Recopilar registros de CIM de Splunk
En este documento, se describe cómo puedes recopilar registros del modelo de información común (SIM) de Splunk mediante la configuración de Splunk y un servidor de reenvío de Chronicle. En este documento, también se enumeran los tipos de registros compatibles y las versiones de Splunk compatibles.
Para obtener más información, consulta Transferencia de datos a Chronicle.
Descripción general
En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran los agentes de Splunk para enviar registros a Chronicle. Cada implementación del cliente puede diferir de esta representación y puede ser más compleja.
En el diagrama de arquitectura, se muestran los siguientes componentes:
Fuente de datos: El sistema que se supervisará en el que se instala Splunk.
Splunk: Recopila información de la fuente de datos y la reenvía al servidor de reenvío de Chronicle.
Reenviador de Chronicle: Un componente de software liviano, implementado en la red del cliente para reenviar los registros a Chronicle.
Chronicle: Retiene y analiza los registros del servidor de la flota.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato estructurado de UDM. La información que aparece en este documento se aplica al analizador con la etiqueta de transferencia SPLUNK.
Antes de comenzar
Usa la versión 5.0 de Splunk compatible con el analizador Chronicle.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura un agente de Splunk y un servidor de reenvío de Chronicle
Instala un agente compatible con CIM desde Splunkbase.
Configura el reenvío de Chronicle para enviar los registros al sistema de Chronicle. El siguiente es un ejemplo de una configuración de reenvío de Chronicle:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: | datamodel Network_Traffic All_Traffic
Tipos de registros y modelos de datos admitidos
| Modelo de datos de Splunk | Admitido |
|---|---|
| Alertas | Sí |
| Estado de la aplicación (obsoleta) | No |
| Authentication | Sí |
| Certificados | Sí |
| Cambiar | Sí |
| Análisis de cambios (obsoleto) | No |
| Acceso a los datos | Sí |
| Bases de datos | Sí |
| Prevención de pérdida de datos | Sí |
| Correo electrónico | Sí |
| Extremo | Sí |
| Firmas de eventos | Sí |
| Mensajería entre procesos | Sí |
| Detección de intrusiones | Sí |
| Inventario | Sí |
| Máquinas virtuales Java (JVM) | Sí |
| Software malicioso | Sí |
| Resolución de red (DNS) | Sí |
| Sesiones de red | Sí |
| Tráfico de red | Sí |
| Rendimiento | Sí |
| Registros de auditoría de Splunk | Sí |
| Administración de vales | Sí |
| Actualizaciones | Sí |
| Vulnerabilidades | Sí |
| Web | Sí |
Referencia de asignación de campos
En esta sección, se explica cómo el analizador de Chronicle asigna los campos de registro de Splunk a los campos del modelo de datos unificados de Chronicle (UDM) para los conjuntos de datos. Para obtener más información, consulta el documento de Splunk para la versión 5.0.1.
Alertas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las alertas de conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| app | observador.application |
| descripción | seguridad_result.descripción |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| tipo_dest | target.resource.resource_type, |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/valor |
| severity (gravedad) | security_result.severity |
| id_de_gravedad | about.labels.key/value |
| firma | metadata.description |
| id_firma | seguridad_result.rule_name |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| src_type | principal.resource.resource_type |
| etiqueta de política | about.labels.key/value |
| type | seguridad_result.alert_state |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| nombre_usuario | principal.user.userid |
| prioridad_usuario | principal.user.attribute.label.key/value |
| cuenta_de_proveedor | about.labels.key/value |
| región_del_proveedor | acerca de.ubicación.país_o_región |
Authentication
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la autenticación del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| app | aplicación.target |
| método_de_autenticación | about.labels.key/value |
| servicio_de_autenticación | extension.auth.auth_details |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_nt_domain | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| Reason | security_result.summary (sitio web) |
| tiempo_de_respuesta | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_nt_domain | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| Usuario_src | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/valor |
| src_user_category | principal.labels.key/valor |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/valor |
| Función_de_usuario_src | principal.user.attribute.roles.name (repetido) |
| src_user_type | principal.user.attribute.roles.type |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| usuario-agente | network.http.user_agent |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| prioridad_usuario | principal.user.attribute.label.key/value |
| función_usuario | principal.user.attribute.roles.name (repetido) |
| tipo_usuario | principal.user.attribute.roles.type |
| cuenta_de_proveedor | about.labels.key/value |
Todos_los_certificados
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_port | target.port. |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| tiempo_de_respuesta | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_port | principal.port |
| src_priority | principal.labels.key/valor |
| etiqueta de política | about.labels.key/value |
| transport | network.ip_protocol |
SSL
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el SSL del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| hora de finalización de ssl | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value |
| ssl_hash | about.labels.key/value |
| ssl_is_valid | about.labels.key/value |
| ssl_issuer. | network.tls.server.certificate.issuer |
| ssl_issuer_common_name. | about.labels.key/value |
| ssl_issuer_email | about.labels.key/value |
| ssl_issuer_email_domain | about.labels.key/value |
