Collecter les journaux CIM Splunk

Ce document explique comment collecter les journaux CIM (Common Information Model) de Splunk en configurant Splunk et un redirecteur Chronicle. Ce document liste également les types de journaux et les versions compatibles de Splunk.

Pour en savoir plus, consultez Ingestion de données dans Chronicle.

Présentation

Le schéma d'architecture de déploiement suivant montre comment les agents Splunk sont configurés pour envoyer des journaux à Chronicle. Chaque déploiement client peut différer de cette représentation et être plus complexe.

Architecture de déploiement

Le schéma de l'architecture présente les composants suivants:

  • Source de données: système à surveiller dans lequel Splunk est installé.

  • Splunk: collecte des informations à partir de la source de données et les transmet au redirecteur Chronicle.

  • redirecteur Chronicle: composant logiciel léger, déployé sur le réseau du client pour transférer les journaux à Chronicle.

  • Chronicle: conserve et analyse les journaux du serveur de parc.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec l'étiquette d'ingestion SPLUNK.

Avant de commencer

  • Utilisez la version 5.0 de Splunk, compatible avec l'analyseur Chronicle.

  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

Configurer un agent Splunk et un redirecteur Chronicle

  1. Configurez Splunk Enterprise.

  2. Installez un agent conforme CIM à partir de Splunkbase.

  3. Configurez un redirecteur Chronicle.

  4. Configurez le redirecteur Chronicle pour transférer les journaux vers le système Chronicle. Voici un exemple de configuration d'un redirecteur Chronicle:

      - splunk:
          common:
            enabled: true
            data_type: SPLUNK
            batch_n_seconds: 10
            batch_n_bytes: 819200
          url: <SPLUNK_URL>
          query_cim: true
          is_ignore_cert: true
          query_string: datamodel Network_Traffic All_Traffic flat
    

Points à prendre en compte pour rédiger des requêtes de recherche Splunk

Splunk dispose de son propre langage de recherche, semblable à SQL. Veillez à utiliser la syntaxe correcte pour votre requête de recherche. Tenez compte des caractéristiques de recherche suivantes lorsque vous créez une requête:

Caractère d'échappement

Si une valeur de chaîne contient des guillemets doubles ", utilisez des barres obliques inverses pour les échapper. Sinon, la recherche interprète mal la fin de la valeur de la chaîne.

Par exemple, pour rechercher une chaîne WHERE _raw="The user "vpatel" isn't authenticated.", vous devez utiliser la séquence \" afin de rechercher un guillemet double littéral.

Écrivez la chaîne de recherche au format suivant:

WHERE _raw="The user \"vpatel\" isn't authenticated."

Pour échapper un caractère barre oblique inverse \ , utilisez la séquence \\ pour rechercher une barre oblique inverse.

Par exemple, s'il existe une chaîne comme C:\user\abc, elle doit être écrite sous la forme C:\\user\\abc.

Si une section de la requête n'est pas valide, la requête entière n'est pas évaluée et un message d'erreur s'affiche.

Dans l'exemple suivant, l'option du mode de recherche n'est pas indiquée dans la requête:

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

Dans cet exemple, l'option de mode de recherche n'est pas spécifiée dans la requête. L'erreur suivante est alors renvoyée:

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Compatibilité avec plusieurs modèles de données

Splunk accepte une seule requête volumineuse qui couvre plusieurs modèles de données. La requête de recherche suivante extrait les données de plusieurs modèles de données:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Voici les composants de cette requête couvrant les modèles de données:

Multisearch: la requête doit commencer par le mot multisearch. Une requête pour un modèle de données doit être placée entre crochets [ ] et commencer par une barre verticale |.

Network_Traffic: nom du modèle de données.

All_Traffic: ensemble de données du modèle de données Network_Traffic.

flat: mode de recherche Les autres options sont search et acceleration_search.

Pour effectuer une recherche sur plusieurs modèles de données, nous vous recommandons d'utiliser la requête Splunk suivante:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Types de journaux et modèles de données compatibles

Modèle de données Splunk Compatible
Alertes Oui
Application State (obsolète) Non
Authentification Oui
Certificats Oui
Modifier Oui
Analyse des changements (obsolète) Non
Accès aux données Oui
Bases de données Oui
Protection contre la perte de données Oui
Adresse e-mail Oui
Point de terminaison Oui
Signatures d'événements Oui
Messagerie inter-processus Oui
Détection des intrusions Oui
Inventaire Oui
Machines virtuelles Java (JVM) Oui
Logiciels malveillants Oui
Résolution du réseau (DNS) Oui
Sessions réseau Oui
Trafic réseau Oui
Performances Oui
Journaux d'audit Splunk Oui
Gestion des demandes Oui
Changements Oui
Failles Oui
Web Oui

Documentation de référence sur le mappage de champs

Cette section explique comment l'analyseur Chronicle mappe les champs de journaux Splunk avec les champs du modèle de données unifié Chronicle (UDM) pour les ensembles de données. Pour en savoir plus, consultez le document Splunk pour la version 5.0.1.

