Recopila registros de CIM de Splunk

En este documento, se describe cómo puedes recopilar registros del modelo de información común (CIM) de Splunk mediante la configuración de Splunk y un servidor de reenvío de Chronicle. En este documento, también se enumeran los tipos de registros compatibles y las versiones de Splunk compatibles.

Para obtener más información, consulta Transferencia de datos a Chronicle.

Descripción general

En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran los agentes de Splunk para enviar registros a Chronicle. Cada implementación del cliente puede diferir de esta representación y podría ser más compleja.

Arquitectura de implementación

En el diagrama de arquitectura, se muestran los siguientes componentes:

  • Fuente de datos: Es el sistema que se supervisará en el que se instala Splunk.

  • Splunk: Recopila información de la fuente de datos y la reenvía al servidor de reenvío de Chronicle.

  • Reenvío de Chronicle: un componente de software ligero que se implementa en la red del cliente para reenviar los registros a Chronicle.

  • Chronicle: Retiene y analiza los registros del servidor de flota.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia SPLUNK.

Antes de comenzar

  • Usa la versión 5.0 de Splunk que admite el analizador de Chronicle.

  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

Configura un agente de Splunk y un servidor de reenvío de Chronicle

  1. Configura Splunk Enterprise.

  2. Instala un agente compatible con CIM desde Splunkbase.

  3. Configura un servidor de reenvío de Chronicle.

  4. Configurar el servidor de reenvío de Chronicle para enviar los registros al sistema de Chronicle El siguiente es un ejemplo de configuración de un servidor de reenvío de Chronicle:

      - splunk:
          common:
            enabled: true
            data_type: SPLUNK
            batch_n_seconds: 10
            batch_n_bytes: 819200
          url: <SPLUNK_URL>
          query_cim: true
          is_ignore_cert: true
          query_string: datamodel Network_Traffic All_Traffic flat
    

Consideraciones para escribir búsquedas de Splunk

Splunk tiene su propio lenguaje de búsqueda, que es similar a SQL. Asegúrate de usar la sintaxis correcta para tu búsqueda. Ten en cuenta las siguientes características de búsqueda cuando crees una consulta:

Carácter de escape

Si el valor de una string contiene comillas dobles ", usa barras inversas para escapar las comillas. De lo contrario, la búsqueda interpretará de forma errónea el final del valor de la string.

Por ejemplo, si quieres buscar una string WHERE _raw="The user "vpatel" isn't authenticated.", debes usar la secuencia \" para buscar una comilla doble literal.

Escribe la cadena de búsqueda en el siguiente formato:

WHERE _raw="The user \"vpatel\" isn't authenticated."

Para escapar un carácter de barra inversa \ , usa la secuencia \\ para buscar una barra inversa.

Por ejemplo, si hay una cadena como C:\user\abc, se debe escribir como C:\\user\\abc.

Si una sección de la consulta no es válida, no se evalúa por completo y aparece un mensaje de error.

Considera el siguiente ejemplo en el que falta la opción del modo de búsqueda en la consulta:

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

En este ejemplo, falta la opción del modo de búsqueda en la consulta. Esto genera el siguiente error:

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Compatibilidad con varios modelos de datos

Splunk admite una sola consulta grande que abarca modelos de datos. La siguiente consulta de búsqueda extrae datos de varios modelos de datos:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Estos son los componentes de esta consulta que abarcan modelos de datos:

Multisearch: La consulta debe comenzar con la palabra multisearch. Una consulta para un modelo de datos debe encerrarse entre corchetes [ ] y comenzar con un carácter de barra vertical |.

Network_Traffic: Es el nombre del modelo de datos.

All_Traffic: Conjunto de datos del modelo de datos Network_Traffic.

flat: Modo de búsqueda. Las otras opciones son search y acceleration_search.

Recomendamos usar la siguiente consulta de Splunk para la búsqueda de varios modelos de datos:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Tipos de registros y modelos de datos compatibles

Modelo de datos de Splunk Admitido
Alertas
Estado de la aplicación (obsoleto) No.
Authentication
Certificados
Cambiar
Análisis de cambios (obsoleto) No.
Acceso a los datos
Bases de datos
Prevención de pérdida de datos
Correo electrónico
Extremo
Firmas de eventos
Mensajería entre procesos
Detección de intrusiones
Inventario
Máquinas virtuales Java (JVM)
Software Malicioso
Resolución de red (DNS)
Sesiones de red
Tráfico de red
Rendimiento
Registros de auditoría de Splunk
Administración de tickets
Actualizaciones
Vulnerabilidades
Web

Referencia de asignación de campos

En esta sección, se explica cómo el analizador de Chronicle asigna los campos de registro de Splunk a los campos del Chronicle Unified Data Model (UDM) para los conjuntos de datos. Para obtener más información, consulta el documento de Splunk sobre la versión 5.0.1.