| ssl_issuer_locality | about.labels.key/value |
| ssl_issuer_organization | about.labels.key/value |
| ssl_issuer_state | about.labels.key/value |
| ssl_issuer_street. | about.labels.key/value |
| ssl_issuer_unit | about.labels.key/value |
| nombre_ssl | about.labels.key/value |
| ssl_policies | about.labels.key/value |
| Clave_pública de ssl | about.labels.key/value |
| Algoritmo_clave_pública_de_ssl | about.labels.key/value |
| ssl_serial | network.tls.server.certificate.serial |
| ID de sesión de ssl | ID de red |
| algoritmo_ssl_signature | about.labels.key/value |
| ssl_start_time | network.tls.server.certificate.not_before |
| asunto_ssl | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value |
| ssl_subject_email | about.labels.key/value |
| ssl_subject_email_domain | about.labels.key/value |
| localidad_de_ asunto | about.labels.key/value |
| ssl_subject_organization | about.labels.key/value |
| ssl_subject_state [estado_asunto_ssl] | about.labels.key/value |
| ssl_subject_street | about.labels.key/value |
| ssl_subject_unit | about.labels.key/value |
| ssl_validity_window | about.labels.key/value |
| versión_ssl | network.tls.server.certificate |
Todos_los_cambios
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: All_Changes:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| tipo_cambio | seguridad_resultado.category_detalles |
| comando | principal.process.command_line |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| DVC | principal.asset.hostname, principal.asset.ip |
| objeto | target.resource.name |
| objetos_para_objetos | about.labels.key/value |
| categoría_objeto | about.labels.key/value |
| id_objeto | target.user.product_object_id |
| ruta_objeto | target.file.full_path, |
| Resultado | seguridad_result.descripción |
| id_resultado | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
| user | target.user.user_display_name, principal.user.user_display_name |
| usuario-agente | network.http.user_agent |
| nombre_usuario | principal.user.userid, target.user.userid |
| tipo_usuario | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| cuenta_de_proveedor | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
| región_del_proveedor | acerca de.ubicación.país_o_región |
Administración_de cuentas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | dominio_principal_administrativo |
| Usuario_src | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/valor |
| src_user_category | principal.labels.key/valor |
| src_user_priority | principal.labels.key/valor |
| src_user_name | principal.labels.key/valor |
| src_user_type | principal.user.attribute.roles.type |
Cambios_instancias
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: Instance_Changes.
| Campo de registro | Asignación de UDM |
|---|---|
| id_imagen | principal.elemento_id |
| tipo_instancia | about.labels.key/value |
Cambios_de_red
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| rango_ip_dest | target.labels.key/valor |
| rango_puerto_dest. | target.labels.key/valor |
| direction | red.direction |
| protocolo | network.ip_protocol |
| regla_acción | security_result.action_details security_result.action. |
| src_ip_range | principal.labels.key/valor |
| rango_puerto_src | principal.labels.key/valor |
Acceso a los datos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| app | aplicación.target |
| id_app | metadata.product_log_id |
| dest | target.ip, target.hostname y target.labels.key/value |
| dest_name | target.administrative_domain |
| URL de dest. | URL de destino |
| DVC | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| objeto | target.resource.name |
| categoría_objeto | about.labels.key/value |
| id_objeto | target.user.product_object_id |
| ruta_objeto | target.file.full_path, |
| tamaño_objeto | target.file.size. |
| propietario | about.labels.key/value |
| correo electrónico_propietario | about.labels.key/value |
| id_propietario | principal.user.userid |
| superior_objeto | target.resource.parent. |
| ID_de_objeto_principal | about.labels.key/value |
| categoría_objeto_superior | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| tenant_id | about.labels.key/value |
| user | principal.user.user_display_name |
| usuario-agente | network.http.user_agent |
| grupo_usuario | principal.user.group_identifiers(repetido) |
| función_usuario | principal.user.attribute.roles.name (repetido) |
| proveedor_producto | about.labels.key/value |
| ID_del_producto_proveedor | about.labels.key/value |
Todas_las_bases de datos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: All_Databases:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| objeto | target.resource.name |
| tiempo_de_respuesta | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Base de datos_instancia
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| versión_de_instancia | target.resource.attributes.key/value |
| proceso_límite | about.labels.key/value |
| límite_de_sesión | about.labels.key/value |
Consulta_base_de_datos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| búsqueda | about.labels.key/value |
| ID_consulta | about.labels.key/value |
| tiempo_consulta | about.labels.key/value |
| registros_afectados | about.labels.key/value |
Estadísticas_de_instancias
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: Instance_Stats:
| Campo de registro | Asignación de UDM |
|---|---|
| de disponibilidad | about.labels.key/value |
| prom._ejecuciones | about.labels.key/value |
| dump_area_used [juego] | about.labels.key/value |
| instancia_lecturas | about.labels.key/value |
| instancias_escrituras | about.labels.key/value |
| cantidad_de_usuarios | about.labels.key/value |
| Procesos | about.labels.key/value |
| sessions | about.labels.key/value |
| sga_buffer_cache_size | about.labels.key/value |
| límite_de_búfer_sga | about.labels.key/value |
| sga_data_dict_hit_ratio | about.labels.key/value |
| tamaño_área_fija | about.labels.key/value |
| memoria_sga_gratis | about.labels.key/value |
| tamaño_biblioteca_sga | about.labels.key/value |
| sga_redo_log_buffer_size | about.labels.key/value |
| tamaño_piscina_compartido_sga | about.labels.key/value |