Alertes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les alertes de l'ensemble de données Splunk:

Champ du journal Mappage UDM
app observer.application
description security_result.description
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_type target.resource.resource_type
id metadata.product_log_id
mitre_technique_id security_result.detection_fields.labels.key/value
de gravité, security_result.severity
severity_id about.labels.key/value
signature metadata.description
signature_id security_result.rule_name
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_type principal.resource.resource_type
tag about.labels.key/value
Type security_result.alert_state
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_name principal.user.userid
user_priority principal.user.attribute.label.key/value
vendor_account about.labels.key/value
vendor_region about.location.country_or_region

Ratio d'économie d'énergie (EER)

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'authentification de l'ensemble de données Splunk:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
app target.application
authentication_method about.labels.key/value
authentication_service extension.auth.auth_details
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_nt_domain target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
reason security_result.summary
response_time about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_nt_domain principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_id principal.user.userid
src_user_priority principal.labels.key/value
src_user_role principal.user.attribute.roles.name (répété)
src_user_type principal.user.attribute.roles.type
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_agent network.http.user_agent
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value
user_role principal.user.attribute.roles.name (répété)
user_type principal.user.attribute.roles.type
vendor_account about.labels.key/value

All_Certificates

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Certificates:

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
duration network.session_duration
response_time about.labels.key/value
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_port principal.port
src_priority principal.labels.key/value
tag about.labels.key/value
transport network.ip_protocol

SSL

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk SSL:

Champ du journal Mappage UDM
ssl_end_time network.tls.server.certificate.not_after
ssl_engine about.labels.key/value
ssl_hash about.labels.key/value
ssl_is_valid about.labels.key/value
ssl_issuer network.tls.server.certificate.issuer
ssl_issuer_common_name about.labels.key/value
ssl_issuer_email about.labels.key/value
ssl_issuer_email_domain about.labels.key/value
ssl_issuer_locality about.labels.key/value
ssl_issuer_organization about.labels.key/value
ssl_issuer_state about.labels.key/value
ssl_issuer_street about.labels.key/value
ssl_issuer_unit about.labels.key/value
ssl_name about.labels.key/value
ssl_policies about.labels.key/value
ssl_publickey about.labels.key/value
ssl_publickey_algorithm about.labels.key/value
ssl_serial network.tls.server.certificate.serial
ssl_session_id network.session_id
ssl_signature_algorithm about.labels.key/value
ssl_start_time network.tls.server.certificate.not_before
ssl_subject network.tls.server.certificate.subject
ssl_subject_common_name about.labels.key/value
ssl_subject_email about.labels.key/value
ssl_subject_email_domain about.labels.key/value
ssl_subject_locality about.labels.key/value
ssl_subject_organization about.labels.key/value
ssl_subject_state about.labels.key/value
ssl_subject_street about.labels.key/value
ssl_subject_unit about.labels.key/value
ssl_validity_window about.labels.key/value
ssl_version network.tls.server.certificate.version

All_Changes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Changes" :

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
change_type security_result.category_details
ou REPLACE MODEL. principal.process.command_line
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVC principal.asset.nom d'hôte, principal.asset.ip
objet target.resource.name
object_attrs about.labels.key/value
object_category about.labels.key/value
object_id target.user.product_object_id
object_path target.file.full_path
résultat metadata.description
result_id metadata.product_event_type
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
état security_result.summary
tag about.labels.key/value
utilisateur target.user.userid
user_agent network.http.user_agent
user_name principal.user.user_display_name, target.labels.key/value
user_type principal.user.attribute.roles.type, target.user.attribute.roles.type
vendor_account about.labels.key/value
vendor_product about.labels.key/value
vendor_region about.location.country_or_region

Account_Management

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Account_Management:

Champ du journal Mappage UDM
dest_nt_domain target.administrative_domain
src_nt_domain principal.administrative_domain
src_user principal.user.userid
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
src_user_name principal.labels.key/value
src_user_type principal.user.attribute.roles.type

Instance_Changes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : Instance_Changes :

Champ du journal Mappage UDM
image_id principal.asset_id
instance_type about.labels.key/value

network_Changes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : network_Changes :

Champ du journal Mappage UDM
dest_ip_range target.labels.key/value
dest_port_range target.labels.key/value
direction network.direction
protocol network.ip_protocol
rule_action security_result.action_details
security_result.action
src_ip_range principal.labels.key/value
src_port_range principal.labels.key/value

