Collecter les journaux Splunk CIM
Ce document explique comment collecter des journaux Splunk Common Information Model (CIM) en configurant Splunk et un redirecteur Chronicle. Ce document répertorie également les types de journaux et les versions Splunk compatibles.
Pour en savoir plus, consultez Ingestion de données vers Chronicle.
Présentation
Le schéma d'architecture de déploiement suivant montre comment les agents Splunk sont configurés pour envoyer les journaux à Chronicle. Chaque déploiement de client peut différer de cette représentation et peut être plus complexe.
Le schéma de l'architecture présente les composants suivants:
Source de données : système à surveiller dans lequel Splunk est installé.
Splunk: collecte des informations auprès de la source de données et les transmet au redirecteur Chronicle.
Transfert de données Chronicle: composant logiciel léger déployé dans le réseau du client pour transférer les journaux vers Chronicle.
Chronicle : conserve et analyse les journaux du serveur de Fleet.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations contenues dans ce document s'appliquent à l'analyseur associé au libellé d'ingestion SPLUNK.
Avant de commencer
Utilisez la version 5.0 de Splunk compatible avec l'analyseur Chronicle.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Configurer un agent Splunk et un redirecteur Chronicle
Installez un agent conforme à la norme CIM à partir de Splunkbase.
Configurez le redirecteur Chronicle pour envoyer les journaux dans le système Chronicle. Voici un exemple de configuration de redirecteur Chronicle:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: | datamodel Network_Traffic All_Traffic
Types de journaux et modèles de données compatibles
| Modèle de données Splunk | Compatible |
|---|---|
| Alertes | Yes |
| État de l'application (obsolète) | Non |
| Authentification | Yes |
| Certificats | Yes |
| Modifier | Yes |
| Analyse des changements (obsolète) | Non |
| Accès aux données | Yes |
| Bases de données | Yes |
| Protection contre la perte de données | Yes |
| Adresse e-mail | Yes |
| Point de terminaison | Yes |
| Signature d'événement | Yes |
| Messages d'interprocessus | Yes |
| Détection des intrusions | Yes |
| Inventaire | Yes |
| Machines virtuelles Java (JVM) | Yes |
| Logiciels malveillants | Yes |
| Résolution réseau (DNS) | Yes |
| Sessions réseau | Yes |
| Trafic réseau | Yes |
| Performances | Yes |
| Journaux d'audit Splunk | Yes |
| Gestion des demandes | Yes |
| Actualités | Yes |
| Failles | Yes |
| Web | Yes |
Documentation de référence sur le mappage de champs
Cette section explique comment l'analyseur Chronicle mappe les champs de journaux Splunk aux champs Chronicle Unified Data Model (UDM) pour les ensembles de données. Pour en savoir plus, consultez le document Splunk pour la version 5.0.1.
Alertes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les alertes de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| app | observateur.application |
| description | security_result.description [description_de_sécurité] |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| type dest | target.resource.resource_type |
| id | metadata.product_log_id |
| id_technique_mitre | security_result.detection_fields.labels.key/valeur |
| gravité | security_result.severity |
| severity_id | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | security_result.rule_name (nom de la règle de sécurité) |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_type | principal.resource.resource_type |
| tag | about.labels.clé/valeur |
| type | security_result.alert_state |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| nom_utilisateur | compte.utilisateur.idutilisateur |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| compte_fournisseur | about.labels.clé/valeur |
| vendor_region [région_fournisseur] | about.location.country_or_region |
Authentification
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'authentification de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| app | application.cible |
| méthode_authentification | about.labels.clé/valeur |
| service_authentification | extension.auth.auth_details. |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| reason | security_result.summary |
| temps_de_réponse | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_nt_domaine | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_utilisateur | nom.utilisateur.utilisateur_à_afficher |
| src_utilisateur_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_id | compte.utilisateur.idutilisateur |
| src_user_priority | principal.labels.key/value |
| src_user_role | principal.user.attribute.roles.name (répété) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| user_agent [agent_utilisateur] | réseau.http.user_agent |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| user_id | compte.utilisateur.idutilisateur |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| rôle_utilisateur | principal.user.attribute.roles.name (répété) |
| type_utilisateur | principal.user.attribute.roles.type |
| compte_fournisseur | about.labels.clé/valeur |
Tous_les_certificats
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_port | target.port |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| temps_de_réponse | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_port | port.principal |
| src_priority | principal.labels.key/value |
| tag | about.labels.clé/valeur |
| transport | Protocole IP de réseau |
SSL
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| heure_fin_ssl | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.clé/valeur |
| hachage ssl | about.labels.clé/valeur |
| SSL_is_valid | about.labels.clé/valeur |
| émission_SSL | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.clé/valeur |
| e-mail_émission_SSL | about.labels.clé/valeur |
| ssl_issuer_email_domain | about.labels.clé/valeur |
| SSL_issuer_locality | about.labels.clé/valeur |
| organisation_émission_SSL | about.labels.clé/valeur |
| état_ssl_issuer | about.labels.clé/valeur |
| ssl_issuer_street | about.labels.clé/valeur |
| bloc_émission_ssl | about.labels.clé/valeur |