| tamaño_área_sga_sql | about.labels.key/value |
| start_time | about.labels.key/value |
| espacio_tabla_usado | about.labels.key/value |
Información de la sesión
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| proporción_acierto_de_almacenamiento_en_búfer | about.labels.key/value |
| commits | about.labels.key/value |
| cpu_usado | about.labels.key/value |
| cursor | about.labels.key/value |
| tiempo_pasado | about.labels.key/value |
| lecturas_lógicas | about.labels.key/value |
| máquina | about.hostname |
| ordenamientos_memoria | about.labels.key/value |
| lecturas_físicas | about.labels.key/value |
| segundos_en_espera | about.labels.key/value |
| session_id | ID de red |
| estado_de_la_sesión | about.labels.key/value |
| análisis de tablas | about.labels.key/value |
| estado_espera | about.labels.key/value |
| tiempo de espera | about.labels.key/value |
Información de bloqueo
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| último_llamada_minuto | about.labels.key/value |
| modo_bloqueo | about.labels.key/value |
| ID de bloqueo | about.labels.key/value |
| hora_de_inicio | about.labels.key/value |
| nombre_objetivo | about.labels.key/value |
| os_pid | target.process.pid; |
| núm_serie | target.resource.product_object_id. |
Espacio de tabla
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el espacio de tabla del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| free_bytes | acerca de.file.size |
| nombre_tabla_espacio | about.resource.name |
| lectura_espacio_tabla | about.labels.key/value |
| estado_espacio_tabla | about.labels.key/value |
| tablespace_writes | about.labels.key/value |
Estadísticas_Consultas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: Query_Stats:
| Campo de registro | Asignación de UDM |
|---|---|
| índices_hit | about.labels.key/value |
| consulta_plan_hit | about.labels.key/value |
| almacenados_procedimientos_llamados | about.labels.key/value |
| éxitos_de_tablas | about.labels.key/value |
Incidentes de DLP
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| app | aplicación.target |
| categoría | seguridad_resultado.category_detalles |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_zone | target.location.country_or_origin |
| dlp_type [tipo_dlp] | about.labels.key/value |
| DVC | principal.asset.hostname, principal.asset.ip |
| unidad_dvc | about.labels.key/value |
| categoría_DVC | about.labels.key/value |
| prioridad_dvc | about.labels.key/value |
| zona_dvc | principal.elemento.ubicación.país_o_región |
| objeto | target.resource.name |
| categoría_objeto | about.labels.key/value |
| ruta_objeto | target.file.full_path, |
| severity (gravedad) | security_result.severity |
| id_de_gravedad | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| Usuario_src | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/valor |
| src_user_category | principal.labels.key/valor |
| src_user_priority | principal.labels.key/valor |
| src_zone | principal.ubicación.país_o_origen |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Todo_correo_electrónico
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| delay | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| hash_archivo | about.file.sha256, aproximadamente.file.md5, about.file.sha1 |
| nombre_archivo | about.labels.key/value |
| tamaño_archivo | acerca de.file.size |
| id_mensaje_interno | metadata.product_log_id |
| message_id | network.email.mail_id |
| mensaje_información | about.labels.key/value |
| orig_dest | target.labels.key/valor |
| destinatario_de_orig | about.labels.key/value |
| orig_src, | network.email |
| process | principal.process.command_line |
| ID del proceso | principal.process.pid |
| protocolo | network.application_protocol |
| destinatario | network.email.to |
| recuento_destinatario | about.labels.key/value |
| dominio_destinatario | about.labels.key/value |
| estado_destinatario | about.labels.key/value |
| tiempo_de_respuesta | about.labels.key/value |
| retries | about.labels.key/value |
| retorno de la inversión | about.labels.key/value |
| size | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| Usuario_src | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/valor |
| src_user_category | principal.labels.key/valor |
| src_user_domain | dominio_principal_administrativo |
| src_user_priority | principal.labels.key/valor |
| código_de_estado | about.labels.key/value |
| asunto | network.email.subject(repetido) |
| etiqueta de política | about.labels.key/value |
| url | acerca de |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
| Xdelay | about.labels.key/value |
| xref | about.labels.key/value |
Filtros
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el filtrado del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción_filtro | about.labels.key/value |
| Puntuación de filtro | about.labels.key/value |
| firma | metadata.description |
| firma_extra | about.labels.key/value |
| id_firma | metadata.product_event_type |
Puertos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los puertos del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| hora_de_creación | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_port | target.port. |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| dest_should_timesync | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| guía_proceso | principal.process.product_specific_process_id |
| ID del proceso | principal.process.pid |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| src_port | principal.port |
| src_require_av | principal.labels.key/valor |
| src_should_timesync | principal.labels.key/valor |
| src_should_update | principal.labels.key/valor |
| state | about.labels.key/value |
| etiqueta de política | about.labels.key/value |
| transport | network.ip_protocol |
| puerto_dest_transporte | target.labels.key/valor |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
Procesos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los procesos del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| Porcentaje_carga_cpu | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_is_expected | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| dest_should_timesync | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| m_usado | about.labels.key/value |
