	Informationen zu Labels.Schlüssel/Wert
Latenz	Informationen zu Labels.Schlüssel/Wert
Bereitstellen	Prinzipal.resource.attribute.labels.key/value
Übergeordnetes Element	Hauptkonto.resource.parent
Leseblöcke	Informationen zu Labels.Schlüssel/Wert
Leselatenz	Informationen zu Labels.Schlüssel/Wert
Lesevorgänge	Informationen zu Labels.Schlüssel/Wert
Speicherplatz	Informationen zu Labels.Schlüssel/Wert
Schreibblöcke	Informationen zu Labels.Schlüssel/Wert
Schreiblatenz	Informationen zu Labels.Schlüssel/Wert
schreibvorgänge	Informationen zu Labels.Schlüssel/Wert
array	Informationen zu Labels.Schlüssel/Wert
Blockgröße	Informationen zu Labels.Schlüssel/Wert
Cluster	about.resource.resource_type = „CLUSTER“
fd_max.	Informationen zu Labels.Schlüssel/Wert
fd_gebraucht	Informationen zu Labels.Schlüssel/Wert
Latenz	Informationen zu Labels.Schlüssel/Wert
Bereitstellen	Informationen zu Labels.Schlüssel/Wert
Übergeordnetes Element	Hauptkonto.resource.parent
Leseblöcke	Informationen zu Labels.Schlüssel/Wert
Leselatenz	Informationen zu Labels.Schlüssel/Wert
Lesevorgänge	Informationen zu Labels.Schlüssel/Wert
Speicherplatz	Informationen zu Labels.Schlüssel/Wert
kostenlos	Informationen zu Labels.Schlüssel/Wert
Speicherplatz_frei_%	Informationen zu Labels.Schlüssel/Wert
Genutzter Speicherplatz	Informationen zu Labels.Schlüssel/Wert
Speichernutzung in Prozent	Informationen zu Labels.Schlüssel/Wert
Schreibblöcke	Informationen zu Labels.Schlüssel/Wert
Schreiblatenz	Informationen zu Labels.Schlüssel/Wert
schreibvorgänge	Informationen zu Labels.Schlüssel/Wert
Fehlercode	security_result.description
Vorgang	Informationen zu Labels.Schlüssel/Wert
Speichername	about.resource.name

Nutzer

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatznutzer aufgeführt:

Logfeld	UDM-Zuordnung
interactive	Informationen zu Labels.Schlüssel/Wert
Passwort	Informationen zu Labels.Schlüssel/Wert
shell	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
user_id	Hauptkonto.Nutzer.Nutzer-ID
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert

Virtuelle_Betriebssysteme

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Virtual_OS“ aufgeführt:

Logfeld	UDM-Zuordnung
Hypervisor	Informationen zu Labels.Schlüssel/Wert

Snapshot

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz-Snapshot aufgeführt:

Logfeld	UDM-Zuordnung
Größe	Informationen zu Dateigröße
snapshot	Informationen zu Labels.Schlüssel/Wert
Zeit	Informationen zu Labels.Schlüssel/Wert

JVM

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „JVM“ aufgeführt:

Logfeld	UDM-Zuordnung
jvm_Beschreibung	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert

Unterhaltung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Thread-Thread aufgelistet:

Logfeld	UDM-Zuordnung
cm_aktiviert	Informationen zu Labels.Schlüssel/Wert
cm_unterstützt	Informationen zu Labels.Schlüssel/Wert
CPU_aktiviert	Informationen zu Labels.Schlüssel/Wert
CPU_unterstützt	Informationen zu Labels.Schlüssel/Wert
aktuelle_CPU-Zeit	Informationen zu Labels.Schlüssel/Wert
current_user_time (aktuelle Nutzerzeit)	Informationen zu Labels.Schlüssel/Wert
daemon_thread_count	Informationen zu Labels.Schlüssel/Wert
omu_supported	Informationen zu Labels.Schlüssel/Wert
Spitzenwert_Anzahl der Threads	Informationen zu Labels.Schlüssel/Wert
synchron_unterstützt	Informationen zu Labels.Schlüssel/Wert
Anzahl der Threads	Informationen zu Labels.Schlüssel/Wert
Threads_beginnt	Informationen zu Labels.Schlüssel/Wert

Laufzeit

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzlaufzeit aufgeführt:

Logfeld	UDM-Zuordnung
Prozessname	Hauptkonto.Prozess.Befehlszeile
Startzeit	Informationen zu Labels.Schlüssel/Wert
uptime	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
version	Informationen zu Labels.Schlüssel/Wert

Kompilieren

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Kompilierung aufgeführt:

Logfeld	UDM-Zuordnung
Compilation_Time	Informationen zu Labels.Schlüssel/Wert

Kursaufbau

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Classclass aufgelistet:

Logfeld	UDM-Zuordnung
aktuell	Informationen zu Labels.Schlüssel/Wert
Insgesamt	Informationen zu Labels.Schlüssel/Wert
total_unloaded	Informationen zu Labels.Schlüssel/Wert

Malware-Angriffe

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Malware_Attacks aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
category	Details zum Sicherheitsergebnis
Datum	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_nt_domain	target.administrative_domain
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Datei-Hash	target.file.sha256, target.file.md5, target.file.sha1
Dateiname	Informationen zu Labels.Schlüssel/Wert
Dateipfad	target.file.full_path
Schweregrad	security_result.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_user (Nutzer)	Hauptkonto.user.nutzer_displayname
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
url	info.url
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Malware-Vorgänge

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Malware_Operations aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_nt_domain	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_nt_domain	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_requireds_av	target.labels.key/value (Ziellabel.Schlüssel/Wert)
product_version [Produktversion]	Informationen zu Labels.Schlüssel/Wert
Signaturversion	Sicherheitsergebnis.Regelversion
Tag	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Malware-Vorgänge

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Malware_Operations aufgeführt:

Logfeld	UDM-Zuordnung
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)

DNS

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Datensatz-DNS aufgeführt:

Logfeld	UDM-Zuordnung
zusätzliche_Anzahl_Antworten	Informationen zu Labels.Schlüssel/Wert
Annehmen	network.dns.answer.data
Anzahl der Antworten	Informationen zu Labels.Schlüssel/Wert
Authority_answer_Count	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_port	Zielport
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
message_type	Informationen zu Labels.Schlüssel/Wert
name	Informationen zu Labels.Schlüssel/Wert
query	network.dns.questions.name
Anzahl der Suchanfragen	Informationen zu Labels.Schlüssel/Wert
Abfragetyp	network.dns.questions.type
Eintragstyp	network.dns.answer.type(uint32)
Antwortcode	Informationen zu Labels.Schlüssel/Wert
Antwortcode-ID	network.dns.response_code
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
src_port	Hauptkonto
Priorität	Hauptkonto.labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert
Transaktions-ID	network.dns.id
transport	network.ip_protokoll
ttl	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Alle_Sitzungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Sessions“ aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_dns	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_ip	netzwerk.dhcp.ciaddr
dest_mac	network.dhcp.chaddr.
dest_nt_host	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Dauer	network.session_duration
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
src_dns	Hauptkonto.labels.Schlüssel/Wert
src_ip	Hauptkonto.ip
src_mac	Hauptkonto.mac
src_nt_host (nur auf Englisch verfügbar)	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

DHCP

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz DHCP aufgelistet:

Logfeld	UDM-Zuordnung
lease_duration	network.dhcp.lease_time_second
Freigabebereich	Informationen zu Labels.Schlüssel/Wert