| nom_ssl | about.labels.clé/valeur |
| Politiques_SSL | about.labels.clé/valeur |
| clé_publique | about.labels.clé/valeur |
| ssl_publickey_algorithm | about.labels.clé/valeur |
| ssl_serial | network.tls.server.certificate.serial |
| ID de session SSL | id_session_réseau |
| ssl_signature_algorithm | about.labels.clé/valeur |
| heure de début du protocole SSL | network.tls.server.certificate.not_before |
| Objet | network.tls.server.certificate.subject |
| ssl_subject_name_nom | about.labels.clé/valeur |
| Objet : E-mail | about.labels.clé/valeur |
| ssl_subject_email_domain | about.labels.clé/valeur |
| ssl_subject_locality : | about.labels.clé/valeur |
| organisation_objet_ssl | about.labels.clé/valeur |
| ssl_subject_state | about.labels.clé/valeur |
| ssl_subject_street | about.labels.clé/valeur |
| bloc_objet_ssl | about.labels.clé/valeur |
| ssl_validity_window [fenêtre_ssl_validity] | about.labels.clé/valeur |
| ssl_version | network.tls.server.certificate.version |
Toutes les modifications
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| modifier_type | security_result.category_details |
| commande | compte.process.command_line |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| objet | target.resource.name |
| objet_attaques | about.labels.clé/valeur |
| catégorie_objet | about.labels.clé/valeur |
| id_objet | target.user.product_object_id |
| chemin_objet | target.file.full_path |
| résultat | security_result.description [description_de_sécurité] |
| id_résultat | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
| user | target.user.user_display_name, principal.user.user_display_name |
| user_agent [agent_utilisateur] | réseau.http.user_agent |
| nom_utilisateur | principal.user.userid, target.user.userid |
| type_utilisateur | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| compte_fournisseur | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| vendor_region [région_fournisseur] | about.location.country_or_region |
Gestion_du_compte
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Account_Management:
| Champ du journal | Mappage UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domaine | domaine.administrative_domain |
| src_utilisateur | nom.utilisateur.utilisateur_à_afficher |
| src_utilisateur_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| src_nom_utilisateur | principal.labels.key/value |
| src_user_type | principal.user.attribute.roles.type |
Modifications_instance
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Changes:
| Champ du journal | Mappage UDM |
|---|---|
| id_image | compte.asset_id |
| type_instance | about.labels.clé/valeur |
Modifications_réseau
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk network_Changes:
| Champ du journal | Mappage UDM |
|---|---|
| plage_d_ip_dest | target.labels.key/value |
| plage_des_ports | target.labels.key/value |
| direction | réseau.direction |
| protocol | Protocole IP de réseau |
| action_règle | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value |
| src_port_range (plage de ports) | principal.labels.key/value |
Accès aux données
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| app | application.cible |
| app_id [id_application] | metadata.product_log_id |
| dest | target.ip, target.hostname, target.labels.key/value |
| nom_dest | target.administrative_domain |
| URL dest. | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| compte.utilisateur.adresses_e-mail | |
| objet | target.resource.name |
| catégorie_objet | about.labels.clé/valeur |
| id_objet | target.user.product_object_id |
| chemin_objet | target.file.full_path |
| size_size [taille_objet] | target.file.size |
| owner | about.labels.clé/valeur |
| adresse e-mail du propriétaire | about.labels.clé/valeur |
| id_propriétaire | compte.utilisateur.idutilisateur |
| objet_parent | target.resource.parent |
| id_objet_parent | about.labels.clé/valeur |
| parent_object_category [catégorie_objet_parent] | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| tenant_id | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| user_agent [agent_utilisateur] | réseau.http.user_agent |
| groupe_utilisateurs | principal.user.group_identifiers(répété) |
| rôle_utilisateur | principal.user.attribute.roles.name (répété) |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| ID_produit_fournisseur | about.labels.clé/valeur |
Toutes_les bases de données
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour All_Databases dans l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| objet | target.resource.name |
| temps_de_réponse | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Instance de base de données
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Database_Instance Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| limite_processus | about.labels.clé/valeur |
| session_limit | about.labels.clé/valeur |
Requête de base de données
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Query:
| Champ du journal | Mappage UDM |
|---|---|
| query | about.labels.clé/valeur |
| id_requête | about.labels.clé/valeur |
| temps_de_requête | about.labels.clé/valeur |
| records_affected | about.labels.clé/valeur |
Statistiques d'instance
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Instance_Stats:
| Champ du journal | Mappage UDM |
|---|---|
| disponibilité | about.labels.clé/valeur |
| moy. exécutions | about.labels.clé/valeur |
| dump_area_used | about.labels.clé/valeur |
| lectures_instances | about.labels.clé/valeur |
| écriture_instance | about.labels.clé/valeur |
| nombre_d'utilisateurs | about.labels.clé/valeur |
| processes | about.labels.clé/valeur |
| sessions | about.labels.clé/valeur |
| sga_buffer_cache_size ; | about.labels.clé/valeur |
| limite_appel_tampon | about.labels.clé/valeur |
| sga_data_dict_hit_ratio | about.labels.clé/valeur |
| sga_fixed_area_size | about.labels.clé/valeur |
| sga_free_memory | about.labels.clé/valeur |
| taille_cache_bibliothèque | about.labels.clé/valeur |
| sga_redo_log_buffer_size | about.labels.clé/valeur |
| Taille du pool partagé_Sga | about.labels.clé/valeur |