| nombre_archivo_original | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| proceso_principal | about.labels.key/value |
| superior_proceso_ejecutivo | about.labels.key/value |
| ID del proceso superior | principal.process.parent_process.parent_pid |
| guía_del_proceso_superior | principal.process.parent_process.product_specific_process_id |
| nombre_del_proceso_superior | about.labels.key/value |
| ruta_del_proceso_superior | principal.process.parent_process.command_line |
| process | about.labels.key/value |
| process_current_directory | about.labels.key/value |
| proceso_exec | about.labels.key/value |
| proceso_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| guía_proceso | principal.process.product_specific_process_id |
| ID del proceso | principal.process.pid |
| nivel_de_integridad_proceso | security_result.severity |
| proceso_nombre | principal.process.command_line |
| proceso_ruta | principal.process.file.full_path |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| user_id | principal.user.userid |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Servicios
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los servicios del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| descripción | seguridad_result.descripción |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_is_expected | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| dest_should_timesync | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| guía_proceso | principal.process.product_specific_process_id |
| ID del proceso | principal.process.pid |
| servicio | aplicación.target |
| servicio_dll | about.labels.key/value |
| servicio_dll_path | acerca de.file.full_path |
| service_dll_hash | about.labels.key/value |
| service_dll_signature_exists | about.labels.key/value |
| service_dll_signature_verified | about.labels.key/value |
| service_exec | target.process.file.full_path |
| hash_servicio | about.labels.key/value |
| service_id | about.labels.key/value |
| service_name | about.labels.key/value |
| servicio_ruta | about.labels.key/value |
| service_signature_exists | about.labels.key/value |
| servicio_firma_verificado | about.labels.key/value |
| modo_inicio | about.labels.key/value |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Sistema de archivos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el sistema de archivos del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| dest_should_timesync | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| archivo_acceso_tiempo | about.labels.key/value |
| archivo_create_time | target.asset.attribute.creation_time |
| hash_archivo | target.file.sha256, target.file.md5, target.file.sha1 |
| hora_modificar_archivo | about.labels.key/value |
| nombre_archivo | about.labels.key/value |
| ruta_archivo | target.file.full_path, |
| archivo_acl | about.labels.key/value |
| tamaño_archivo | target.file.size. |
| guía_proceso | principal.process.product_specific_process_id |
| ID del proceso | principal.process.pid |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Registro
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el registro del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| dest_should_timesync | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| guía_proceso | principal.process.product_specific_process_id |
| ID del proceso | principal.process.pid |
| registro_hive | about.labels.key/value |
| ruta_registro | about.labels.key/value |
| nombre_clave_registro | target.registry.registry_key. |
| datos_valor_registro | target.registry.registry_value_data. |
| nombre_valor_registro | target.registry.registry_value_name. |
| registro_valor_texto | about.labels.key/value |
| tipo_valor_registro | about.labels.key/value |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Firmas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las firmas del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| etiqueta de política | about.labels.key/value |
Producto_de_proveedores_de_firmas
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: Signatures_vendor_product:
| Campo de registro | Asignación de UDM |
|---|---|
| proveedor_producto | about.labels.key/value |
All_Interprocess_Messaging
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: All_Interprocess_Messaging:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| extremo | about.labels.key/value |
| versión_extremo | about.labels.key/value |
| mensaje | about.labels.key/value |
| mensaje_consumir_tiempo | about.labels.key/value |
| id_correlación_mensaje | about.labels.key/value |
| mensaje_entregado_hora | about.labels.key/value |
| modo_entrega_mensajes | about.labels.key/value |
| mensaje_vencimiento_tiempo | about.labels.key/value |
| message_id | metadata.product.log_id |
| prioridad_mensaje | about.labels.key/value |
| mensaje_propiedades | about.labels.key/value |
| mensaje_recibido_hora | about.labels.key/value |
| mensaje_entregado | about.labels.key/value |
| mensaje_respuesta | target.labels.key/valor |
| message_type | about.labels.key/value |
| Parámetros | about.labels.key/value |
| Carga útil | about.labels.key/value |
| tipo_carga útil | about.labels.key/value |
| solicitud_carga útil | about.labels.key/value |
| request_payload_type [tipo_carga_solicitud] | about.labels.key/value |
| solicitud_sent_time | about.labels.key/value |
| código_de_respuesta | red.http_response_code |
| tipo_carga_respuesta | about.labels.key/value |
| tiempo_de_recepción_de_respuesta | about.labels.key/value |
| tiempo_de_respuesta | about.labels.key/value |
| mostrar_mensaje | about.labels.key/value |
| protocolo_rpc | network.application_protocol |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
IDS_Ataques
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: IDS_Attacks:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| categoría | seguridad_resultado.category_detalles |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| DVC | principal.asset.hostname, principal.asset.ip |