Alle Zugriffe

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz All_Traffic aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
App	Netzwerk.Anwendungsprotokoll
Byte	Informationen zu Labels.Schlüssel/Wert
Byte_in	network.Receivedd_Byte
Byte_Ausgang	network.sent_bytes
channel	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_schnittstelle	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_ip	Ziel-IP
dest_mac	target.mac
dest_port	Zielport
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_translated_ip	target_nat_ip
dest_translated_port	Ziel-Port
Zielzone	target.location.country_or_origin
direction	network.direction
Dauer	network.session_duration
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
DVC_BUnit	Informationen zu Labels.Schlüssel/Wert
DVC-Kategorie	Informationen zu Labels.Schlüssel/Wert
DVC_IP	Informationen zu Labels.Schlüssel/Wert
dvc_mac	Hauptkonto.asset.mac
dvc_priorität	Informationen zu Labels.Schlüssel/Wert
DVV-Zone	Hauptkonto.asset.location.country_or_region
Ablauf_ID	Informationen zu Labels.Schlüssel/Wert
ICMP-Code	Informationen zu Labels.Schlüssel/Wert
ICMP_Typ	Informationen zu Labels.Schlüssel/Wert
Pakete	Informationen zu Labels.Schlüssel/Wert
Pakete_in	Informationen zu Labels.Schlüssel/Wert
Pakete_aus	Informationen zu Labels.Schlüssel/Wert
Protokoll	Informationen zu Labels.Schlüssel/Wert
Protokollversion	Informationen zu Labels.Schlüssel/Wert
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
Rule	Sicherheits_Ergebnis.Regel-ID
session_id	network.session_id (Netzwerk-ID)
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
src_schnittstellen	Hauptkonto.labels.Schlüssel/Wert
src_ip	Hauptkonto.ip
src_mac	Hauptkonto.mac
src_port	Hauptkonto
Priorität	Hauptkonto.labels.Schlüssel/Wert
src_translate_ip	Hauptkonto.nat_ip
src_translated_port	Hauptkonto.nat_port
src_zone	Principal.Standort.Land_oder_Ursprung
SID	Informationen zu Labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert
TCP-Flag	Informationen zu Labels.Schlüssel/Wert
transport	network.ip_protokoll
Nutzungsbedingungen	Informationen zu Labels.Schlüssel/Wert
ttl	network.dns.additional.ttl
user (Nutzer)	Informationen zu Labels.Schlüssel/Wert
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterkonto	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
Vlan	Informationen zu Labels.Schlüssel/Wert
wlan	Informationen zu Labels.Schlüssel/Wert

Alle_Leistungen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz All_Performance aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_timesync	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Hypervisor_ID	Informationen zu Labels.Schlüssel/Wert
Ressourcentyp	Informationen zu Labels.Schlüssel/Wert
Tag	Informationen zu Labels.Schlüssel/Wert

Räumlichkeiten

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Dataset-Einrichtungen aufgeführt:

Logfeld	UDM-Zuordnung
Lüftergeschwindigkeit	Informationen zu Labels.Schlüssel/Wert
power	Informationen zu Labels.Schlüssel/Wert
Temperatur	Informationen zu Labels.Schlüssel/Wert

Zeitsynchronisierung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Timesync aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action

Betriebszeit

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzverfügbarkeit aufgelistet:

Logfeld	UDM-Zuordnung
uptime	Informationen zu Labels.Schlüssel/Wert

Ansicht_Aktivität

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz View_Activity aufgeführt:

Logfeld	UDM-Zuordnung
App	Zielanwendung
ausgegeben	Informationen zu Labels.Schlüssel/Wert
uri	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Ansicht	Informationen zu Labels.Schlüssel/Wert

Datenmodell_Beschleunigung

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Datamodel_Acceleration aufgeführt:

Logfeld	UDM-Zuordnung
Zugriffsanzahl	Informationen zu Labels.Schlüssel/Wert
Zugriffszeit	Informationen zu Labels.Schlüssel/Wert
App	Zielanwendung
Buckets	Informationen zu Labels.Schlüssel/Wert
Buckets_Größe	Informationen zu Labels.Schlüssel/Wert
abgeschlossen	Informationen zu Labels.Schlüssel/Wert
cron	Informationen zu Labels.Schlüssel/Wert
Datenmodell	Informationen zu Labels.Schlüssel/Wert
Hashwert	Informationen zu Labels.Schlüssel/Wert
früheste	Informationen zu Labels.Schlüssel/Wert
ist_in Bearbeitung	Informationen zu Labels.Schlüssel/Wert
Letzter Fehler	Informationen zu Labels.Schlüssel/Wert
letzte_sid	Informationen zu Labels.Schlüssel/Wert
neueste	Informationen zu Labels.Schlüssel/Wert
Modzeit	Informationen zu Labels.Schlüssel/Wert
Nachrichten	Informationen zu Labels.Schlüssel/Wert
Größe	Informationen zu Dateigröße
summary_id (Zusammenfassungs-ID)	Informationen zu Labels.Schlüssel/Wert

Suchaktivität

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Search_Activity aufgeführt:

Logfeld	UDM-Zuordnung
Host	info.hostname
info	Informationen zu Labels.Schlüssel/Wert
search	Informationen zu Labels.Schlüssel/Wert
Suche_et	Informationen zu Labels.Schlüssel/Wert
Suche_lt	Informationen zu Labels.Schlüssel/Wert
Suchtyp	Informationen zu Labels.Schlüssel/Wert
source	Hauptkonto.labels.Schlüssel/Wert
Quelltyp	Hauptkonto.labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert

Scheduler_Aktivität

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Scheduler_Activity aufgelistet:

Logfeld	UDM-Zuordnung
App	Zielanwendung
Host	info.hostname
gespeicherter_Suchname	Informationen zu Labels.Schlüssel/Wert
Si	Informationen zu Labels.Schlüssel/Wert
source	Hauptkonto.labels.Schlüssel/Wert
Quelltyp	Hauptkonto.labels.Schlüssel/Wert
splunk_server	Principal.ip, Principal.
Status	Sicherheitsergebnis
user (Nutzer)	Hauptkonto.user.nutzer_displayname

Web_Service_Fehler

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz Web_Service_Errors aufgeführt:

Logfeld	UDM-Zuordnung
Host	info.hostname
source	Hauptkonto.labels.Schlüssel/Wert
Quelltyp	Hauptkonto.labels.Schlüssel/Wert
Ereignis-ID	security_result.rule_name

Modulare Aktionen

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Modular-Modul von Splunk aufgeführt.

Logfeld	UDM-Zuordnung
Aktionsmodus	Informationen zu Labels.Schlüssel/Wert
Aktionsstatus	Informationen zu Labels.Schlüssel/Wert
App	Zielanwendung
Dauer	network.session_duration
Komponente	Informationen zu Labels.Schlüssel/Wert
Orig_Rid	Informationen zu Labels.Schlüssel/Wert
Original-ID	Informationen zu Labels.Schlüssel/Wert
losfahren	Informationen zu Labels.Schlüssel/Wert
Suchname	Informationen zu Labels.Schlüssel/Wert
Name der Aktion	Details zum Sicherheitsergebnis
Signatur	Metadaten.Beschreibung
Si	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Informationen zu Labels.Schlüssel/Wert

Verwaltung aller Tickets

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „All_Ticket_Management“ aufgeführt:

Logfeld	UDM-Zuordnung
betroffener_Ziel	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Kommentare	Informationen zu Labels.Schlüssel/Wert
description	Sicherheitsergebnis
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
Priorität	Sicherheitsergebnis
Schweregrad	security_result.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
splunk_id	Informationen zu Labels.Schlüssel/Wert
splunk_realm	Informationen zu Labels.Schlüssel/Wert
src_user (Nutzer)	Hauptkonto.user.nutzer_displayname
src_user_bunit	Hauptkonto.labels.Schlüssel/Wert
src_user_category [Benutzerkategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität_src_user	Hauptkonto.labels.Schlüssel/Wert
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert
Ticket-ID	target.user.attribute.label.ley/Wert
time_submitted	Hauptkonto.nutzer.attribut.erstellungszeit
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert

Ändern

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzänderung aufgeführt:

Logfeld	UDM-Zuordnung
Ändern	Informationen zu Labels.Schlüssel/Wert

Vorfall

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatzvorfall aufgeführt:

Logfeld	UDM-Zuordnung
Vorfall	Informationen zu Labels.Schlüssel/Wert

Problem

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset Problem aufgeführt:

Logfeld	UDM-Zuordnung
Problem	Informationen zu Labels.Schlüssel/Wert

Updates

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Aktualisierungen des Splunk-Datasets aufgeführt:

Logfeld	UDM-Zuordnung
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_should_update	target.labels.key/value (Ziellabel.Schlüssel/Wert)
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
Datei-Hash	target.file.sha256, target.file.md5, target.file.sha1
Dateiname	Informationen zu Labels.Schlüssel/Wert
Schweregrad	security_result.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
Status	Sicherheitsergebnis
Tag	Informationen zu Labels.Schlüssel/Wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

Sicherheitslücken

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Sicherheitslücken aufgeführt:

Logfeld	UDM-Zuordnung
Bugtraq	Informationen zu Labels.Schlüssel/Wert
category	Details zum Sicherheitsergebnis
Zertifikat	Informationen zu Labels.Schlüssel/Wert
CIC	vulnerabilites.cve_beschreibung
CSV	Sicherheitslücken.cvss_base_score
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
DVD	Prinzipal.Asset.Hostname, Prinzipal.Asset.ip
DVC_BUnit	Informationen zu Labels.Schlüssel/Wert
DVC-Kategorie	Informationen zu Labels.Schlüssel/Wert
dvc_priorität	Informationen zu Labels.Schlüssel/Wert
msft	Informationen zu Labels.Schlüssel/Wert
mskb	Informationen zu Labels.Schlüssel/Wert
Schweregrad	extensions.vulns.vulnerabilites.severity
Schweregrad_ID	Informationen zu Labels.Schlüssel/Wert
Signatur	Metadaten.Beschreibung
Signatur-ID	Metadaten.Produktereignisereignis
Tag	Informationen zu Labels.Schlüssel/Wert
url	extensions.vulns.vulnerabilites.about.url
user (Nutzer)	extensions.vulns.vulnerabilites.about.user.user_display_name
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert
Xref	Informationen zu Labels.Schlüssel/Wert

Web

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Splunk-Dataset „Web“ aufgeführt:

Logfeld	UDM-Zuordnung
Aktion	security_result.action_details security_result.action
App	Zielanwendung
Byte	Informationen zu Labels.Schlüssel/Wert
Byte_in	network.Receivedd_Byte
Byte_Ausgang	network.sent_bytes
im Cache gespeichert	Informationen zu Labels.Schlüssel/Wert
category	Details zum Sicherheitsergebnis
Keks	Informationen zu Labels.Schlüssel/Wert
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_category	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_priority	target.labels.key/value (Ziellabel.Schlüssel/Wert)
dest_port	Zielport
Dauer	network.session_duration
http_content_type [Inhaltstyp]	Informationen zu Labels.Schlüssel/Wert
http_method	network.http.method
http_Verweis	network.http.Verweis_URL
http_verweisende Domain	Informationen zu Labels.Schlüssel/Wert
http_Nutzer-Agent	network.http.user_agent.
http_user_agent_length	Informationen zu Labels.Schlüssel/Wert
Reaktionszeit	Informationen zu Labels.Schlüssel/Wert
Website	Informationen zu Labels.Schlüssel/Wert
src	Prinzipal.ip, Prinzipal.Hostname, Hauptkonto.labels.Schlüssel/Wert
src_unit	Hauptkonto.labels.Schlüssel/Wert
src_category [Kategorie]	Hauptkonto.labels.Schlüssel/Wert
Priorität	Hauptkonto.labels.Schlüssel/Wert
Status	network.http.response_code.
Tag	Informationen zu Labels.Schlüssel/Wert
URI_Pfad	Informationen zu Labels.Schlüssel/Wert
URI_Abfrage	Informationen zu Labels.Schlüssel/Wert
url	info.url
URL-Domain	info.asset.netzwerk_domain
URL-Länge	Informationen zu Labels.Schlüssel/Wert
user (Nutzer)	Hauptkonto.user.nutzer_displayname
Nutzerblock	Informationen zu Labels.Schlüssel/Wert
Nutzerkategorie	Prinzipal.user.attribute.labels.key/value
nutzer_priorität	Hauptkonto.nutzer.attribut.label.schlüssel/wert
Anbieterprodukt	Informationen zu Labels.Schlüssel/Wert

UDM-Ereignistypen

In der folgenden Tabelle sind die Splunk-Tags und die entsprechenden UDM-Ereignistypen aufgeführt:

Datenmodell	Splunk-Tags	UDM-Ereignistyp
Benachrichtigungen	Benachrichtigung	STATUS_UPDATE
Authentifizierung	authentication	USER_UNCATEGORIZED (Vom Nutzer nicht zugeordnet)
Zertifikat	Zertifikat	NETZWERK_UNCATEGORISIERT
Ändern	Ändern	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Datenzugriff	Daten, Zugriff	USER_RESOURCE_ZUGRIFF
Datenbanken	Datenbank	USER_RESOURCE_ZUGRIFF
Datenbanken	Datenbank, Instanz, Statistiken	STATUS_UPDATE
Datenbanken	Datenbank, Instanz, Status	STATUS_UPDATE
Datenbanken	Datenbank, Instanz, sperren	STATUS_UPDATE
Datenbanken	Datenbank, Anfrage	STATUS_UPDATE
Datenbanken	Datenbank, Abfrage, Tablespace	STATUS_UPDATE
Datenbanken	Datenbank, Abfrage, Statistik	STATUS_UPDATE
Schutz vor Datenverlust	dlp, Vorfall	SCAN_UNCATEGORIZED
E-Mail	email	E-MAIL-ADRESSE
E-Mail	E-Mail, Lieferung	E-MAIL-TRANSACTION
Endpunkt	hören, Port	SERVICE_UNSPECIFIED
Endpunkt	Prozess, Bericht	PROZESSVERARBEITUNG
Endpunkt	Dienst, melden	SERVICE_UNSPECIFIED
Endpunkt	Endpunkt, Dateisystem	DATE_UNCATEGORIZED
Endpunkt	Endpunkt, Registry	REGISTRY_UNCATEGORIZED (REGISTRY_UNCATEGORIZED)
Unterschriften der Veranstaltung	track_event_signature	STATUS_UPDATE
Messaging zwischen Prozessen	messaging	STATUS_UPDATE
Intrusion Detection	IDs, Angriff	SERVICE_UNSPECIFIED
Inventar	inventory	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Java Virtual Machine (JVM)	jvm	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Malware	Malware	STATUS_UPDATE
Netzwerkauflösung(DNS)	Netzwerk, Auflösung, DNS	NETWORK_DNS
Netzwerksitzungen	Netzwerk, Sitzung	NETZWERKVERBINDUNG
Netzwerksitzungen	Netzwerk, Sitzung, dhcp	NETZWERK_DHCP
Netzwerkverkehr	Netzwerk, kommunizieren	NETZWERKVERBINDUNG
Leistung	Leistung	SERVICE_UNSPECIFIED
Splunk-Audit-Logs	Modifikation	STATUS_UPDATE
Ticketverwaltung	Tickets	STATUS_UPDATE
Ticketverwaltung	Ticketticket, ändern	STATUS_UPDATE
Updates	update	STATUS_UPDATE
Sicherheitslücken	melden, Sicherheitslücken	SCAN_UNCATEGORIZED
Web	web	NETZWERK_UNCATEGORISIERT

Nächste Schritte

Datenaufnahme in Chronicle