Data_Access

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Data_Access" :

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
app target.application
app_id metadata.product_log_id
dest target.ip, target.nom_hôte, target.labels.key/value
dest_name target.administrative_domain
dest_url target.url
DVC principal.asset.nom d'hôte, principal.asset.ip
email principal.user.email_addresses
objet target.resource.name
object_category about.labels.key/value
object_id target.user.product_object_id
object_path target.file.full_path
object_size target.file.size
owner about.labels.key/value
owner_email about.labels.key/value
owner_id principal.user.userid
parent_object target.resource.parent
parent_object_id about.labels.key/value
parent_object_category about.labels.key/value
src principal.ip, principal.nom d'hôte, principal.labels.key/value
tenant_id about.labels.key/value
utilisateur principal.user.user_display_name
user_agent network.http.user_agent
user_group principal.user.group_identifiers(repeated)
user_role principal.user.attribute.roles.name (répété)
vendor_product about.labels.key/value
vendor_product_id about.labels.key/value

All_Databases

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : All_Databases :

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
objet target.resource.name
response_time about.labels.key/value
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Database_Instance

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Instance:

Champ du journal Mappage UDM
instance_name target.resource.attributes.key/value
instance_version target.resource.attributes.key/value
process_limit about.labels.key/value
session_limit about.labels.key/value

Database_Query

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Database_Query:

Champ du journal Mappage UDM
requête about.labels.key/value
query_id about.labels.key/value
query_time about.labels.key/value
records_affected about.labels.key/value

Instance_Stats

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : Instance_Stats :

Champ du journal Mappage UDM
disponibilité about.labels.key/value
avg_executions about.labels.key/value
dump_area_used about.labels.key/value
instance_reads about.labels.key/value
instance_writes about.labels.key/value
number_of_users about.labels.key/value
processes about.labels.key/value
sessions about.labels.key/value
sga_buffer_cache_size about.labels.key/value
sga_buffer_hit_limit about.labels.key/value
sga_data_dict_hit_ratio about.labels.key/value
sga_fixed_area_size about.labels.key/value
sga_free_memory about.labels.key/value
sga_library_cache_size about.labels.key/value
sga_redo_log_buffer_size about.labels.key/value
sga_shared_pool_size about.labels.key/value
sga_sql_area_size about.labels.key/value
start_time about.labels.key/value
tablespace_used about.labels.key/value

Session_Info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Session_Info:

Champ du journal Mappage UDM
buffer_cache_hit_ratio about.labels.key/value
commits about.labels.key/value
cpu_used about.labels.key/value
cursor about.labels.key/value
elapsed_time about.labels.key/value
logical_reads about.labels.key/value
machine about.hostname
memory_sorts about.labels.key/value
physical_reads about.labels.key/value
seconds_in_wait about.labels.key/value
session_id network.session_id
session_status about.labels.key/value
table_scans about.labels.key/value
wait_state about.labels.key/value
wait_time about.labels.key/value

Lock_Info

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Lock_Info:

Champ du journal Mappage UDM
last_call_minute about.labels.key/value
lock_mode about.labels.key/value
lock_session_id about.labels.key/value
logon_time about.labels.key/value
obj_name about.labels.key/value
os_pid target.process.pid
serial_num target.resource.product_object_id

Espace de table

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le Tablespace de l'ensemble de données Splunk:

Champ du journal Mappage UDM
free_bytes about.file.size
tablespace_name about.resource.name
tablespace_reads about.labels.key/value
tablespace_status about.labels.key/value
tablespace_writes about.labels.key/value

Query_Stats

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Query_Stats:

Champ du journal Mappage UDM
indexes_hit about.labels.key/value
query_plan_hit about.labels.key/value
stored_procedures_called about.labels.key/value
tables_hit about.labels.key/value

DLP_Incidents

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk DLP_Incidents:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
app target.application
category security_result.category_details
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_zone target.location.country_or_origin
dlp_type about.labels.key/value
DVC principal.asset.nom d'hôte, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
dvc_zone principal.asset.location.country_or_region
objet target.resource.name
object_category about.labels.key/value
object_path target.file.full_path
de gravité, security_result.severity
severity_id about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
src_zone principal.location.country_or_origin
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

All_Email

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Email" :