| unidad_dvc | about.labels.key/value |
| categoría_DVC | about.labels.key/value |
| prioridad_dvc | about.labels.key/value |
| hash_archivo | target.file.sha256, target.file.md5, target.file.sha1 |
| nombre_archivo | about.labels.key/value |
| ruta_archivo | target.file.full_path, |
| ID de tipo | about.labels.key/value |
| severity (gravedad) | security_result.severity |
| id_de_gravedad | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| src_port | principal.port |
| etiqueta de política | about.labels.key/value |
| transport | network.ip_protocol |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
DS_Ataques
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: DS_Attacks:
| Campo de registro | Asignación de UDM |
|---|---|
| dest_port | target.port. |
Inventario_todo
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| descripción | seguridad_result.descripción |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| habilitada | about.labels.key/value |
| familia | about.labels.key/value |
| id.de hipervisor | about.labels.key/value |
| serial | principal.elemento.hardware.serial_number |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
| version | about.labels.key/value |
CPU
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la CPU del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| núcleos_cpu | principal.asset.hardware.cpu_number_núcleos |
| conteo de cpu | about.labels.key/value |
| CPU_MHz | principal.elemento.hardware.cpu_clock_speed |
| cpu_load_mhz; | principal.elemento.hardware.cpu_clock_speed |
| Porcentaje_carga_cpu | about.labels.key/value |
| Hora_cpu | about.labels.key/value |
| Porcentaje_usuario_cpu | about.labels.key/value |
Memoria
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la memoria del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| mem | principal.elemento.hardware.ram |
| montón_comprometido | about.labels.key/value |
| montón_inicial | about.labels.key/value |
| montón_máximo | about.labels.key/value |
| heap_used [usado] | about.labels.key/value |
| no_advertido | about.labels.key/value |
| inicial_no_heap | about.labels.key/value |
| no_máx. | about.labels.key/value |
| no_heap_used | about.labels.key/value |
| objetos_pendiente | about.labels.key/value |
| mem | principal.elemento.hardware.ram |
| compromiso_m | about.labels.key/value |
| mem_gratis | about.labels.key/value |
| m_usado | about.labels.key/value |
| Cambio | about.labels.key/value |
| cambio_gratis | about.labels.key/value |
| intercambio_usado | about.labels.key/value |
red
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la red del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value |
| intercalado_nat | about.labels.key/value |
| Interfaz | about.labels.key/value |
| ip | principal.elemento.ip |
| lb_método | about.labels.key/value |
| Mac | principal.elemento.mac |
| name | principal.resource.name |
| nodo | about.labels.key/value |
| puerto_nodo | target.port. |
| src_ip | principal.ip |
| puerto_vip | about.labels.key/value |
| propulsor | about.labels.key/value |
| thruput_max | about.labels.key/value |
SO
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el SO del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| memoria_comprometida | about.labels.key/value |
| Hora_cpu | about.labels.key/value |
| memoria_física | about.labels.key/value |
| intercambio_gratuito | about.labels.key/value |
| máx_archivo_descriptores | about.labels.key/value |
| open_file_descriptors, | about.labels.key/value |
| os | principal.asset.platform_software.platform_version |
| Arquitectura_SO | about.labels.key/value |
| os_version | about.labels.key/value |
| memoria_física | about.labels.key/value |
| espacio_de_intercambio | about.labels.key/value |
| carga_del_sistema | about.labels.key/value |
| procesadores_totales | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
Storage
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| array | about.labels.key/value |
| tamaño de bloque | about.labels.key/value |
| clúster | about.resource.resource_type = "CLUSTER" |
| fd_máx | about.labels.key/value |
| latencia | about.labels.key/value |
| soporte | principal.resource.attribute.labels.key/valor |
| elemento superior | principal.resource.parent |
| lectura_bloques | about.labels.key/value |
| latencia_lectura | about.labels.key/value |
| operaciones de lectura | about.labels.key/value |
| almacenamiento | about.labels.key/value |
| bloques_de_escritura | about.labels.key/value |
| latencia_escritura | about.labels.key/value |
| operaciones de escritura | about.labels.key/value |
| array | about.labels.key/value |
| tamaño de bloque | about.labels.key/value |
| clúster | about.resource.resource_type = "CLUSTER" |
| fd_máx | about.labels.key/value |
| fd_usado | about.labels.key/value |
| latencia | about.labels.key/value |
| soporte | about.labels.key/value |
| elemento superior | principal.resource.parent |
| lectura_bloques | about.labels.key/value |
| latencia_lectura | about.labels.key/value |
| operaciones de lectura | about.labels.key/value |
| almacenamiento | about.labels.key/value |
| almacenamiento_libre | about.labels.key/value |
| porcentaje_de_almacenamiento_gratuito | about.labels.key/value |
| storage_used [almacenamiento_utilizado] | about.labels.key/value |
| porcentaje_de_almacenamiento_utilizado | about.labels.key/value |
| bloques_de_escritura | about.labels.key/value |
| latencia_escritura | about.labels.key/value |
| operaciones de escritura | about.labels.key/value |
| código_de_error | security_result.description |
| operación | about.labels.key/value |
| nombre_almacenamiento | about.resource.name |
Usuario
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el usuario del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| interactive | about.labels.key/value |
| contraseña | about.labels.key/value |
| shell | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| prioridad_usuario | principal.user.attribute.label.key/value |
Virtual_OS
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| hipervisor | about.labels.key/value |