| sga_sql_area_size | about.labels.clé/valeur |
| start_time | about.labels.clé/valeur |
| tablespace_used | about.labels.clé/valeur |
Informations sur la session
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Session_Info:
| Champ du journal | Mappage UDM |
|---|---|
| taux_hit_cache_cache_hitio | about.labels.clé/valeur |
| validations | about.labels.clé/valeur |
| Processeur utilisé | about.labels.clé/valeur |
| cursor | about.labels.clé/valeur |
| temps_dépassé | about.labels.clé/valeur |
| lectures_logiques | about.labels.clé/valeur |
| machine | about.nom_hôte |
| Tris_mémoire | about.labels.clé/valeur |
| lectures_physiques | about.labels.clé/valeur |
| secondes_en_attente | about.labels.clé/valeur |
| session_id | id_session_réseau |
| état_session | about.labels.clé/valeur |
| analyses de table | about.labels.clé/valeur |
| État d'attente | about.labels.clé/valeur |
| temps d'attente | about.labels.clé/valeur |
Informations_serrure
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Lock_Info:
| Champ du journal | Mappage UDM |
|---|---|
| dernière_minute_appel | about.labels.clé/valeur |
| mode verrouillé | about.labels.clé/valeur |
| id_session_verrouillage | about.labels.clé/valeur |
| heure_connexion | about.labels.clé/valeur |
| nom_obj | about.labels.clé/valeur |
| os_pid | target.process.pid |
| numéro_de_série | target.resource.product_object_id |
Espace de table
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour Tablespace avec l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| octets gratuits | about.file.size [taille_fichier] |
| nom_espace_table | about.resource.name |
| tablesspace_reads | about.labels.clé/valeur |
| tablespace_status | about.labels.clé/valeur |
| tablespace_writes | about.labels.clé/valeur |
Statistiques_requête
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Query_Stats:
| Champ du journal | Mappage UDM |
|---|---|
| appels_index | about.labels.clé/valeur |
| appel_plan_requête | about.labels.clé/valeur |
| procédures_stockées_appelées | about.labels.clé/valeur |
| appel de fichier tables | about.labels.clé/valeur |
Incidents_DLP
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| app | application.cible |
| catégorie | security_result.category_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| zone_dest | target.location.country_or_origin |
| dlp_type (type dlp) | about.labels.clé/valeur |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.clé/valeur |
| dvc_category | about.labels.clé/valeur |
| dvc_priority | about.labels.clé/valeur |
| dvc_zone | principal.asset.location.country_or_region |
| objet | target.resource.name |
| catégorie_objet | about.labels.clé/valeur |
| chemin_objet | target.file.full_path |
| gravité | security_result.severity |
| severity_id | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_utilisateur | nom.utilisateur.utilisateur_à_afficher |
| src_utilisateur_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Tout_E-mail
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : All_Email :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| delay | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| hachage de fichier | about.file.sha256, about.file.md5, about.file.sha1 |
| nom_fichier | about.labels.clé/valeur |
| taille_du_fichier | about.file.size [taille_fichier] |
| id_message_interne | metadata.product_log_id |
| message_id | network.email.mail_id (id |
| message_info | about.labels.clé/valeur |
| orig_dest | target.labels.key/value |
| destinataire_orig | about.labels.clé/valeur |
| orig_src | Adresse e-mail du réseau |
| process | compte.process.command_line |
| id_processus | compte.process.pid |
| protocol | Protocole d'application |
| destinataire | network.email.to |
| nombre_de_destinataires | about.labels.clé/valeur |
| destinataire_domaine | about.labels.clé/valeur |
| destinataire_état | about.labels.clé/valeur |
| temps_de_réponse | about.labels.clé/valeur |
| retries | about.labels.clé/valeur |
| add_addr | about.labels.clé/valeur |
| size | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_utilisateur | compte.utilisateur.adresses_e-mail |
| src_utilisateur_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_utilisateur_domaine | domaine.administrative_domain |
| src_user_priority | principal.labels.key/value |
| code_état | about.labels.clé/valeur |
| subject | network.email.subject(répété) |
| tag | about.labels.clé/valeur |
| url | about.url |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| Xdelay | about.labels.clé/valeur |
| xref | about.labels.clé/valeur |
Filtrage
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le filtrage de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| filtre_action | about.labels.clé/valeur |
| score_filtre | about.labels.clé/valeur |
| signature | métadonnées.description |
| signature_extra | about.labels.clé/valeur |
| id_signature | metadata.product_event_type |
Ports
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les ports de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| date_création | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_port | target.port |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| procédure_guidée | principal.process.product_specific_process_id |
| id_processus | compte.process.pid |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_port | port.principal |
| src_requires_Av | principal.labels.key/value |
| src_should_timesync | principal.labels.key/value |
| src_mise_à_jour | principal.labels.key/value |
| state | about.labels.clé/valeur |
| tag | about.labels.clé/valeur |
| transport | Protocole IP de réseau |
| transport_dest_port | target.labels.key/value |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
Processus
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les processus de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_is_expected | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| mem_used | about.labels.clé/valeur |
| nom_fichier_d'origine | src.fichier.chemin_complet |
| os | principal.asset.platform_software.platform_version |
| processus_parent | about.labels.clé/valeur |
| parent_process_exec | about.labels.clé/valeur |
| id_processus_parent | principal.process.parent_process.parent_pid |
| parent_processus_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name [nom_processus_parent] | about.labels.clé/valeur |
| chemin_parent_processus | principal.process.parent_process.command_line |
| process | about.labels.clé/valeur |
| répertoire_processus_actuel | about.labels.clé/valeur |
| processus_exec | about.labels.clé/valeur |
| hachage du processus | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| procédure_guidée | principal.process.product_specific_process_id |
| id_processus | compte.process.pid |
| processus_intégrité_niveau | security_result.severity |
| nom_processus | compte.process.command_line |
| chemin du processus | principal.process.file.full_path |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| user_id | compte.utilisateur.idutilisateur |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Services
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les services de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| description | security_result.description [description_de_sécurité] |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_is_expected | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| procédure_guidée | principal.process.product_specific_process_id |
| id_processus | compte.process.pid |
| service | application.cible |
| service_dll : | about.labels.clé/valeur |
| chemin_dll_service | about.file.full_path |
| service_dll_hash | about.labels.clé/valeur |
| service_dll_signature_exists [signature_dll_service] existe | about.labels.clé/valeur |
| service_dll_signature_verified | about.labels.clé/valeur |
| service_exec | target.process.file.full_path |
| hachage_service | about.labels.clé/valeur |
| service_id | about.labels.clé/valeur |
| service_name | about.labels.clé/valeur |
| chemin_service | about.labels.clé/valeur |
| service_signature_exists [signature_signature] | about.labels.clé/valeur |
| service_signature_verified | about.labels.clé/valeur |
| mode_départ | about.labels.clé/valeur |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Système de fichiers
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le système de fichiers de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| heure_accès_fichier | about.labels.clé/valeur |
| heure_création_fichier | target.asset.attribute.creation_time |
| hachage de fichier | target.file.sha256, target.file.md5, target.file.sha1 |
| heure_modification_fichier | about.labels.clé/valeur |
| nom_fichier | about.labels.clé/valeur |
| chemin_fichier | target.file.full_path |
| Fichier_acl | about.labels.clé/valeur |
| taille_du_fichier | target.file.size |
| procédure_guidée | principal.process.product_specific_process_id |
| id_processus | compte.process.pid |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Registre
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le registre d'ensembles de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| procédure_guidée | principal.process.product_specific_process_id |
| id_processus | compte.process.pid |
| ruche de registre | about.labels.clé/valeur |
| registre_chemin | about.labels.clé/valeur |
| nom_clé_registre | target.registry.registry_key |
| registre_valeur_valeur | target.registry.registry_value_data |
| nom_valeur_registre | target.registry.registry_value_name |
| texte_valeur_registre | about.labels.clé/valeur |
| registre_valeur_type | about.labels.clé/valeur |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Signatures
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les signatures de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| tag | about.labels.clé/valeur |
Signatures_fournisseur_produit
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures_vendor_product:
| Champ du journal | Mappage UDM |
|---|---|
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Messagerie_Interprocessus_Tout
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Interprocess_Messaging:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| point de terminaison | about.labels.clé/valeur |
| version_point_de_point | about.labels.clé/valeur |
| Message | about.labels.clé/valeur |
| message_consumed_time [message_consumé_heure] | about.labels.clé/valeur |
| id_corrélation_message | about.labels.clé/valeur |
| message_delivered_time | about.labels.clé/valeur |
| mode_distribution_message | about.labels.clé/valeur |
| message_expiration_time [message_expiration_heure] | about.labels.clé/valeur |
| message_id | metadata.product.log_id |
| priorité_message | about.labels.clé/valeur |
| message_properties | about.labels.clé/valeur |
| message_received_time (heure de réception du message) | about.labels.clé/valeur |
| message_redelivered [message_remis] | about.labels.clé/valeur |
| message_reply_dest | target.labels.key/value |
| message_type | about.labels.clé/valeur |
| paramètres | about.labels.clé/valeur |
| payload | about.labels.clé/valeur |
| type de charge utile | about.labels.clé/valeur |
| charge_requête | about.labels.clé/valeur |
| request_payload_type | about.labels.clé/valeur |
| heure_demande | about.labels.clé/valeur |
| code_réponse | code.http.response_code |
| type de charge_réponse | about.labels.clé/valeur |
| temps_de_réception | about.labels.clé/valeur |
| temps_de_réponse | about.labels.clé/valeur |
| message_retour | about.labels.clé/valeur |
| Protocole RPC | Protocole d'application |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
IDS_Attaques
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk IDS_Attacks:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| catégorie | security_result.category_details |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.clé/valeur |
| dvc_category | about.labels.clé/valeur |
| dvc_priority | about.labels.clé/valeur |
| hachage de fichier | target.file.sha256, target.file.md5, target.file.sha1 |
| nom_fichier | about.labels.clé/valeur |
| chemin_fichier | target.file.full_path |
| type_ID | about.labels.clé/valeur |
| gravité | security_result.severity |
| severity_id | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_port | port.principal |
| tag | about.labels.clé/valeur |
| transport | Protocole IP de réseau |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Attaques DS
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest_port | target.port |
Tout_Inventaire
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : All_Inventory :
| Champ du journal | Mappage UDM |
|---|---|
| description | security_result.description [description_de_sécurité] |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| activé | about.labels.clé/valeur |
| famille | about.labels.clé/valeur |
| hypervisor_id [identifiant_hyperviseur] | about.labels.clé/valeur |
| serial | principal.asset.hardware.serial_number |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| version | about.labels.clé/valeur |
Processeur
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le CPU de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| Cœurs de processeur | principal.asset.hardware.cpu_number_cores |
| nombre de processeurs | about.labels.clé/valeur |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.clé/valeur |
| Processeur | about.labels.clé/valeur |
| cpu_user_percent | about.labels.clé/valeur |
Memory
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la mémoire de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| Mém. | principal.asset.hardware.ram |
| segment de mémoire | about.labels.clé/valeur |
| initiale du segment de mémoire | about.labels.clé/valeur |
| max. tas de mémoire | about.labels.clé/valeur |
| tas de mémoire | about.labels.clé/valeur |
| non_composé_de_segments | about.labels.clé/valeur |
| initial du tas de mémoire | about.labels.clé/valeur |
| max. du tas de mémoire | about.labels.clé/valeur |
| non_utilisé_le_segment | about.labels.clé/valeur |
| objets_en attente | about.labels.clé/valeur |
| Mém. | principal.asset.hardware.ram |
| mem_commit | about.labels.clé/valeur |
| mem_free | about.labels.clé/valeur |
| mem_used | about.labels.clé/valeur |
| échange | about.labels.clé/valeur |
| remplacer | about.labels.clé/valeur |
| échange | about.labels.clé/valeur |
réseau
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le réseau de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.clé/valeur |
| inline_nat | about.labels.clé/valeur |
| interface | about.labels.clé/valeur |
| ip | compte.asset.ip |
| Méthode lb | about.labels.clé/valeur |
| Mac | principal.asset.mac |
| name | principal.resource.name |
| nœud | about.labels.clé/valeur |
| port_nœud | target.port |
| src_ip | compte.ip |
| vip_port | about.labels.clé/valeur |
| thruput | about.labels.clé/valeur |
| max_thruput | about.labels.clé/valeur |
OS
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'OS de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| commit_memory | about.labels.clé/valeur |
| Processeur | about.labels.clé/valeur |
| mémoire_physique libre | about.labels.clé/valeur |
| échange gratuit | about.labels.clé/valeur |
| Descripteurs_fichier_max | about.labels.clé/valeur |
| descripteurs de fichier ouvert | about.labels.clé/valeur |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.clé/valeur |
| os_version | about.labels.clé/valeur |
| physique_mémoire | about.labels.clé/valeur |
| espace_échange | about.labels.clé/valeur |
| load_load | about.labels.clé/valeur |
| total_processeurs | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
Stockage
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le stockage de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| tableau | about.labels.clé/valeur |
| taille de bloc | about.labels.clé/valeur |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.clé/valeur |
| latence | about.labels.clé/valeur |
| support | principal.resource.attribute.labels.key/value |
| parent | principal.ressource.parent |
| blocs_lecture | about.labels.clé/valeur |
| lecture_latence | about.labels.clé/valeur |
| opérations de lecture | about.labels.clé/valeur |
| Espace de stockage | about.labels.clé/valeur |
| blocs d'écriture | about.labels.clé/valeur |
| write_latency | about.labels.clé/valeur |
| opérations d'écriture | about.labels.clé/valeur |
| tableau | about.labels.clé/valeur |
| taille de bloc | about.labels.clé/valeur |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.clé/valeur |
| fd_used | about.labels.clé/valeur |
| latence | about.labels.clé/valeur |
| support | about.labels.clé/valeur |
| parent | principal.ressource.parent |
| blocs_lecture | about.labels.clé/valeur |
| lecture_latence | about.labels.clé/valeur |
| opérations de lecture | about.labels.clé/valeur |
| Espace de stockage | about.labels.clé/valeur |
| espace_de_stockage_gratuit | about.labels.clé/valeur |
| pourcentage_espace_de_stockage_gratuit | about.labels.clé/valeur |
| espace_de_stockage_utilisé | about.labels.clé/valeur |
| storage_used_percent | about.labels.clé/valeur |
| blocs d'écriture | about.labels.clé/valeur |
| write_latency | about.labels.clé/valeur |
| opérations d'écriture | about.labels.clé/valeur |
| code_erreur | security_result.description |
| opération | about.labels.clé/valeur |
| storage_name (nom de l'espace de stockage) | about.resource.name |
Utilisateur
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'utilisateur de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| interactive | about.labels.clé/valeur |
| mot de passe | about.labels.clé/valeur |
| shell | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| user_id | compte.utilisateur.idutilisateur |
| priorité_utilisateur | principal.user.attribute.label.key/value |
Système d'exploitation virtuel
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| hyperviseur | about.labels.clé/valeur |
Instantané
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'instantané de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| size | about.file.size [taille_fichier] |
| snapshot | about.labels.clé/valeur |
| Temps | about.labels.clé/valeur |
JVM
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la JVM de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| description de la VM | security_result.description [description_de_sécurité] |
| tag | about.labels.clé/valeur |
Fil de discussion
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le threading de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| cm_enabled | about.labels.clé/valeur |
| cm_supported | about.labels.clé/valeur |
| cpu_time_enabled | about.labels.clé/valeur |
| cpu_time_supported | about.labels.clé/valeur |
| heure_UC actuelle | about.labels.clé/valeur |
| heure_utilisateur_actuelle | about.labels.clé/valeur |
| daemon_thread_count (nombre de fils daemon) | about.labels.clé/valeur |
| omu_pris en charge | about.labels.clé/valeur |
| maximum_thread_count | about.labels.clé/valeur |
| synchro_compatible | about.labels.clé/valeur |
| nombre de fils de discussion | about.labels.clé/valeur |
| fils de discussion | about.labels.clé/valeur |
Runtime
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'environnement d'exécution de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| nom_processus | compte.process.command_line |
| start_time | about.labels.clé/valeur |
| Disponibilité | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| version | about.labels.clé/valeur |
Compilation
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la compilation de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| compilation_time | about.labels.clé/valeur |
Chargement de classes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le chargement de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| en cours de chargement | about.labels.clé/valeur |
| total_chargé | about.labels.clé/valeur |
| total_déchargé | about.labels.clé/valeur |
Attaques par des logiciels malveillants
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| catégorie | security_result.category_details |
| date | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_nt_domain | target.administrative_domain |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| hachage de fichier | target.file.sha256, target.file.md5, target.file.sha1 |
| nom_fichier | about.labels.clé/valeur |
| chemin_fichier | target.file.full_path |
| gravité | security_result.severity |
| severity_id | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| src_utilisateur | nom.utilisateur.utilisateur_à_afficher |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Opérations de logiciels malveillants
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_nt_domain | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_requires_Av | target.labels.key/value |
| version_produit | about.labels.clé/valeur |
| signature_version | security_result.rule_version (version de la règle de sécurité) |
| tag | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Opérations de logiciels malveillants
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| catégorie_dest | target.labels.key/value |
DNS
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le DNS de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| autre_réponse | about.labels.clé/valeur |
| réponse | network.dns.answer.data |
| Nombre de réponses | about.labels.clé/valeur |
| autorité_réponse_autorité | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_port | target.port |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| message_type | about.labels.clé/valeur |
| name | about.labels.clé/valeur |
| query | network.dns.questions.name |
| nombre de requêtes | about.labels.clé/valeur |
| type_requête | network.dns.questions.type |
| type_enregistrement | network.dns.answer.type(uint32) |
| code_réponse | about.labels.clé/valeur |
| ID de code de réponse | code.dns.response_code |
| temps_de_réponse | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_port | port.principal |
| src_priority | principal.labels.key/value |
| tag | about.labels.clé/valeur |
| transaction_id [id_transaction] | network.dns.id |
| transport | Protocole IP de réseau |
| ttl | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Toutes_les_sessions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données All_Sessions de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_dns | target.labels.key/value |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host (hôte dest.nt) | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| duration | durée.session_réseau |
| temps_de_réponse | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_dns | principal.labels.key/value |
| src_ip | compte.ip |
| src_mac | principal.mac |
| src_nt_hôte | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| tag | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
DHCP
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| durée de location | network.dhcp.lease_time_second |
| scope_lease | about.labels.clé/valeur |
Tout_Trafic
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : All_Traffic :
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| app | Protocole d'application |
| bytes | about.labels.clé/valeur |
| octets_en | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| interface_dest | target.labels.key/value |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_translated_ip | target.nat_ip |
| port_dest_traduit | port.nat_cible |
| zone_dest | target.location.country_or_origin |
| direction | réseau.direction |
| duration | durée.session_réseau |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.clé/valeur |
| dvc_category | about.labels.clé/valeur |
| dvc_ip | about.labels.clé/valeur |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.clé/valeur |
| dvc_zone | principal.asset.location.country_or_region |
| id_flux | about.labels.clé/valeur |
| code_ICMP | about.labels.clé/valeur |
| ICMP_TYPE | about.labels.clé/valeur |
| paquets | about.labels.clé/valeur |
| paquets_dans | about.labels.clé/valeur |
| paquets_out | about.labels.clé/valeur |
| protocol | about.labels.clé/valeur |
| protocole_version | about.labels.clé/valeur |
| temps_de_réponse | about.labels.clé/valeur |
| rule | security_result.rule_id [id_règle_sécurité] |
| session_id | id_session_réseau |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_interface | principal.labels.key/value |
| src_ip | compte.ip |
| src_mac | principal.mac |
| src_port | port.principal |
| src_priority | principal.labels.key/value |
| src_translated_ip | adresse.nat_principale |
| src_translated_port | port.principal |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.clé/valeur |
| tag | about.labels.clé/valeur |
| tcp_flag | about.labels.clé/valeur |
| transport | Protocole IP de réseau |
| à | about.labels.clé/valeur |
| ttl | network.dns.additional.ttl |
| user | about.labels.clé/valeur |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| compte_fournisseur | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| Vlan | about.labels.clé/valeur |
| wifi | about.labels.clé/valeur |
Tout_Performances
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : All_Performance :
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| hypervisor_id [identifiant_hyperviseur] | about.labels.clé/valeur |
| resource_type | about.labels.clé/valeur |
| tag | about.labels.clé/valeur |
Commodités
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les installations de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| vitesse_vent. | about.labels.clé/valeur |
| power | about.labels.clé/valeur |
| température | about.labels.clé/valeur |
Synchronisation
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
Uptime
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le temps d'activité de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| Disponibilité | about.labels.clé/valeur |
Afficher_l'activité
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk View_Activity:
| Champ du journal | Mappage UDM |
|---|---|
| app | application.cible |
| dépensé | about.labels.clé/valeur |
| uri | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| vue | about.labels.clé/valeur |
Accélération du modèle de données
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Datamodel_Acceleration de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| nombre d'accès | about.labels.clé/valeur |
| heure d'accès | about.labels.clé/valeur |
| app | application.cible |
| bins | about.labels.clé/valeur |
| taille_buckets | about.labels.clé/valeur |
| complete | about.labels.clé/valeur |
| cron | about.labels.clé/valeur |
| modèle de données | about.labels.clé/valeur |
| condensé | about.labels.clé/valeur |
| premier | about.labels.clé/valeur |
| en cours | about.labels.clé/valeur |
| dernière_erreur | about.labels.clé/valeur |
| dernier_id | about.labels.clé/valeur |
| dernière | about.labels.clé/valeur |
| mod_time (temps_mod) | about.labels.clé/valeur |
| retention | about.labels.clé/valeur |
| size | about.file.size [taille_fichier] |
| résumé_id | about.labels.clé/valeur |
Activité de recherche
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Search_Activity" :
| Champ du journal | Mappage UDM |
|---|---|
| hôte | about.nom_hôte |
| info | about.labels.clé/valeur |
| search | about.labels.clé/valeur |
| rechercher_et | about.labels.clé/valeur |
| recherche_lt | about.labels.clé/valeur |
| type_recherche | about.labels.clé/valeur |
| source | principal.labels.key/value |
| typesource | principal.labels.key/value |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
Activité_planificateur
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Scheduler_Activity" :
| Champ du journal | Mappage UDM |
|---|---|
| app | application.cible |
| hôte | about.nom_hôte |
| nomderecherche enregistré | about.labels.clé/valeur |
| Sid | about.labels.clé/valeur |
| source | principal.labels.key/value |
| typesource | principal.labels.key/value |
| serveur_pluie | compte.ip, nom.principal |
| état | security_result.summary |
| user | nom.utilisateur.utilisateur_à_afficher |
Erreurs de services Web
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Web_Service_Errors:
| Champ du journal | Mappage UDM |
|---|---|
| hôte | about.nom_hôte |
| source | principal.labels.key/value |
| typesource | principal.labels.key/value |
| id_événement | security_result.rule_name (nom de la règle de sécurité) |
Actions modulaires
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Modular_Actions de Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| mode_action | about.labels.clé/valeur |
| état_action | about.labels.clé/valeur |
| app | application.cible |
| duration | durée.session_réseau |
| composant | about.labels.clé/valeur |
| orig_rid | about.labels.clé/valeur |
| id_orig | about.labels.clé/valeur |
| rid | about.labels.clé/valeur |
| nom_recherche | about.labels.clé/valeur |
| nom_action | security_result.action_details |
| signature | métadonnées.description |
| Sid | about.labels.clé/valeur |
| user | about.labels.clé/valeur |
Tout_Ticket_Management
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données All_Ticket_Management:
| Champ du journal | Mappage UDM |
|---|---|
| affecter_dest | target.labels.key/value |
| Commentaires | about.labels.clé/valeur |
| description | security_result.description [description_de_sécurité] |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| priority | security_result.priority_details |
| gravité | security_result.severity |
| severity_id | about.labels.clé/valeur |
| identifiant_splunk | about.labels.clé/valeur |
| plume_réalité | about.labels.clé/valeur |
| src_utilisateur | nom.utilisateur.utilisateur_à_afficher |
| src_utilisateur_bunit | principal.labels.key/value |
| src_user_category | principal.labels.key/value |
| src_user_priority | principal.labels.key/value |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
| billet_id | target.user.attribute.label.ley/value |
| temps_envoyé | compte.utilisateur.attribut.creation_time |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
Modifier
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la modification de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| modifier | about.labels.clé/valeur |
Incident
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'incident de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| incident | about.labels.clé/valeur |
Problème