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
delay about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
file_hash about.file.sha256, about.file.md5, about.file.sha1
file_name about.labels.key/value
file_size about.file.size
internal_message_id metadata.product_log_id
message_id network.email.mail_id
message_info about.labels.key/value
orig_dest target.labels.key/value
orig_recipient about.labels.key/value
orig_src network.email.from
de diffusion inverse principal.process.command_line
process_id principal.process.pid
protocol network.application_protocol
destinataire network.email.to
recipient_count about.labels.key/value
recipient_domain about.labels.key/value
recipient_status about.labels.key/value
response_time about.labels.key/value
retries about.labels.key/value
return_addr about.labels.key/value
taille about.labels.key/value
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.email_addresses
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_domain principal.administrative_domain
src_user_priority principal.labels.key/value
status_code about.labels.key/value
subject network.email.subject(repeated)
tag about.labels.key/value
url about.url
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value
Xdelay about.labels.key/value
Xréf about.labels.key/value

Filtrage

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le filtrage des ensembles de données Splunk:

Champ du journal Mappage UDM
filter_action about.labels.key/value
filter_score about.labels.key/value
signature metadata.description
signature_extra about.labels.key/value
signature_id metadata.product_event_type

Ports

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les ports de l'ensemble de données Splunk:

Champ du journal Mappage UDM
creation_time about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_port principal.port
src_requires_av principal.labels.key/value
src_should_timesync principal.labels.key/value
src_should_update principal.labels.key/value
state about.labels.key/value
tag about.labels.key/value
transport network.ip_protocol
transport_dest_port target.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Processus

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les processus de l'ensemble de données Splunk:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
cpu_load_percent about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_is_expected target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
mem_used about.labels.key/value
original_file_name src.file.full_path
os principal.asset.platform_software.platform_version
parent_process about.labels.key/value
parent_process_exec about.labels.key/value
parent_process_id principal.process.parent_process.parent_pid
parent_process_guid principal.process.parent_process.product_specific_process_id
parent_process_name about.labels.key/value
parent_process_path principal.process.parent_process.command_line
de diffusion inverse about.labels.key/value
process_current_directory about.labels.key/value
process_exec about.labels.key/value
process_hash principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
process_integrity_level security_result.severity
process_name principal.process.command_line
process_path principal.process.file.full_path
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_id principal.user.userid
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Services

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les services d'ensembles de données Splunk:

Champ du journal Mappage UDM
description security_result.description
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_is_expected target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
service target.application
service_dll about.labels.key/value
service_dll_path about.file.full_path
service_dll_hash about.labels.key/value
service_dll_signature_exists about.labels.key/value
service_dll_signature_verified about.labels.key/value
service_exec target.process.file.full_path
service_hash about.labels.key/value
service_id about.labels.key/value
service_name about.labels.key/value
service_path about.labels.key/value
service_signature_exists about.labels.key/value
service_signature_verified about.labels.key/value
start_mode about.labels.key/value
état security_result.summary
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Système de fichiers

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le système de fichiers de l'ensemble de données Splunk:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
file_access_time about.labels.key/value
file_create_time target.asset.attribute.creation_time
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_modify_time about.labels.key/value
file_name about.labels.key/value
file_path target.file.full_path
file_acl about.labels.key/value
file_size target.file.size
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Registre

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le registre d'ensembles de données Splunk:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
process_guid principal.process.product_specific_process_id
process_id principal.process.pid
registry_hive about.labels.key/value
registry_path about.labels.key/value
registry_key_name target.registry.registry_key
registry_value_data target.registry.registry_value_data
registry_value_name target.registry.registry_value_name
registry_value_text about.labels.key/value
registry_value_type about.labels.key/value
état security_result.summary
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Signatures

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les signatures d'ensemble de données Splunk:

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
tag about.labels.key/value

Signatures_vendor_product

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Signatures_vendor_product:

Champ du journal Mappage UDM
vendor_product about.labels.key/value

All_Interprocess_Messaging

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk All_Interprocess_Messaging:

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
point de terminaison about.labels.key/value
endpoint_version about.labels.key/value
message about.labels.key/value
message_consumed_time about.labels.key/value
message_correlation_id about.labels.key/value
message_delivered_time about.labels.key/value
message_delivery_mode about.labels.key/value
message_expiration_time about.labels.key/value
message_id metadata.product.log_id
message_priority about.labels.key/value
message_properties about.labels.key/value
message_received_time about.labels.key/value
message_redelivered about.labels.key/value
message_reply_dest target.labels.key/value
message_type about.labels.key/value
paramètres about.labels.key/value
payload about.labels.key/value
payload_type about.labels.key/value
request_payload about.labels.key/value
request_payload_type about.labels.key/value
request_sent_time about.labels.key/value
response_code network.http.response_code
response_payload_type about.labels.key/value
response_received_time about.labels.key/value
response_time about.labels.key/value
return_message about.labels.key/value
rpc_protocol network.application_protocol
état security_result.summary
tag about.labels.key/value

IDS_Attacks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk IDS_Attacks:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
category security_result.category_details
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVC principal.asset.nom d'hôte, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
file_path target.file.full_path
ids_type about.labels.key/value
de gravité, security_result.severity
severity_id about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_port principal.port
tag about.labels.key/value
transport network.ip_protocol
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

DS_Attacks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk DS_Attacks:

Champ du journal Mappage UDM
dest_port target.port

All_Inventory

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Inventory" :

Champ du journal Mappage UDM
description security_result.description
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
activé about.labels.key/value
famille about.labels.key/value
hypervisor_id about.labels.key/value
serial principal.asset.hardware.serial_number
état security_result.summary
tag about.labels.key/value
vendor_product about.labels.key/value
version about.labels.key/value

CPU

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le processeur de l'ensemble de données Splunk:

Champ du journal Mappage UDM
cpu_cores principal.asset.hardware.cpu_number_cores
cpu_count about.labels.key/value
cpu_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_mhz principal.asset.hardware.cpu_clock_speed
cpu_load_percent about.labels.key/value
cpu_time about.labels.key/value
cpu_user_percent about.labels.key/value

Mémoire

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Memory:

Champ du journal Mappage UDM
mem principal.asset.hardware.ram
heap_committed about.labels.key/value
heap_initial about.labels.key/value
heap_max about.labels.key/value
heap_used about.labels.key/value
non_heap_committed about.labels.key/value
non_heap_initial about.labels.key/value
non_heap_max about.labels.key/value
non_heap_used about.labels.key/value
objects_pending about.labels.key/value
mem principal.asset.hardware.ram
mem_committed about.labels.key/value
mem_free about.labels.key/value
mem_used about.labels.key/value
échange about.labels.key/value
swap_free about.labels.key/value
swap_used about.labels.key/value

réseau

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le réseau d'ensembles de données Splunk:

Champ du journal Mappage UDM
dest_ip target.ip
dns about.labels.key/value
inline_nat about.labels.key/value
interface about.labels.key/value
ip principal.asset.ip
lb_method about.labels.key/value
mac principal.asset.mac
name principal.resource.name
nœud about.labels.key/value
node_port target.port
src_ip principal.ip
vip_port about.labels.key/value
débit about.labels.key/value
thruput_max about.labels.key/value

OS

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'OS de l'ensemble de données Splunk:

Champ du journal Mappage UDM
os principal.asset.platform_software.platform_version
committed_memory about.labels.key/value
cpu_time about.labels.key/value
free_physical_memory about.labels.key/value
free_swap about.labels.key/value
max_file_descriptors about.labels.key/value
open_file_descriptors about.labels.key/value
os principal.asset.platform_software.platform_version
os_architecture about.labels.key/value
os_version about.labels.key/value
physical_memory about.labels.key/value
swap_space about.labels.key/value
system_load about.labels.key/value
total_processors about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type

Stockage

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le stockage de l'ensemble de données Splunk:

Champ du journal Mappage UDM
tableau about.labels.key/value
taille de bloc about.labels.key/value
cluster about.resource.resource_type = "CLUSTER"
fd_max about.labels.key/value
latence about.labels.key/value
mount principal.resource.attribute.labels.key/value
parent principal.resource.parent
read_blocks about.labels.key/value
read_latency about.labels.key/value
read_ops about.labels.key/value
Espace de stockage about.labels.key/value
write_blocks about.labels.key/value
write_latency about.labels.key/value
write_ops about.labels.key/value
tableau about.labels.key/value
taille de bloc about.labels.key/value
cluster about.resource.resource_type = "CLUSTER"
fd_max about.labels.key/value
fd_used about.labels.key/value
latence about.labels.key/value
mount about.labels.key/value
parent principal.resource.parent
read_blocks about.labels.key/value
read_latency about.labels.key/value
read_ops about.labels.key/value
Espace de stockage about.labels.key/value
storage_free about.labels.key/value
storage_free_percent about.labels.key/value
storage_used about.labels.key/value
storage_used_percent about.labels.key/value
write_blocks about.labels.key/value
write_latency about.labels.key/value
write_ops about.labels.key/value
error_code security_result.description
opération about.labels.key/value
storage_name about.resource.name

Utilisateur

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'utilisateur de l'ensemble de données Splunk:

Champ du journal Mappage UDM
interactive about.labels.key/value
mot de passe about.labels.key/value
shell about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_id principal.user.userid
user_priority principal.user.attribute.label.key/value

Virtual_OS

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Virtual_OS:

Champ du journal Mappage UDM
hyperviseur about.labels.key/value

Instantané

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'instantané de l'ensemble de données Splunk:

Champ du journal Mappage UDM
taille about.file.size
instantané about.labels.key/value
time about.labels.key/value

JVM

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la JVM de l'ensemble de données Splunk:

Champ du journal Mappage UDM
jvm_description security_result.description
tag about.labels.key/value

Exécution de threads

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'exécution des threads de l'ensemble de données Splunk:

Champ du journal Mappage UDM
cm_enabled about.labels.key/value
cm_supported about.labels.key/value
cpu_time_enabled about.labels.key/value
cpu_time_supported about.labels.key/value
current_cpu_time about.labels.key/value
current_user_time about.labels.key/value
daemon_thread_count about.labels.key/value
omu_supported about.labels.key/value
peak_thread_count about.labels.key/value
synch_supported about.labels.key/value
thread_count about.labels.key/value
threads_started about.labels.key/value

Environnement d'exécution

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'environnement d'exécution de l'ensemble de données Splunk:

Champ du journal Mappage UDM
process_name principal.process.command_line
start_time about.labels.key/value
Disponibilité about.labels.key/value
vendor_product about.labels.key/value
version about.labels.key/value

Compilation

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la compilation d'ensembles de données Splunk:

Champ du journal Mappage UDM
compilation_time about.labels.key/value

Chargement de classe

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le Classloading de l'ensemble de données Splunk:

Champ du journal Mappage UDM
current_loaded about.labels.key/value
total_loaded about.labels.key/value
total_unloaded about.labels.key/value

Malware_Attacks

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Attacks:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
category security_result.category_details
date about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_nt_domain target.administrative_domain
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
file_path target.file.full_path
de gravité, security_result.severity
severity_id about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
src_user principal.user.user_display_name
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
url about.url
vendor_product about.labels.key/value

Malware_Operations

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations:

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_nt_domain target.labels.key/value
dest_nt_domain target.labels.key/value
dest_priority target.labels.key/value
dest_requires_av target.labels.key/value
product_version about.labels.key/value
signature_version security_result.rule_version
tag about.labels.key/value
vendor_product about.labels.key/value

Malware_Operations

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Malware_Operations:

Champ du journal Mappage UDM
dest_category target.labels.key/value

DNS

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le DNS de l'ensemble de données Splunk:

Champ du journal Mappage UDM
additional_answer_count about.labels.key/value
answer network.dns.answer.data
answer_count about.labels.key/value
authority_answer_count about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_port target.port
dest_priority target.labels.key/value
duration network.session_duration
message_type about.labels.key/value
name about.labels.key/value
requête network.dns.questions.name
query_count about.labels.key/value
query_type network.dns.questions.type
record_type network.dns.answer.type(uint32)
reply_code about.labels.key/value
reply_code_id network.dns.response_code
response_time about.labels.key/value
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_port principal.port
src_priority principal.labels.key/value
tag about.labels.key/value
transaction_id network.dns.id
transport network.ip_protocol
ttl about.labels.key/value
vendor_product about.labels.key/value

All_Sessions

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Sessions" :

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_dns target.labels.key/value
dest_ip network.dhcp.ciaddr
dest_mac network.dhcp.chaddr
dest_nt_host target.labels.key/value
dest_priority target.labels.key/value
duration network.session_duration
response_time about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_dns principal.labels.key/value
src_ip principal.ip
src_mac principal.mac
src_nt_host principal.labels.key/value
src_priority principal.labels.key/value
tag about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

DHCP

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le DHCP de l'ensemble de données Splunk:

Champ du journal Mappage UDM
lease_duration network.dhcp.lease_time_second
lease_scope about.labels.key/value

All_Traffic

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Traffic" :

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
app network.application_protocol
bytes about.labels.key/value
bytes_in network.received_bytes
bytes_out network.sent_bytes
channel about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_interface target.labels.key/value
dest_ip target.ip
dest_mac target.mac
dest_port target.port
dest_priority target.labels.key/value
dest_translated_ip target.nat_ip
dest_translated_port target.nat_port
dest_zone target.location.country_or_origin
direction network.direction
duration network.session_duration
DVC principal.asset.nom d'hôte, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_ip about.labels.key/value
dvc_mac principal.asset.mac
dvc_priority about.labels.key/value
dvc_zone principal.asset.location.country_or_region
flow_id about.labels.key/value
icmp_code about.labels.key/value
icmp_type about.labels.key/value
paquets about.labels.key/value
packets_in about.labels.key/value
packets_out about.labels.key/value
protocol about.labels.key/value
protocol_version about.labels.key/value
response_time about.labels.key/value
règle security_result.rule_id
session_id network.session_id
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_interface principal.labels.key/value
src_ip principal.ip
src_mac principal.mac
src_port principal.port
src_priority principal.labels.key/value
src_translated_ip principal.nat_ip
src_translated_port principal.nat_port
src_zone principal.location.country_or_origin
ssid about.labels.key/value
tag about.labels.key/value
tcp_flag about.labels.key/value
transport network.ip_protocol
tos about.labels.key/value
ttl network.dns.additional.ttl
utilisateur principal.user.userid
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_account about.labels.key/value
vendor_product about.labels.key/value
vlan about.labels.key/value
wifi about.labels.key/value

All_Performance

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Performance" :

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_should_timesync target.labels.key/value
dest_should_update target.labels.key/value
hypervisor_id about.labels.key/value
resource_type about.labels.key/value
tag about.labels.key/value

Toilettes

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "Installations" :

Champ du journal Mappage UDM
fan_speed about.labels.key/value
power about.labels.key/value
température about.labels.key/value

Synchronisation temporelle

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Timesync:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action

Temps d'activité

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la disponibilité de l'ensemble de données Splunk:

Champ du journal Mappage UDM
Disponibilité about.labels.key/value

View_Activity

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : View_Activity :

Champ du journal Mappage UDM
app target.application
dépensé about.labels.key/value
uri about.labels.key/value
utilisateur principal.user.user_display_name
vue about.labels.key/value

Datamodel_Acceleration

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Datamodel_Acceleration:

Champ du journal Mappage UDM
access_count about.labels.key/value
access_time about.labels.key/value
app target.application
Bins about.labels.key/value
buckets_size about.labels.key/value
complete about.labels.key/value
cron about.labels.key/value
modèle de données about.labels.key/value
condensé about.labels.key/value
le plus tôt about.labels.key/value
is_inprogress about.labels.key/value
last_error about.labels.key/value
last_sid about.labels.key/value
dernière about.labels.key/value
mod_time about.labels.key/value
retention about.labels.key/value
taille about.file.size
summary_id about.labels.key/value

Search_Activity

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk : "Search_Activity" :

Champ du journal Mappage UDM
hôte about.hostname
info about.labels.key/value
search about.labels.key/value
search_et about.labels.key/value
search_lt about.labels.key/value
search_type about.labels.key/value
source principal.labels.key/value
type de source principal.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Scheduler_Activity

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Scheduler_Activity:

Champ du journal Mappage UDM
app target.application
hôte about.hostname
savedsearch_name about.labels.key/value
sid about.labels.key/value
source principal.labels.key/value
type de source principal.labels.key/value
splunk_server "principal.ip", "principal.nom_hôte"
état security_result.summary
utilisateur principal.user.user_display_name

Web_Service_Errors

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Web_Service_Errors:

Champ du journal Mappage UDM
hôte about.hostname
source principal.labels.key/value
type de source principal.labels.key/value
event_id security_result.rule_name

Modular_Actions

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk Modular_Actions:

Champ du journal Mappage UDM
action_mode about.labels.key/value
action_status about.labels.key/value
app target.application
duration network.session_duration
composant about.labels.key/value
orig_rid about.labels.key/value
orig_sid about.labels.key/value
rid about.labels.key/value
search_name about.labels.key/value
action_name security_result.action_details
signature metadata.description
sid about.labels.key/value
utilisateur about.labels.key/value

All_Ticket_Management

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk "All_Ticket_Management" :

Champ du journal Mappage UDM
affect_dest target.labels.key/value
Commentaires about.labels.key/value
description security_result.description
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
priority security_result.priority_details
de gravité, security_result.severity
severity_id about.labels.key/value
splunk_id about.labels.key/value
splunk_realm about.labels.key/value
src_user principal.user.user_display_name
src_user_bunit principal.labels.key/value
src_user_category principal.labels.key/value
src_user_priority principal.labels.key/value
état security_result.summary
tag about.labels.key/value
ticket_id target.user.attribute.label.ley/valeur
time_submitted principal.user.attribute.creation_time
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value

Modifier

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la modification de l'ensemble de données Splunk:

Champ du journal Mappage UDM
modifier about.labels.key/value

Incident

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'incident dans l'ensemble de données Splunk:

Champ du journal Mappage UDM
incident about.labels.key/value

Problème

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le problème lié à l'ensemble de données Splunk:

Champ du journal Mappage UDM
problème about.labels.key/value

Mises à jour

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les mises à jour de l'ensemble de données Splunk:

Champ du journal Mappage UDM
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_should_update target.labels.key/value
DVC principal.asset.nom d'hôte, principal.asset.ip
file_hash target.file.sha256, target.file.md5, target.file.sha1
file_name about.labels.key/value
de gravité, security_result.severity
severity_id about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
état security_result.summary
tag about.labels.key/value
vendor_product about.labels.key/value

Failles

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les failles de l'ensemble de données Splunk:

Champ du journal Mappage UDM
Bugtraq about.labels.key/value
category security_result.category_details
cert about.labels.key/value
cve vulnerabilites.cve_description
cvss vulnerabilites.cvss_base_score
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
DVC principal.asset.nom d'hôte, principal.asset.ip
dvc_bunit about.labels.key/value
dvc_category about.labels.key/value
dvc_priority about.labels.key/value
msft about.labels.key/value
mskb about.labels.key/value
de gravité, extensions.vulns.vulnerabilites.severity
severity_id about.labels.key/value
signature metadata.description
signature_id metadata.product_event_type
tag about.labels.key/value
url extensions.vulns.vulnerabilites.about.url
utilisateur extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value
Xréf about.labels.key/value

Web

Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ensemble de données Splunk pour le Web:

Champ du journal Mappage UDM
action security_result.action_details
security_result.action
app target.application
bytes about.labels.key/value
bytes_in network.received_bytes
bytes_out network.sent_bytes
mis en cache about.labels.key/value
category security_result.category_details
biscuit about.labels.key/value
dest target.ip, target.nom_hôte, target.labels.key/value
dest_bunit target.labels.key/value
dest_category target.labels.key/value
dest_priority target.labels.key/value
dest_port target.port
duration network.session_duration
http_content_type about.labels.key/value
http_method network.http.method
http_referrer network.http.referral_url
http_referrer_domain about.labels.key/value
http_user_agent network.http.user_agent
http_user_agent_length about.labels.key/value
response_time about.labels.key/value
site about.labels.key/value
src principal.ip, principal.nom d'hôte, principal.labels.key/value
src_bunit principal.labels.key/value
src_category principal.labels.key/value
src_priority principal.labels.key/value
état network.http.response_code
tag about.labels.key/value
uri_path about.labels.key/value
uri_query about.labels.key/value
url about.url
url_domain about.asset.network_domain
url_length about.labels.key/value
utilisateur principal.user.user_display_name
user_bunit about.labels.key/value
user_category principal.user.attribute.labels.key/value
user_priority principal.user.attribute.label.key/value
vendor_product about.labels.key/value

Types d'événements UDM

Le tableau suivant répertorie les tags Splunk et les types d'événements UDM correspondants:

Modèle de données Tags Splunk Type d'événement UDM
Alertes alerte STATUS_UPDATE
Authentification authentication USER_UNCATEGORIZED
Certificat certificat NETWORK_UNCATEGORIZED
Modifier modifier SYSTEM_AUDIT_LOG_UNCATEGORIZED
Accès aux données données, accès USER_RESOURCE_ACCESS
Bases de données base de données USER_RESOURCE_ACCESS
Bases de données base de données, instance, statistiques STATUS_UPDATE
Bases de données base de données, instance, état STATUS_UPDATE
Bases de données base de données, instance, verrouillage STATUS_UPDATE
Bases de données base de données, requête STATUS_UPDATE
Bases de données base de données, requête, espace de table STATUS_UPDATE
Bases de données base de données, requête, statistiques STATUS_UPDATE
Protection contre la perte de données dlp, incident SCAN_UNCATEGORIZED
Adresse e-mail email EMAIL_UNCATEGORIZED
Adresse e-mail e-mail, livraison EMAIL_TRANSACTION
Point de terminaison écoute, port SERVICE_UNSPECIFIED
Point de terminaison traiter, signaler PROCESS_UNCATEGORIZED
Point de terminaison service, signaler SERVICE_UNSPECIFIED
Point de terminaison point de terminaison, système de fichiers FILE_UNCATEGORIZED
Point de terminaison point de terminaison, registre REGISTRY_UNCATEGORIZED
Signature d'événement track_event_signature STATUS_UPDATE
Messagerie inter-processus messagerie STATUS_UPDATE
Détection des intrusions ids, attaque, etc. SERVICE_UNSPECIFIED
Inventaire inventaire SYSTEM_AUDIT_LOG_UNCATEGORIZED
Machine virtuelle Java (JVM) jvm SYSTEM_AUDIT_LOG_UNCATEGORIZED
Logiciels malveillants attaque de logiciels malveillants STATUS_UPDATE
Résolution du réseau(DNS) réseau, résolution, dns NETWORK_DNS
Sessions réseau réseau, session NETWORK_CONNECTION
Sessions réseau réseau, session, dhcp NETWORK_DHCP
Trafic réseau réseau, communiquer NETWORK_CONNECTION
Performances performances SERVICE_UNSPECIFIED
Journaux d'audit Splunk modaction STATUS_UPDATE
Gestion des demandes billetterie STATUS_UPDATE
Gestion des demandes billetterie, modifier STATUS_UPDATE
Changements update STATUS_UPDATE
Failles rapport, vulnérabilités SCAN_UNCATEGORIZED
Web web NETWORK_UNCATEGORIZED

Étapes suivantes