Instantánea
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la instantánea del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| size | acerca de.file.size |
| snapshot | about.labels.key/value |
| tiempo | about.labels.key/value |
JVM
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el JVM de conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| jvm_description | seguridad_result.descripción |
| etiqueta de política | about.labels.key/value |
Subprocesos
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los subprocesos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| cm_habilitado | about.labels.key/value |
| admitido_cm | about.labels.key/value |
| cpu_time_enabled | about.labels.key/value |
| cpu_time_supported | about.labels.key/value |
| hora_cpu_actual | about.labels.key/value |
| tiempo_usuario_actual | about.labels.key/value |
| recuento_de_subprocesos | about.labels.key/value |
| compatible con omu_supported | about.labels.key/value |
| cantidad_de_subprocesos_máx | about.labels.key/value |
| sincronización sincronizada | about.labels.key/value |
| cantidad_de_conversaciones | about.labels.key/value |
| conversaciones_iniciadas | about.labels.key/value |
Entorno de ejecución
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el entorno de ejecución del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| proceso_nombre | principal.process.command_line |
| start_time | about.labels.key/value |
| tiempo de actividad | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
| version | about.labels.key/value |
Compilación
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la compilación del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| tiempo_compilación | about.labels.key/value |
Carga de clases
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| Carga_actual | about.labels.key/value |
| total_cargado | about.labels.key/value |
| total_sin cargar | about.labels.key/value |
Ataques de software malicioso
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| categoría | seguridad_resultado.category_detalles |
| fecha | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| hash_archivo | target.file.sha256, target.file.md5, target.file.sha1 |
| nombre_archivo | about.labels.key/value |
| ruta_archivo | target.file.full_path, |
| severity (gravedad) | security_result.severity |
| id_de_gravedad | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| Usuario_src | principal.user.user_display_name |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| url | acerca de |
| proveedor_producto | about.labels.key/value |
Software malicioso
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_nt_domain | target.labels.key/valor |
| dest_nt_domain | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_require_av | target.labels.key/valor |
| versión_producto | about.labels.key/value |
| versión_firmada | versión_seguridad_resultado. |
| etiqueta de política | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
Software malicioso
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest_category | target.labels.key/valor |
DNS
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el DNS del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| Recuento_de_respuestas adicional | about.labels.key/value |
| respuesta | network.dns.answer.data |
| recuento de respuestas | about.labels.key/value |
| cantidad_de_respuestas | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_port | target.port. |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| message_type | about.labels.key/value |
| name | about.labels.key/value |
| búsqueda | network.dns.questions.name |
| cantidad_consulta | about.labels.key/value |
| tipo_consulta | network.dns.questions.type |
| tipo_registro | network.dns.answer.type(uint32) |
| código de respuesta | about.labels.key/value |
| ID de código de respuesta | red.dns.response_code |
| tiempo_de_respuesta | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_port | principal.port |
| src_priority | principal.labels.key/valor |
| etiqueta de política | about.labels.key/value |
| id_transacción | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
Todas_las_sesiones
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: All_Sessions:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_dns | target.labels.key/valor |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| host_nt_host | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| duration | network.session_duration |
| tiempo_de_respuesta | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_dns | principal.labels.key/valor |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| etiqueta de política | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
DHCP
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el DHCP del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| Duración de la asignación | network.dhcp.lease_time_second |
| asignación de tiempo | about.labels.key/value |
Todo_tráfico
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| app | network.application_protocol |
| bytes | about.labels.key/value |
| bytes_in | network.received_bytes |
| bytes_out | red.sent_bytes |
| channel | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| interfaz_dest | target.labels.key/valor |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port. |
| dest_priority | target.labels.key/valor |
| dest_translated_ip | target.nat_ip |
| puerto_de_traslado | target_nat_port |
| dest_zone | target.location.country_or_origin |
| direction | red.direction |
| duration | network.session_duration |
| DVC | principal.asset.hostname, principal.asset.ip |
| unidad_dvc | about.labels.key/value |
| categoría_DVC | about.labels.key/value |
| dvc_ip | about.labels.key/value |
| dvc_mac | principal.elemento.mac |
| prioridad_dvc | about.labels.key/value |
| zona_dvc | principal.elemento.ubicación.país_o_región |
| id_flujo | about.labels.key/value |
| código_icmp | about.labels.key/value |
| icmp_type | about.labels.key/value |
| paquetes | about.labels.key/value |