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le problème de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| problème | about.labels.clé/valeur |
Mises à jour
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les mises à jour de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_should_update | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| hachage de fichier | target.file.sha256, target.file.md5, target.file.sha1 |
| nom_fichier | about.labels.clé/valeur |
| gravité | security_result.severity |
| severity_id | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| état | security_result.summary |
| tag | about.labels.clé/valeur |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Failles
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les failles de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| Bugtraq | about.labels.clé/valeur |
| catégorie | security_result.category_details |
| certificat | about.labels.clé/valeur |
| CVE | vulnéralites.cve_description |
| CVS | vulnéralites.cvss_base_score |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.clé/valeur |
| dvc_category | about.labels.clé/valeur |
| dvc_priority | about.labels.clé/valeur |
| msft | about.labels.clé/valeur |
| mskb | about.labels.clé/valeur |
| gravité | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.clé/valeur |
| signature | métadonnées.description |
| id_signature | metadata.product_event_type |
| tag | about.labels.clé/valeur |
| url | extensions.vulns.vulnerabilites.about.url |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
| xref | about.labels.clé/valeur |
Web
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le Web de l'ensemble de données Splunk:
| Champ du journal | Mappage UDM |
|---|---|
| action | security_result.action_details security_result.action |
| app | application.cible |
| bytes | about.labels.clé/valeur |
| octets_en | network.received_bytes |
| bytes_out | network.sent_bytes |
| mis en cache | about.labels.clé/valeur |
| catégorie | security_result.category_details |
| biscuit | about.labels.clé/valeur |
| dest | target.ip, target.hostname, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| catégorie_dest | target.labels.key/value |
| dest_priority (priorité dest.) | target.labels.key/value |
| dest_port | target.port |
| duration | durée.session_réseau |
| http_content_type (type de contenu http) | about.labels.clé/valeur |
| http_method | network.http.method (méthode) |
| http_URL de provenance | network.http.referral_url |
| http_referrer_domain | about.labels.clé/valeur |
| http_user_agent | réseau.http.user_agent |
| http_user_agent_length | about.labels.clé/valeur |
| temps_de_réponse | about.labels.clé/valeur |
| site | about.labels.clé/valeur |
| src | compte.ip, principal.nom_hôte, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| src_category | principal.labels.key/value |
| src_priority | principal.labels.key/value |
| état | code.http.response_code |
| tag | about.labels.clé/valeur |
| chemin_uri | about.labels.clé/valeur |
| uri_query | about.labels.clé/valeur |
| url | about.url |
| url_domain | about.asset.network_domain |
| longueur_url | about.labels.clé/valeur |
| user | nom.utilisateur.utilisateur_à_afficher |
| unité_utilisateur | about.labels.clé/valeur |
| catégorie_utilisateur | principal.user.attribute.labels.key/value |
| priorité_utilisateur | principal.user.attribute.label.key/value |
| vendor_product [produit_fournisseur] | about.labels.clé/valeur |
Types d'événements UDM
Le tableau suivant répertorie les tags Splunk et les types d'événements UDM correspondants:
| Modèle de données | Balises Splunk | Type d'événement UDM |
|---|---|---|
| Alertes | alerte | STATUS_UPDATE |
| Authentification | authentication | USER_UNCATEGORIZED (USER_NON_CATÉGORISÉ) |
| Certificat | certificat | NETWORK_UNCATEGORIZED (Réseau non agrégé) |
| Modifier | modifier | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Accès aux données | données, accès | RESSOURCES_USER_ACCESS |
| Bases de données | base de données | RESSOURCES_USER_ACCESS |
| Bases de données | base de données, instance, statistiques | STATUS_UPDATE |
| Bases de données | base de données, instance, état | STATUS_UPDATE |
| Bases de données | base de données, instance, verrouillage | STATUS_UPDATE |
| Bases de données | base de données, requête | STATUS_UPDATE |
| Bases de données | base de données, requête, espace de table | STATUS_UPDATE |
| Bases de données | base de données, requête, statistiques | STATUS_UPDATE |
| Protection contre la perte de données | dlp, incident | SCAN_UNCATEGORIZED |
| Adresse e-mail | E-MAIL_NON_CATÉGORISÉ | |
| Adresse e-mail | e-mail, distribution | E-MAIL_TRANSACTION |
| Point de terminaison | écoute, port | SERVICE_UNSPECIFIED |
| Point de terminaison | processus, rapport | PROCÉDURE_NON_CATÉGORÉE |
| Point de terminaison | service, signalement | SERVICE_UNSPECIFIED |
| Point de terminaison | point de terminaison, système de fichiers | FILE_UNCATEGORIZED (Fichier non agrégé) |
| Point de terminaison | point de terminaison, registre | REGISTRY_UNCATEGORIZED |
| Signature d'événement | piste_événement_signature | STATUS_UPDATE |
| Communication entre les processus | messagerie | STATUS_UPDATE |
| Détection des intrusions | identifiants, attaque | SERVICE_UNSPECIFIED |
| Inventaire | inventory | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Machine virtuelle Java (JVM) | VMJ | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Logiciels malveillants | attaque de logiciels malveillants | STATUS_UPDATE |
| Résolution réseau(DNS) | réseau, résolution, DNS | NETWORK_DNS |
| Sessions réseau | réseau, session | CONNEXION_RÉSEAU |
| Sessions réseau | réseau, session, dhcp | NETWORK_DHCP |
| Trafic réseau | réseau, communiquer | CONNEXION_RÉSEAU |
| Performances | performances | SERVICE_UNSPECIFIED |
| Journaux d'audit Splunk | modaction | STATUS_UPDATE |
| Gestion des demandes | billetterie | STATUS_UPDATE |
| Gestion des demandes | billetterie, modification | STATUS_UPDATE |
| Actualités | update | STATUS_UPDATE |
| Failles | rapport, vulnéralites | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED (Réseau non agrégé) |