Alertas

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las alertas de conjuntos de datos de Splunk:

Campo de registro Asignación de UDM
app observer.application
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_type target.resource.resource_type
id metadata.product_log_id
mitre_technique_id security_result.detection_fields.labels.key/value
gravedad, security_result.severity
severity_id about.labels.key/value
firma metadata.description
signature_id security_result.rule_name
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_type principal.resource.resource_type
etiqueta about.labels.key/value
tipo security_result.alert_state
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_name principal.user.userid
user_priority principal.user.attribute.label.key/value
vendor_account about.labels.key/value
vendor_region about.location.country_or_region

Authentication

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la autenticación del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
app target.application
authentication_method about.labels.key/value
authentication_service extension.auth.auth_details
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_nt_domain target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
Reason security_result.summary
response_time about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_nt_domain principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_id principal.user.userid
src_user_priority principal.labels.key/value
src_user_role principal.user.attribute.roles.name (repetido)
src_user_type principal.user.attribute.roles.type
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_agent network.http.user_agent
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value
user_role principal.user.attribute.roles.name (repetido)
user_type principal.user.attribute.roles.type
vendor_account about.labels.key/value

All_Certificates

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos All_Certificates de Splunk:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
duration network.session_duration
response_time about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_port principal.port
src_priority principal.labels.key/value
etiqueta about.labels.key/value
transport network.ip_protocol

SSL

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la SSL del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
ssl_end_time network.tls.server.certificate.not_after
ssl_engine about.labels.key/value
ssl_hash about.labels.key/value
ssl_is_valid about.labels.key/value
ssl_issuer network.tls.server.certificate.issuer
ssl_issuer_common_name about.labels.key/value
ssl_issuer_email about.labels.key/value
ssl_issuer_email_domain about.labels.key/value
ssl_issuer_locality about.labels.key/value
ssl_issuer_organization about.labels.key/value
ssl_issuer_state about.labels.key/value
ssl_issuer_street about.labels.key/value
ssl_issuer_unit about.labels.key/value
ssl_name about.labels.key/value
ssl_policies about.labels.key/value
ssl_publickey about.labels.key/value
ssl_publickey_algorithm about.labels.key/value
ssl_serial network.tls.server.certificate.serial
ssl_session_id network.session_id
ssl_signature_algorithm about.labels.key/value
ssl_start_time network.tls.server.certificate.not_before
ssl_subject network.tls.server.certificate.subject
ssl_subject_common_name about.labels.key/value
ssl_subject_email about.labels.key/value
ssl_subject_email_domain about.labels.key/value
ssl_subject_locality about.labels.key/value
ssl_subject_organization about.labels.key/value
ssl_subject_state about.labels.key/value
ssl_subject_street about.labels.key/value
ssl_subject_unit about.labels.key/value
ssl_validity_window about.labels.key/value
ssl_version network.tls.server.certificate.version

All_Changes

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Changes:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
change_type security_result.category_details
comando principal.process.command_line
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVC principal.asset.hostname, principal.asset.ip
objeto target.resource.name
object_attrs about.labels.key/value
object_category about.labels.key/value
object_id target.user.product_object_id
object_path target.file.full_path
Resultado metadata.description
result_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
Calendario security_result.summary
etiqueta about.labels.key/value
usuario target.user.userid
user_agent network.http.user_agent
user_name principal.user.user_display_name, target.labels.key/value
user_type principal.user.attribute.roles.type, target.user.attribute.roles.type
vendor_account about.labels.key/value
vendor_product about.labels.key/value
vendor_region about.location.country_or_region

Account_Management

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Account_Management:

Campo de registro Asignación de UDM
dest_nt_domain target.administrative_domain
src_nt_domain principal.administrative_domain
src_user principal.user.userid
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
src_user_name principal.labels.key/value
src_user_type principal.user.attribute.roles.type

Instance_Changes

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Instance_Changes:

Campo de registro Asignación de UDM
image_id principal.asset_id
instance_type about.labels.key/value

network_Changes

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk network_Changes:

Campo de registro Asignación de UDM
dest_ip_range target.labels.key/value
dest_port_range target.labels.key/value
direction network.direction
protocol network.ip_protocol
rule_action security_result.action_details
security_result.action
src_ip_range principal.labels.key/value
src_port_range principal.labels.key/value

Data_Access

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Data_Access:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
app target.application
app_id metadata.product_log_id
dest target.ip, target.hostname, target.labels.key/value
dest_name target.administrative_domain
dest_url target.url
DVC principal.asset.hostname, principal.asset.ip
correo electrónico principal.user.email_addresses
objeto target.resource.name
object_category about.labels.key/value
object_id target.user.product_object_id
object_path target.file.full_path
object_size target.file.size
propietario about.labels.key/value
owner_email about.labels.key/value
owner_id principal.user.userid
parent_object target.resource.parent
parent_object_id about.labels.key/value
parent_object_category about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
tenant_id about.labels.key/value
usuario principal.user.user_display_name
user_agent network.http.user_agent
user_group principal.user.group_identifiers(repeated)
user_role principal.user.attribute.roles.name (repetido)
vendor_product about.labels.key/value
vendor_product_id about.labels.key/value

All_Databases

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Databases:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
objeto target.resource.name
response_time about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Database_Instance

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Database_Instance:

Campo de registro Asignación de UDM
instance_name target.resource.attributes.key/value
instance_version target.resource.attributes.key/value
process_limit about.labels.key/value
session_limit about.labels.key/value

Database_Query

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Database_Query:

Campo de registro Asignación de UDM
búsqueda about.labels.key/value
query_id about.labels.key/value
query_time about.labels.key/value
records_affected about.labels.key/value

Instance_Stats

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Instance_Stats:

Campo de registro Asignación de UDM
general about.labels.key/value
avg_executions about.labels.key/value
dump_area_used about.labels.key/value
instance_reads about.labels.key/value
instance_writes about.labels.key/value
number_of_users about.labels.key/value
Procesos about.labels.key/value
sesiones about.labels.key/value
sga_buffer_cache_size about.labels.key/value
sga_buffer_hit_limit about.labels.key/value
sga_data_dict_hit_ratio about.labels.key/value
sga_fixed_area_size about.labels.key/value
sga_free_memory about.labels.key/value
sga_library_cache_size about.labels.key/value
sga_redo_log_buffer_size about.labels.key/value
sga_shared_pool_size about.labels.key/value
sga_sql_area_size about.labels.key/value
start_time about.labels.key/value
tablespace_used about.labels.key/value

Session_Info

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Session_Info:

Campo de registro Asignación de UDM
buffer_cache_hit_ratio about.labels.key/value
confirmaciones about.labels.key/value
cpu_used about.labels.key/value
cursor about.labels.key/value
elapsed_time about.labels.key/value
logical_reads about.labels.key/value
máquina about.hostname
memory_sorts about.labels.key/value
physical_reads about.labels.key/value
seconds_in_wait about.labels.key/value
session_id network.session_id
session_status about.labels.key/value
table_scans about.labels.key/value
wait_state about.labels.key/value
wait_time about.labels.key/value

Lock_Info

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Lock_Info:

Campo de registro Asignación de UDM
last_call_minute about.labels.key/value
lock_mode about.labels.key/value
lock_session_id about.labels.key/value
logon_time about.labels.key/value
obj_name about.labels.key/value
os_pid target.process.pid
serial_num target.resource.product_object_id

Espacio de tabla

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el espacio de tabla del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
free_bytes about.file.size
tablespace_name about.resource.name
tablespace_reads about.labels.key/value
tablespace_status about.labels.key/value
tablespace_writes about.labels.key/value

Query_Stats

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Query_Stats:

Campo de registro Asignación de UDM
indexes_hit about.labels.key/value
query_plan_hit about.labels.key/value
stored_procedures_called about.labels.key/value
tables_hit about.labels.key/value

DLP_Incidents

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk DLP_Incidents:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
app target.application
category security_result.category_details
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_zone target.location.country_or_origin
dlp_type about.labels.key/value
DVC principal.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
dvc_zone principal.asset.location.country_or_region
objeto target.resource.name
object_category about.labels.key/value
object_path target.file.full_path
gravedad, security_result.severity
severity_id about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
src_zone principal.location.country_or_origin
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

All_Email

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Email:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
delay about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
file_hash sobre.archivo.sha256, sobre.archivo.md5, sobre.archivo.sha1
file_name about.labels.key/value
file_size about.file.size
internal_message_id metadata.product_log_id
message_id network.email.mail_id
message_info about.labels.key/value
orig_dest target.labels.key/value
orig_recipient about.labels.key/value
orig_src network.email.from
inversa principal.process.command_line
process_id principal.process.pid
protocol network.application_protocol
destinatario network.email.to
recipient_count about.labels.key/value
recipient_domain about.labels.key/value
recipient_status about.labels.key/value
response_time about.labels.key/value
retries about.labels.key/value
return_addr about.labels.key/value
size about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.email_addresses
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_domain principal.administrative_domain
src_user_priority principal.labels.key/value
status_code about.labels.key/value
asunto network.email.subject(repeated)
etiqueta about.labels.key/value
url about.url
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value
xdelay about.labels.key/value
referencia directa about.labels.key/value

Filtros

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el filtrado de conjuntos de datos de Splunk:

Campo de registro Asignación de UDM
filter_action about.labels.key/value
filter_score about.labels.key/value
firma metadata.description
signature_extra about.labels.key/value
signature_id metadata.product_event_type

Puertos

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los puertos del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
creation_time about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
src principal.ip, principal.hostname, principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_port principal.port
src_requires_av principal.labels.key/value
src_should_timesync principal.labels.key/value
src_should_update principal.labels.key/value
state about.labels.key/value
etiqueta about.labels.key/value
transport network.ip_protocol
transport_dest_port target.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Procesos

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los procesos del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
cpu_load_percent about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_is_expected target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
mem_used about.labels.key/value
original_file_name src.file.full_path
os principal.asset.platform_software.platform_version
parent_process about.labels.key/value
parent_process_exec about.labels.key/value
parent_process_id principal.process.parent_process.parent_pid
parent_process_guid principal.process.parent_process.product_specific_process_id
parent_process_name about.labels.key/value
parent_process_path principal.process.parent_process.command_line
inversa about.labels.key/value
process_current_directory about.labels.key/value
process_exec about.labels.key/value
process_hash principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
process_integrity_level security_result.severity
process_name principal.process.command_line
process_path principal.process.file.full_path
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_id principal.user.userid
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Servicios

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los Services de conjunto de datos de Splunk:

Campo de registro Asignación de UDM
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_is_expected target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
servicio target.application
service_dll about.labels.key/value
service_dll_path about.file.full_path
service_dll_hash about.labels.key/value
service_dll_signature_exists about.labels.key/value
service_dll_signature_verified about.labels.key/value
service_exec target.process.file.full_path
service_hash about.labels.key/value
service_id about.labels.key/value
service_name about.labels.key/value
service_path about.labels.key/value
service_signature_exists about.labels.key/value
service_signature_verified about.labels.key/value
start_mode about.labels.key/value
Calendario security_result.summary
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Sistema de archivos

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el sistema de archivos del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
file_access_time about.labels.key/value
file_create_time target.asset.attribute.creation_time
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_modify_time about.labels.key/value
file_name about.labels.key/value
file_path target.file.full_path
file_acl about.labels.key/value
file_size target.file.size
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Registro

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el registro del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
registry_hive about.labels.key/value
registry_path about.labels.key/value
registry_key_name target.registry.registry_key
registry_value_data target.registry.registry_value_data
registry_value_name target.registry.registry_value_name
registry_value_text about.labels.key/value
registry_value_type about.labels.key/value
Calendario security_result.summary
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Firmas

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las firmas del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
etiqueta about.labels.key/value

Signatures_vendor_product

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Signatures_vendor_product:

Campo de registro Asignación de UDM
vendor_product about.labels.key/value

All_Interprocess_Messaging

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Interprocess_Messaging:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
extremo about.labels.key/value
endpoint_version about.labels.key/value
mensaje, about.labels.key/value
message_consumed_time about.labels.key/value
message_correlation_id about.labels.key/value
message_delivered_time about.labels.key/value
message_delivery_mode about.labels.key/value
message_expiration_time about.labels.key/value
message_id metadata.product.log_id
message_priority about.labels.key/value
message_properties about.labels.key/value
message_received_time about.labels.key/value
message_redelivered about.labels.key/value
message_reply_dest target.labels.key/value
message_type about.labels.key/value
Parámetros about.labels.key/value
payload about.labels.key/value
payload_type about.labels.key/value
request_payload about.labels.key/value
request_payload_type about.labels.key/value
request_sent_time about.labels.key/value
response_code network.http.response_code
response_payload_type about.labels.key/value
response_received_time about.labels.key/value
response_time about.labels.key/value
return_message about.labels.key/value
rpc_protocol network.application_protocol
Calendario security_result.summary
etiqueta about.labels.key/value

IDS_Attacks

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos IDS_Attacks de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
category security_result.category_details
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVC principal.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
file_path target.file.full_path
ids_type about.labels.key/value
gravedad, security_result.severity
severity_id about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_port principal.port
etiqueta about.labels.key/value
transport network.ip_protocol
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

DS_Attacks

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos DS_Attacks de Splunk:

Campo de registro Asignación de UDM
dest_port target.port

All_Inventory

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Inventory:

Campo de registro Asignación de UDM
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
habilitada about.labels.key/value
familia about.labels.key/value
hypervisor_id about.labels.key/value
serial principal.asset.hardware.serial_number
Calendario security_result.summary
etiqueta about.labels.key/value
vendor_product about.labels.key/value
version about.labels.key/value

CPU

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la CPU del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
cpu_cores principal.asset.hardware.cpu_number_cores
cpu_count about.labels.key/value
cpu_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_percent about.labels.key/value
cpu_time about.labels.key/value
cpu_user_percent about.labels.key/value

Memoria

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la memoria del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
mem principal.asset.hardware.ram
heap_committed about.labels.key/value
heap_initial about.labels.key/value
heap_max about.labels.key/value
heap_used about.labels.key/value
non_heap_committed about.labels.key/value
non_heap_initial about.labels.key/value
non_heap_max about.labels.key/value
non_heap_used about.labels.key/value
objects_pending about.labels.key/value
mem principal.asset.hardware.ram
mem_committed about.labels.key/value
mem_free about.labels.key/value
mem_used about.labels.key/value
Cambio about.labels.key/value
swap_free about.labels.key/value
swap_used about.labels.key/value

red

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la red del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
dest_ip target.ip
dns about.labels.key/value
inline_nat about.labels.key/value
Interfaz about.labels.key/value
ip principal.asset.ip
lb_method about.labels.key/value
mac principal.asset.mac
name principal.resource.name
nodo about.labels.key/value
node_port target.port
src_ip principal.ip
vip_port about.labels.key/value
a toda velocidad about.labels.key/value
thruput_max about.labels.key/value

SO

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el SO del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
os principal.asset.platform_software.platform_version
committed_memory about.labels.key/value
cpu_time about.labels.key/value
free_physical_memory about.labels.key/value
free_swap about.labels.key/value
max_file_descriptors about.labels.key/value
open_file_descriptors about.labels.key/value
os principal.asset.platform_software.platform_version
os_architecture about.labels.key/value
os_version about.labels.key/value
physical_memory about.labels.key/value
swap_space about.labels.key/value
system_load about.labels.key/value
total_processors about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type

Almacenamiento

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el almacenamiento del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
array about.labels.key/value
tamaño de bloque about.labels.key/value
clúster about.resource.resource_type = "CLUSTER"
fd_max about.labels.key/value
latencia about.labels.key/value
mount principal.resource.attribute.labels.key/value
parent principal.resource.parent
read_blocks about.labels.key/value
read_latency about.labels.key/value
read_ops about.labels.key/value
almacenamiento about.labels.key/value
write_blocks about.labels.key/value
write_latency about.labels.key/value
write_ops about.labels.key/value
array about.labels.key/value
tamaño de bloque about.labels.key/value
clúster about.resource.resource_type = "CLUSTER"
fd_max about.labels.key/value
fd_used about.labels.key/value
latencia about.labels.key/value
mount about.labels.key/value
parent principal.resource.parent
read_blocks about.labels.key/value
read_latency about.labels.key/value
read_ops about.labels.key/value
almacenamiento about.labels.key/value
storage_free about.labels.key/value
storage_free_percent about.labels.key/value
storage_used about.labels.key/value
storage_used_percent about.labels.key/value
write_blocks about.labels.key/value
write_latency about.labels.key/value
write_ops about.labels.key/value
error_code security_result.description
operación about.labels.key/value
storage_name about.resource.name

Usuario

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el usuario del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
interactive about.labels.key/value
contraseña about.labels.key/value
shell about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value

Virtual_OS

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos Virtual_OS de Splunk:

Campo de registro Asignación de UDM
hipervisor about.labels.key/value

Instantánea

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la instantánea del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
size about.file.size
Instantánea about.labels.key/value
tiempo about.labels.key/value

JVM

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la JVM del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
jvm_description security_result.description
etiqueta about.labels.key/value

Subprocesos

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el subproceso del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
cm_enabled about.labels.key/value
cm_supported about.labels.key/value
cpu_time_enabled about.labels.key/value
cpu_time_supported about.labels.key/value
current_cpu_time about.labels.key/value
current_user_time about.labels.key/value
daemon_thread_count about.labels.key/value
omu_supported about.labels.key/value
peak_thread_count about.labels.key/value
synch_supported about.labels.key/value
thread_count about.labels.key/value
threads_started about.labels.key/value

Entorno de ejecución

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el entorno de ejecución del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
process_name principal.process.command_line
start_time about.labels.key/value
tiempo de actividad about.labels.key/value
vendor_product about.labels.key/value
version about.labels.key/value

Compilación

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la compilación de conjuntos de datos de Splunk:

Campo de registro Asignación de UDM
compilation_time about.labels.key/value

Carga de clases

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para la carga de clases del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
current_loaded about.labels.key/value
total_loaded about.labels.key/value
total_unloaded about.labels.key/value

Malware_Attacks

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Software_Attacks:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
category security_result.category_details
fecha about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_nt_domain target.administrative_domain
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
file_path target.file.full_path
gravedad, security_result.severity
severity_id about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
url about.url
vendor_product about.labels.key/value

Malware_Operations

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Software_Operations:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_nt_domain target.labels.key/value
dest_nt_domain target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
product_version about.labels.key/value
signature_version security_result.rule_version
etiqueta about.labels.key/value
vendor_product about.labels.key/value

Malware_Operations

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Software_Operations:

Campo de registro Asignación de UDM
dest_category target.labels.key/value

DNS

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el DNS del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
additional_answer_count about.labels.key/value
answer network.dns.answer.data
answer_count about.labels.key/value
authority_answer_count about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
duration network.session_duration
message_type about.labels.key/value
name about.labels.key/value
búsqueda network.dns.questions.name
query_count about.labels.key/value
query_type network.dns.questions.type
record_type network.dns.answer.type(uint32)
reply_code about.labels.key/value
reply_code_id network.dns.response_code
response_time about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_port principal.port
src_priority principal.labels.key/value
etiqueta about.labels.key/value
transaction_id network.dns.id
transport network.ip_protocol
ttl about.labels.key/value
vendor_product about.labels.key/value

All_Sessions

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Sessions:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_dns target.labels.key/value
dest_ip network.dhcp.ciaddr
dest_mac network.dhcp.chaddr
dest_nt_host target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
response_time about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_dns principal.labels.key/value
src_ip principal.ip
src_mac principal.mac
src_nt_host principal.labels.key/value
src_priority principal.labels.key/value
etiqueta about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

DHCP

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el DHCP del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
lease_duration network.dhcp.lease_time_second
lease_scope about.labels.key/value

All_Traffic

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos All_Traffic de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
app network.application_protocol
bytes about.labels.key/value
bytes_in network.received_bytes
bytes_out network.sent_bytes
channel about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_interface target.labels.key/value
dest_ip target.ip
dest_mac target.mac
dest_port target.port
dest_priority target.labels.key/value
dest_translated_ip target.nat_ip
dest_translated_port target.nat_port
dest_zone target.location.country_or_origin
direction network.direction
duration network.session_duration
DVC principal.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_ip about.labels.key/value
dvc_mac principal.asset.mac
dvc_priority about.labels.key/value
dvc_zone principal.asset.location.country_or_region
flow_id about.labels.key/value
icmp_code about.labels.key/value
icmp_type about.labels.key/value
paquetes about.labels.key/value
packets_in about.labels.key/value
packets_out about.labels.key/value
protocol about.labels.key/value
protocol_version about.labels.key/value
response_time about.labels.key/value
regla security_result.rule_id
session_id network.session_id
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_interface principal.labels.key/value
src_ip principal.ip
src_mac principal.mac
src_port principal.port
src_priority principal.labels.key/value
src_translated_ip principal.nat_ip
src_translated_port principal.nat_port
src_zone principal.location.country_or_origin
SSID about.labels.key/value
etiqueta about.labels.key/value
tcp_flag about.labels.key/value
transport network.ip_protocol
tos about.labels.key/value
ttl network.dns.additional.ttl
usuario principal.user.userid
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_account about.labels.key/value
vendor_product about.labels.key/value
vlan about.labels.key/value
Wi-Fi about.labels.key/value

All_Performance

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Performance:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
hypervisor_id about.labels.key/value
resource_type about.labels.key/value
etiqueta about.labels.key/value

Servicios

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las instalaciones de conjuntos de datos de Splunk:

Campo de registro Asignación de UDM
fan_speed about.labels.key/value
power about.labels.key/value
temperatura about.labels.key/value

Sincronización de tiempo

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para Timesync del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action

Tiempo de actividad

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el tiempo de actividad del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
tiempo de actividad about.labels.key/value

View_Activity

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk View_Activity:

Campo de registro Asignación de UDM
app target.application
invertido about.labels.key/value
uri about.labels.key/value
usuario principal.user.user_display_name
vista about.labels.key/value

Datamodel_Acceleration

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos Datamodel_Acceleration de Splunk:

Campo de registro Asignación de UDM
access_count about.labels.key/value
access_time about.labels.key/value
app target.application
buckets about.labels.key/value
buckets_size about.labels.key/value
completa about.labels.key/value
cron about.labels.key/value
modelodedatos about.labels.key/value
resumen about.labels.key/value
primer about.labels.key/value
is_inprogress about.labels.key/value
last_error about.labels.key/value
last_sid about.labels.key/value
más reciente about.labels.key/value
mod_time about.labels.key/value
retention about.labels.key/value
size about.file.size
summary_id about.labels.key/value

Search_Activity

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos Search_Activity de Splunk:

Campo de registro Asignación de UDM
host about.hostname
información about.labels.key/value
search about.labels.key/value
search_et about.labels.key/value
search_lt about.labels.key/value
search_type about.labels.key/value
source principal.labels.key/value
tipo de fuente principal.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Scheduler_Activity

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Scheduler_Activity:

Campo de registro Asignación de UDM
app target.application
host about.hostname
savedsearch_name about.labels.key/value
sid about.labels.key/value
source principal.labels.key/value
tipo de fuente principal.labels.key/value
splunk_server principal.ip, principal.nombredehost
Calendario security_result.summary
usuario principal.user.user_display_name

Web_Service_Errors

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Web_Service_Errors:

Campo de registro Asignación de UDM
host about.hostname
source principal.labels.key/value
tipo de fuente principal.labels.key/value
event_id security_result.rule_name

Modular_Actions

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk Modular_Actions:

Campo de registro Asignación de UDM
action_mode about.labels.key/value
action_status about.labels.key/value
app target.application
duration network.session_duration
componente about.labels.key/value
orig_rid about.labels.key/value
orig_sid about.labels.key/value
rid about.labels.key/value
search_name about.labels.key/value
action_name security_result.action_details
firma metadata.description
sid about.labels.key/value
usuario about.labels.key/value

All_Ticket_Management

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos de Splunk All_Ticket_Management:

Campo de registro Asignación de UDM
affect_dest target.labels.key/value
comentarios about.labels.key/value
description security_result.description
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
priority security_result.priority_details
gravedad, security_result.severity
severity_id about.labels.key/value
splunk_id about.labels.key/value
splunk_realm about.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
Calendario security_result.summary
etiqueta about.labels.key/value
ticket_id target.user.attribute.label.ley/valor
time_submitted principal.user.attribute.creation_time
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Cambiar

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el cambio en el conjunto de datos de Splunk:

Campo de registro Asignación de UDM
cambiar about.labels.key/value

Incidente

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el incidente del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
incidente about.labels.key/value

Problema

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el problema del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
problema about.labels.key/value

Actualizaciones

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las actualizaciones del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_should_update target.labels.key/value
DVC principal.asset.hostname, principal.asset.ip
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
gravedad, security_result.severity
severity_id about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
Calendario security_result.summary
etiqueta about.labels.key/value
vendor_product about.labels.key/value

Vulnerabilidades

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para las vulnerabilidades del conjunto de datos de Splunk:

Campo de registro Asignación de UDM
bugtraq about.labels.key/value
category security_result.category_details
cert about.labels.key/value
cve vulnerabilites.cve_description
cvss vulnerabilites.cvss_base_score
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVC principal.asset.hostname, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
msft about.labels.key/value
mskb about.labels.key/value
gravedad, extensions.vulns.vulnerabilites.severity
severity_id about.labels.key/value
firma metadata.description
signature_id metadata.product_event_type
etiqueta about.labels.key/value
url extensions.vulns.vulnerabilites.about.url
usuario extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value
referencia directa about.labels.key/value

Web

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para el conjunto de datos web de Splunk:

Campo de registro Asignación de UDM
acción security_result.action_details
security_result.action
app target.application
bytes about.labels.key/value
bytes_in network.received_bytes
bytes_out network.sent_bytes
almacenado en caché about.labels.key/value
category security_result.category_details
galleta about.labels.key/value
dest target.ip, target.hostname, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_port target.port
duration network.session_duration
http_content_type about.labels.key/value
http_method network.http.method
http_referrer network.http.referral_url
http_referrer_domain about.labels.key/value
http_user_agent network.http.user_agent
http_user_agent_length about.labels.key/value
response_time about.labels.key/value
sitio about.labels.key/value
src principal.ip, principal.hostname, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
Calendario network.http.response_code
etiqueta about.labels.key/value
uri_path about.labels.key/value
uri_query about.labels.key/value
url about.url
url_domain about.asset.network_domain
url_length about.labels.key/value
usuario principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Tipos de eventos de UDM

En la siguiente tabla, se enumeran las etiquetas de Splunk y los tipos de eventos de UDM correspondientes:

Modelo de datos Etiquetas de Splunk Tipo de evento de UDM
Alertas alerta STATUS_UPDATE
Authentication authentication USER_UNCATEGORIZED
Certificado certificado NETWORK_UNCATEGORIZED
Cambiar cambiar SYSTEM_AUDIT_LOG_UNCATEGORIZED
Acceso a los datos datos, acceso USER_RESOURCE_ACCESS
Bases de datos base de datos USER_RESOURCE_ACCESS
Bases de datos base de datos, instancia, estadísticas STATUS_UPDATE
Bases de datos base de datos, instancia, estado STATUS_UPDATE
Bases de datos base de datos, instancia, bloqueo STATUS_UPDATE
Bases de datos base de datos, consulta STATUS_UPDATE
Bases de datos base de datos, consulta, espacio de tabla STATUS_UPDATE
Bases de datos base de datos, consulta, estadísticas STATUS_UPDATE
Prevención de pérdida de datos dlp, incidente SCAN_UNCATEGORIZED
Correo electrónico correo electrónico EMAIL_UNCATEGORIZED
Correo electrónico correo electrónico, entrega EMAIL_TRANSACTION
Extremo escuchando, puerto SERVICE_UNSPECIFIED
Extremo proceso, informe PROCESS_UNCATEGORIZED
Extremo servicio, informe SERVICE_UNSPECIFIED
Extremo extremo, sistema de archivos FILE_UNCATEGORIZED
Extremo extremo, registro REGISTRY_UNCATEGORIZED
Firma del evento track_event_signature STATUS_UPDATE
Mensajería entre procesos mensajería STATUS_UPDATE
Detección de instrusiones IDs, ataque SERVICE_UNSPECIFIED
Inventario inventario SYSTEM_AUDIT_LOG_UNCATEGORIZED
Máquina virtual Java (JVM) jvm SYSTEM_AUDIT_LOG_UNCATEGORIZED
Software Malicioso malware STATUS_UPDATE
Resolución de red(DNS) red, resolución, DNS NETWORK_DNS
Sesiones de red red, sesión NETWORK_CONNECTION
Sesiones de red red, sesión, Dhcp NETWORK_DHCP
Tráfico de red red, comunicarse NETWORK_CONNECTION
Rendimiento rendimiento SERVICE_UNSPECIFIED
Registros de auditoría de Splunk modación STATUS_UPDATE
Administración de tickets venta de entradas STATUS_UPDATE
Administración de tickets venta de entradas, cambio STATUS_UPDATE
Actualizaciones update STATUS_UPDATE
Vulnerabilidades informe, vulnerabilidades SCAN_UNCATEGORIZED
Web web NETWORK_UNCATEGORIZED

¿Qué sigue?