| paquetes_en | about.labels.key/value |
| paquetes_out | about.labels.key/value |
| protocolo | about.labels.key/value |
| versión de protocolo | about.labels.key/value |
| tiempo_de_respuesta | about.labels.key/value |
| regla | seguridad_result.rule_id |
| session_id | ID de red |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_interface | principal.labels.key/valor |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/valor |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_puerto |
| src_zone | principal.ubicación.país_o_origen |
| SID | about.labels.key/value |
| etiqueta de política | about.labels.key/value |
| tcp_flag | about.labels.key/value |
| transport | network.ip_protocol |
| metas | about.labels.key/value |
| ttl | network.dns.additional.ttl |
| user | about.labels.key/value |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| cuenta_de_proveedor | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
| VLAN | about.labels.key/value |
| Wi-Fi | about.labels.key/value |
Todo_el_rendimiento
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_should_timesync | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| id.de hipervisor | about.labels.key/value |
| tipo_de_recurso | about.labels.key/value |
| etiqueta de política | about.labels.key/value |
Servicios
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las instalaciones de conjuntos de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| velocidad_del_fanático | about.labels.key/value |
| power | about.labels.key/value |
| temperatura | about.labels.key/value |
Sincronización de tiempo
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
Uptime
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| tiempo de actividad | about.labels.key/value |
Ver actividad
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| app | aplicación.target |
| gastado | about.labels.key/value |
| URI | about.labels.key/value |
| user | principal.user.user_display_name |
| vista | about.labels.key/value |
Datamodel_Acceleration
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: Datamodel_Acceleration:
| Campo de registro | Asignación de UDM |
|---|---|
| recuento_acceso | about.labels.key/value |
| tiempo_acceso | about.labels.key/value |
| app | aplicación.target |
| buckets | about.labels.key/value |
| tamaño_depósitos | about.labels.key/value |
| complete | about.labels.key/value |
| cron | about.labels.key/value |
| modelodedatos | about.labels.key/value |
| resumen | about.labels.key/value |
| primer | about.labels.key/value |
| está_en curso | about.labels.key/value |
| último_error | about.labels.key/value |
| último_sid | about.labels.key/value |
| más reciente | about.labels.key/value |
| hora de modificación | about.labels.key/value |
| retention | about.labels.key/value |
| size | acerca de.file.size |
| id_resumen | about.labels.key/value |
Actividad_de_búsqueda
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| host | about.hostname |
| información | about.labels.key/value |
| search | about.labels.key/value |
| búsqueda_et | about.labels.key/value |
| buscar_lt | about.labels.key/value |
| tipo_búsqueda | about.labels.key/value |
| source | principal.labels.key/valor |
| tipo de fuente | principal.labels.key/valor |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
Programador_actividad
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| app | aplicación.target |
| host | about.hostname |
| nombredebúsquedabúsqueda | about.labels.key/value |
| SAD | about.labels.key/value |
| source | principal.labels.key/valor |
| tipo de fuente | principal.labels.key/valor |
| servidor_splunk | principal.ip y principal.hostname |
| status | security_result.summary (sitio web) |
| user | principal.user.user_display_name |
Errores_de_servicio_web
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: Web_Service_Errors:
| Campo de registro | Asignación de UDM |
|---|---|
| host | about.hostname |
| source | principal.labels.key/valor |
| tipo de fuente | principal.labels.key/valor |
| event_id | seguridad_result.rule_name |
Modular_Actions
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| modo_acción | about.labels.key/value |
| estado_de_acción | about.labels.key/value |
| app | aplicación.target |
| duration | network.session_duration |
| componente | about.labels.key/value |
| orig_rid | about.labels.key/value |
| orig_sid | about.labels.key/value |
| irse | about.labels.key/value |
| nombre_búsqueda | about.labels.key/value |
| nombre_de_acción | seguridad_resultado.acción |
| firma | metadata.description |
| SAD | about.labels.key/value |
| user | about.labels.key/value |
Administración_de_entradas_totales
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk: All_Ticket_Management:
| Campo de registro | Asignación de UDM |
|---|---|
| problema_dest | target.labels.key/valor |
| comments (comentarios) | about.labels.key/value |
| descripción | seguridad_result.descripción |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| priority | seguridad_result.priority_details |
| severity (gravedad) | security_result.severity |
| id_de_gravedad | about.labels.key/value |
| id_splunk | about.labels.key/value |
| splunk_realm | about.labels.key/value |
| Usuario_src | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/valor |
| src_user_category | principal.labels.key/valor |
| src_user_priority | principal.labels.key/valor |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
| id_entrada | target.user.attribute.label.ley/value |
| tiempo_enviado | principal.user.attribute.creation_time |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
Cambiar
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el cambio del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| cambiar | about.labels.key/value |
Incidente
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el incidente de conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| incidente | about.labels.key/value |
Problema
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el problema de conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| problema | about.labels.key/value |
Actualizaciones
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las actualizaciones del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_should_update | target.labels.key/valor |
| DVC | principal.asset.hostname, principal.asset.ip |
| hash_archivo | target.file.sha256, target.file.md5, target.file.sha1 |
| nombre_archivo | about.labels.key/value |
| severity (gravedad) | security_result.severity |
| id_de_gravedad | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| status | security_result.summary (sitio web) |
| etiqueta de política | about.labels.key/value |
| proveedor_producto | about.labels.key/value |
Vulnerabilidades
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las vulnerabilidades del conjunto de datos de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| Error | about.labels.key/value |
| categoría | seguridad_resultado.category_detalles |
| certificado | about.labels.key/value |
| CV | vulnerabilidadbiles.cve_description |
| CSV | vulnerabilidades.cvss_base_score |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| DVC | principal.asset.hostname, principal.asset.ip |
| unidad_dvc | about.labels.key/value |
| categoría_DVC | about.labels.key/value |
| prioridad_dvc | about.labels.key/value |
| msft; | about.labels.key/value |
| kb | about.labels.key/value |
| severity (gravedad) | extensions.vulns.vulnerabilites.severity |
| id_de_gravedad | about.labels.key/value |
| firma | metadata.description |
| id_firma | metadata.product_event_type |
| etiqueta de política | about.labels.key/value |
| url | extensions.vulns.vulnerabilites.about.url, |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
| xref | about.labels.key/value |
Web
En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos web de Splunk:
| Campo de registro | Asignación de UDM |
|---|---|
| acción | security_result.action_details security_result.action. |
| app | aplicación.target |
| bytes | about.labels.key/value |
| bytes_in | network.received_bytes |
| bytes_out | red.sent_bytes |
| almacenado en caché | about.labels.key/value |
| categoría | seguridad_resultado.category_detalles |
| galleta | about.labels.key/value |
| dest | target.ip, target.hostname y target.labels.key/value |
| unidad_dest. | target.labels.key/valor |
| dest_category | target.labels.key/valor |
| dest_priority | target.labels.key/valor |
| dest_port | target.port. |
| duration | network.session_duration |
| http_content_type | about.labels.key/value |
| http_method | red.http.method |
| http_referrer | red.http.referral_url |
| http_refer_domain | about.labels.key/value |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value |
| tiempo_de_respuesta | about.labels.key/value |
| sitio | about.labels.key/value |
| src | principal.ip, principal.hostname y principal.labels.key/value |
| src_bunit | principal.labels.key/valor |
| src_category [categoría_src] | principal.labels.key/valor |
| src_priority | principal.labels.key/valor |
| status | red.http_response_code |
| etiqueta de política | about.labels.key/value |
| URI_ruta | about.labels.key/value |
| consulta_uri | about.labels.key/value |
| url | acerca de |
| dominio_url | about.asset.network_domain |
| longitud_url | about.labels.key/value |
| user | principal.user.user_display_name |
| unidad_usuario | about.labels.key/value |
| categoría_usuario | principal.user.attribute.labels.key/value |
| prioridad_usuario | principal.user.attribute.label.key/value |
| proveedor_producto | about.labels.key/value |
Tipos de eventos de UDM
En la siguiente tabla, se enumeran las etiquetas de Splunk y los tipos de eventos de UDM correspondientes:
| Modelo de datos | Etiquetas de Splunk | Tipo de evento de UDM |
|---|---|---|
| Alertas | alerta | ACTUALIZACIÓN DE ESTADO |
| Authentication | authentication | USER_UNCATEGORIZED |
| Certificado | certificado | NETWORK_UNCATEGORIZED |
| Cambiar | cambiar | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Acceso a los datos | datos, acceso | USER_RESOURCE_ACCESS |
| Bases de datos | base de datos | USER_RESOURCE_ACCESS |
| Bases de datos | base de datos, instancia, estadísticas | ACTUALIZACIÓN DE ESTADO |
| Bases de datos | base de datos, instancia, estado | ACTUALIZACIÓN DE ESTADO |
| Bases de datos | base de datos, instancia, bloqueo | ACTUALIZACIÓN DE ESTADO |
| Bases de datos | base de datos, consulta | ACTUALIZACIÓN DE ESTADO |
| Bases de datos | base de datos, consulta, espacio de tabla | ACTUALIZACIÓN DE ESTADO |
| Bases de datos | base de datos, consulta, estadísticas | ACTUALIZACIÓN DE ESTADO |
| Prevención de pérdida de datos | dlp, incidente | SCAN_UNCATEGORIZED |
| Correo electrónico | EMAIL_UNCATEGORIZED | |
| Correo electrónico | correo electrónico, entrega | CORREO ELECTRÓNICO DE TRANSACCIÓN |
| Extremo | escuchando, puerto | SERVICE_UNSPECIFIED |
| Extremo | proceso, informar | PROCESO_NO CATEGORIZADO |
| Extremo | servicio, informe | SERVICE_UNSPECIFIED |
| Extremo | extremo, sistema de archivos | FILE_UNCATEGORIZED |
| Extremo | extremo, registro | REGISTRY_UNCATEGORIZED |
| Firma del evento | track_event_signature, | ACTUALIZACIÓN DE ESTADO |
| Mensajería entre procesos | mensajería | ACTUALIZACIÓN DE ESTADO |
| Detección de instrucciones | ID, ataque | SERVICE_UNSPECIFIED |
| Inventario | inventario | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Java Virtual Machine (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Software malicioso | malware | ACTUALIZACIÓN DE ESTADO |
| Resolución de red(DNS) | red, resolución, dns | DNS_DE_RED |
| Sesiones de red | red, sesión | CONEXIÓN DE RED |
| Sesiones de red | red, sesión, dhcp | NETWORK_DHCP |
| Tráfico de red | red, comunicarse | CONEXIÓN DE RED |
| Rendimiento | rendimiento | SERVICE_UNSPECIFIED |
| Registros de auditoría de Splunk | modación | ACTUALIZACIÓN DE ESTADO |
| Administración de vales | venta de entradas | ACTUALIZACIÓN DE ESTADO |
| Administración de vales | venta de entradas, cambio | ACTUALIZACIÓN DE ESTADO |
| Actualizaciones | update | ACTUALIZACIÓN DE ESTADO |
| Vulnerabilidades | informe, vulnerabilidades | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |