Raccolta dei log CIM di Splunk
Questo documento descrive come raccogliere i log CIM (Common Information Model) di Splunk configurando Splunk e un forwarding Chronicle. Questo documento elenca anche i tipi di log supportati e le versioni di Splunk supportate.
Per saperne di più, consulta Importazione dei dati in Chronicle.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra come sono configurati gli agenti Splunk per l'invio di log a Chronicle. Ogni deployment del cliente potrebbe essere diverso da questa rappresentazione e potrebbe essere più complesso.
Il diagramma dell'architettura mostra i seguenti componenti:
Origine dati: il sistema da monitorare su cui è installato Splunk.
Splunk: raccoglie informazioni dall'origine dati e le inoltra al inoltro di Chronicle.
Forwarder Chronicle: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente per inoltrare i log a Chronicle.
Chronicle: conserva e analizza i log del server Fleet.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser
con etichetta di importazione SPLUNK
.
Prima di iniziare
Usa la versione 5.0 di Splunk supportata dall'analizzatore sintattico di Chronicle.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.
Configura un agente Splunk e un forwarding Chronicle
Installa un agente conforme a CIM da Splunkbase.
Configura il forwarding di Chronicle per inviare i log al sistema Chronicle. Di seguito è riportato un esempio di configurazione del server di inoltro di Chronicle:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Considerazioni per la scrittura delle query di ricerca su Splunk
Splunk ha un proprio linguaggio di ricerca simile a SQL. Assicurati di utilizzare la sintassi corretta per la query di ricerca. Quando crei una query, considera le seguenti caratteristiche di ricerca:
Carattere di escape
Se un valore stringa contiene virgolette doppie "
, utilizza una barra rovesciata come carattere di escape. In caso contrario, la ricerca interpreta in modo errato la fine del valore della stringa.
Ad esempio, per cercare una stringa WHERE _raw="The user "vpatel" isn't authenticated."
,
devi utilizzare la sequenza \"
per cercare le virgolette doppie letterali.
Scrivi la stringa di ricerca nel seguente formato:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Per eseguire l'escape di una barra rovesciata \
, utilizza la sequenza \\
per cercare una barra rovesciata.
Ad esempio, se esiste una stringa come C:\user\abc
, deve essere scritta come C:\\user\\abc
.
Ricerca sintattica errata
Se una sezione della query non è valida, l'intera query non viene valutata e viene visualizzato un messaggio di errore.
Considera il seguente esempio in cui l'opzione modalità di ricerca non è presente nella query:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
In questo esempio, nella query manca l'opzione modalità di ricerca. Questo genera il seguente errore:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Supporto per più modelli di dati
Splunk supporta una singola query di grandi dimensioni che interessa i modelli di dati. La seguente query di ricerca estrae i dati da più modelli dei dati:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Di seguito sono riportati i componenti di questa query che coprono i modelli di dati:
Multisearch
: la query deve iniziare con la parola multisearch
. Una query per un modello dei dati deve essere racchiusa tra parentesi quadre [ ]
e iniziare con un carattere barra verticale |
.
Network_Traffic
: il nome del modello dei dati.
All_Traffic
: set di dati del modello dei dati Network_Traffic
.
flat
: modalità di ricerca. Le altre opzioni sono search
e acceleration_search
.
Ti consigliamo di utilizzare la seguente query Splunk per la ricerca di più modello dei dati:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Tipi di log e modelli dei dati supportati
Modello dei dati di Splunk | Supportato |
---|---|
Avvisi | Sì |
Stato applicazione (deprecato) | No |
Autenticazione | Sì |
Certificati | Sì |
Modifica | Sì |
Analisi delle variazioni (deprecata) | No |
Accesso ai dati | Sì |
Database | Sì |
Prevenzione della perdita di dati | Sì |
Sì | |
Endpoint | Sì |
Firme di eventi | Sì |
Interelaborazione dei messaggi | Sì |
Rilevamento delle intrusioni | Sì |
Inventario | Sì |
Macchine virtuali Java (JVM) | Sì |
Malware | Sì |
Risoluzione di rete (DNS) | Sì |
Sessioni di rete | Sì |
Traffico di rete | Sì |
Prestazioni | Sì |
Audit log di Splunk | Sì |
Gestione dei biglietti | Sì |
Aggiornamenti | Sì |
Vulnerabilità | Sì |
Web | Sì |
Riferimento per la mappatura dei campi
Questa sezione spiega in che modo l'analizzatore sintattico Chronicle mappa i campi dei log di Splunk ai campi del Chronicle Unified Data Model (UDM) per i set di dati. Per ulteriori informazioni, consulta il documento di Splunk per la versione 5.0.1.
Avvisi
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per gli avvisi del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
app | observer.application |
description | security_result.description |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_type | target.resource.resource_type |
id | metadata.product_log_id |
mitre_technique_id | security_result.detection_fields.labels.key/value |
gravità | security_result.severity |
severity_id | about.labels.key/value |
firma | metadata.description |
signature_id | security_result.rule_name |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_type | principal.resource.resource_type |
tag (m.) | about.labels.key/value |
tipo | security_result.alert_state |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_name | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
vendor_account | about.labels.key/value |
vendor_region | about.location.country_or_region |
Autenticazione
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'autenticazione del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
authentication_method | about.labels.key/value |
authentication_service | extension.auth.auth_details |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_nt_domain | target.labels.key/value |
dest_priority | target.labels.key/value |
duration | network.session_duration |
motivo | security_result.summary |
response_time | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_nt_domain | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value |
src_user_category | principal.labels.key/value |
src_user_id | principal.user.userid |
src_user_priority | principal.labels.key/value |
src_user_role | principal.user.attribute.roles.name (ripetuto) |
src_user_type | principal.user.attribute.roles.type |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_agent | network.http.user_agent |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_id | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
user_role | principal.user.attribute.roles.name (ripetuto) |
user_type | principal.user.attribute.roles.type |
vendor_account | about.labels.key/value |
All_Certificates
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Certificates:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_port | target.port |
dest_priority | target.labels.key/value |
duration | network.session_duration |
response_time | about.labels.key/value |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_port | principal.port |
src_priority | principal.labels.key/value |
tag (m.) | about.labels.key/value |
trasporto | network.ip_protocol |
SSL
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati SSL del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
ssl_end_time | network.tls.server.certificate.not_after |
ssl_engine | about.labels.key/value |
ssl_hash | about.labels.key/value |
ssl_is_valid | about.labels.key/value |
ssl_issuer | network.tls.server.certificate.issuer |
ssl_issuer_common_name | about.labels.key/value |
ssl_issuer_email | about.labels.key/value |
ssl_issuer_email_domain | about.labels.key/value |
ssl_issuer_locality | about.labels.key/value |
ssl_issuer_organization | about.labels.key/value |
ssl_issuer_state | about.labels.key/value |
ssl_issuer_street | about.labels.key/value |
ssl_issuer_unit | about.labels.key/value |
ssl_name | about.labels.key/value |
ssl_policies | about.labels.key/value |
ssl_publickey | about.labels.key/value |
ssl_publickey_algorithm | about.labels.key/value |
ssl_serial | network.tls.server.certificate.serial |
ssl_session_id | network.session_id |
ssl_signature_algorithm | about.labels.key/value |
ssl_start_time | network.tls.server.certificate.not_before |
ssl_subject | network.tls.server.certificate.subject |
ssl_subject_common_name | about.labels.key/value |
ssl_subject_email | about.labels.key/value |
ssl_subject_email_domain | about.labels.key/value |
ssl_subject_locality | about.labels.key/value |
ssl_subject_organization | about.labels.key/value |
ssl_subject_state | about.labels.key/value |
ssl_subject_street | about.labels.key/value |
ssl_subject_unit | about.labels.key/value |
ssl_validity_window | about.labels.key/value |
ssl_version | network.tls.server.certificate.version |
All_Changes
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Changes:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
change_type | security_result.category_details |
comando | principal.process.command_line |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dvc | principal.asset.hostname, principal.asset.ip |
oggetto | target.resource.name |
object_attrs | about.labels.key/value |
object_category | about.labels.key/value |
object_id | target.user.product_object_id |
object_path | target.file.full_path |
risultato | metadata.description |
result_id | metadata.product_event_type |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
utente | target.user.userid |
user_agent | network.http.user_agent |
user_name | principal.user.user_display_name, target.labels.key/value |
user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
vendor_account | about.labels.key/value |
vendor_product | about.labels.key/value |
vendor_region | about.location.country_or_region |
Account_Management
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Account_Management:
Campo log | Mappatura UDM |
---|---|
dest_nt_domain | target.administrative_domain |
src_nt_domain | principal.administrative_domain |
src_user | principal.user.userid |
src_user_bunit | principal.labels.key/value |
src_user_category | principal.labels.key/value |
src_user_priority | principal.labels.key/value |
src_user_name | principal.labels.key/value |
src_user_type | principal.user.attribute.roles.type |
Instance_Changes
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Changes:
Campo log | Mappatura UDM |
---|---|
image_id | principal.asset_id |
instance_type | about.labels.key/value |
network_Changes
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk network_Changes:
Campo log | Mappatura UDM |
---|---|
dest_ip_range | target.labels.key/value |
dest_port_range | target.labels.key/value |
direction | network.direction |
protocollo | network.ip_protocol |
rule_action | security_result.action_details security_result.action |
src_ip_range | principal.labels.key/value |
src_port_range | principal.labels.key/value |
Data_Access
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Data_Access:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
app_id | metadata.product_log_id |
dest | target.ip, target.hostname, target.labels.key/value |
dest_name | target.administrative_domain |
dest_url | target.url |
dvc | principal.asset.hostname, principal.asset.ip |
principal.user.email_addresses | |
oggetto | target.resource.name |
object_category | about.labels.key/value |
object_id | target.user.product_object_id |
object_path | target.file.full_path |
object_size | target.file.size |
proprietario | about.labels.key/value |
owner_email | about.labels.key/value |
owner_id | principal.user.userid |
parent_object | target.resource.parent |
parent_object_id | about.labels.key/value |
parent_object_category | about.labels.key/value |
src | principal.ip, principal.hostname, principal.labels.key/value |
tenant_id | about.labels.key/value |
utente | principal.user.user_display_name |
user_agent | network.http.user_agent |
user_group | principal.user.group_identifiers(repeated) |
user_role | principal.user.attribute.roles.name (ripetuto) |
vendor_product | about.labels.key/value |
vendor_product_id | about.labels.key/value |
All_Databases
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Databases:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
duration | network.session_duration |
oggetto | target.resource.name |
response_time | about.labels.key/value |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
Database_Instance
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Database_Instance:
Campo log | Mappatura UDM |
---|---|
instance_name | target.resource.attributes.key/value |
instance_version | target.resource.attributes.key/value |
process_limit | about.labels.key/value |
session_limit | about.labels.key/value |
Database_Query
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Database_Query:
Campo log | Mappatura UDM |
---|---|
query | about.labels.key/value |
query_id | about.labels.key/value |
query_time | about.labels.key/value |
records_affected | about.labels.key/value |
Instance_Stats
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Stats:
Campo log | Mappatura UDM |
---|---|
disponibilità | about.labels.key/value |
avg_executions | about.labels.key/value |
dump_area_used | about.labels.key/value |
instance_reads | about.labels.key/value |
instance_writes | about.labels.key/value |
number_of_users | about.labels.key/value |
processi | about.labels.key/value |
sessioni | about.labels.key/value |
sga_buffer_cache_size | about.labels.key/value |
sga_buffer_hit_limit | about.labels.key/value |
sga_data_dict_hit_ratio | about.labels.key/value |
sga_fixed_area_size | about.labels.key/value |
sga_free_memory | about.labels.key/value |
sga_library_cache_size | about.labels.key/value |
sga_redo_log_buffer_size | about.labels.key/value |
sga_shared_pool_size | about.labels.key/value |
sga_sql_area_size | about.labels.key/value |
start_time | about.labels.key/value |
tablespace_used | about.labels.key/value |
Session_Info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Session_Info:
Campo log | Mappatura UDM |
---|---|
buffer_cache_hit_ratio | about.labels.key/value |
commit | about.labels.key/value |
cpu_used | about.labels.key/value |
cursore | about.labels.key/value |
elapsed_time | about.labels.key/value |
logical_reads | about.labels.key/value |
macchina | about.hostname |
memory_sorts | about.labels.key/value |
physical_reads | about.labels.key/value |
seconds_in_wait | about.labels.key/value |
session_id | network.session_id |
session_status | about.labels.key/value |
table_scans | about.labels.key/value |
wait_state | about.labels.key/value |
wait_time | about.labels.key/value |
Lock_Info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Lock_Info:
Campo log | Mappatura UDM |
---|---|
last_call_minute | about.labels.key/value |
lock_mode | about.labels.key/value |
lock_session_id | about.labels.key/value |
logon_time | about.labels.key/value |
obj_name | about.labels.key/value |
os_pid | target.process.pid |
serial_num | target.resource.product_object_id |
Spazio tabella
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Tablespace:
Campo log | Mappatura UDM |
---|---|
free_bytes | about.file.size |
tablespace_name | about.resource.name |
tablespace_reads | about.labels.key/value |
tablespace_status | about.labels.key/value |
tablespace_writes | about.labels.key/value |
Query_Stats
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Query_Stats di Splunk:
Campo log | Mappatura UDM |
---|---|
indexes_hit | about.labels.key/value |
query_plan_hit | about.labels.key/value |
stored_procedures_called | about.labels.key/value |
tables_hit | about.labels.key/value |
DLP_Incidents
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk DLP_Incidents:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
categoria | security_result.category_details |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_zone | target.location.country_or_origin |
dlp_type | about.labels.key/value |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value |
dvc_category | about.labels.key/value |
dvc_priority | about.labels.key/value |
dvc_zone | principal.asset.location.country_or_region |
oggetto | target.resource.name |
object_category | about.labels.key/value |
object_path | target.file.full_path |
gravità | security_result.severity |
severity_id | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value |
src_user_category | principal.labels.key/value |
src_user_priority | principal.labels.key/value |
src_zone | principal.location.country_or_origin |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
All_Email
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Email:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
delay | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
duration | network.session_duration |
file_hash | informazioni.file.sha256, about.file.md5, about.file.sha1 |
file_name | about.labels.key/value |
file_size | about.file.size |
internal_message_id | metadata.product_log_id |
message_id | network.email.mail_id |
message_info | about.labels.key/value |
orig_dest | target.labels.key/value |
orig_recipient | about.labels.key/value |
orig_src | network.email.from |
di diffusione | principal.process.command_line |
process_id | principal.process.pid |
protocollo | network.application_protocol |
destinatario | network.email.to |
recipient_count | about.labels.key/value |
recipient_domain | about.labels.key/value |
recipient_status | about.labels.key/value |
response_time | about.labels.key/value |
nuovi tentativi | about.labels.key/value |
return_addr | about.labels.key/value |
dimensioni | about.labels.key/value |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_user | principal.user.email_addresses |
src_user_bunit | principal.labels.key/value |
src_user_category | principal.labels.key/value |
src_user_domain | principal.administrative_domain |
src_user_priority | principal.labels.key/value |
status_code | about.labels.key/value |
subject | network.email.subject(repeated) |
tag (m.) | about.labels.key/value |
url | about.url |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
xdelay | about.labels.key/value |
riferimento x | about.labels.key/value |
Applicazione dei filtri
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il filtro del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
filter_action | about.labels.key/value |
filter_score | about.labels.key/value |
firma | metadata.description |
signature_extra | about.labels.key/value |
signature_id | metadata.product_event_type |
Porte
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le porte del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
creation_time | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_port | target.port |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
dest_should_timesync | target.labels.key/value |
dest_should_update | target.labels.key/value |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_port | principal.port |
src_requires_av | principal.labels.key/value |
src_should_timesync | principal.labels.key/value |
src_should_update | principal.labels.key/value |
state | about.labels.key/value |
tag (m.) | about.labels.key/value |
trasporto | network.ip_protocol |
transport_dest_port | target.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Processi
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per i processi del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
cpu_load_percent | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_is_expected | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
dest_should_timesync | target.labels.key/value |
dest_should_update | target.labels.key/value |
mem_used | about.labels.key/value |
original_file_name | src.file.full_path |
os | principal.asset.platform_software.platform_version |
parent_process | about.labels.key/value |
parent_process_exec | about.labels.key/value |
parent_process_id | principal.process.parent_process.parent_pid |
parent_process_guid | principal.process.parent_process.product_specific_process_id |
parent_process_name | about.labels.key/value |
parent_process_path | principal.process.parent_process.command_line |
di diffusione | about.labels.key/value |
process_current_directory | about.labels.key/value |
process_exec | about.labels.key/value |
process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
process_integrity_level | security_result.severity |
process_name | principal.process.command_line |
process_path | principal.process.file.full_path |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_id | principal.user.userid |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
Servizi
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per i servizi del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
description | security_result.description |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_is_expected | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
dest_should_timesync | target.labels.key/value |
dest_should_update | target.labels.key/value |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
servizio | target.application |
service_dll | about.labels.key/value |
service_dll_path | about.file.full_path |
service_dll_hash | about.labels.key/value |
service_dll_signature_exists | about.labels.key/value |
service_dll_signature_verified | about.labels.key/value |
service_exec | target.process.file.full_path |
service_hash | about.labels.key/value |
service_id | about.labels.key/value |
service_name | about.labels.key/value |
service_path | about.labels.key/value |
service_signature_exists | about.labels.key/value |
service_signature_verified | about.labels.key/value |
start_mode | about.labels.key/value |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
Filesystem
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il file system del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
dest_should_timesync | target.labels.key/value |
dest_should_update | target.labels.key/value |
file_access_time | about.labels.key/value |
file_create_time | target.asset.attribute.creation_time |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_modify_time | about.labels.key/value |
file_name | about.labels.key/value |
file_path | target.file.full_path |
file_acl | about.labels.key/value |
file_size | target.file.size |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
Registro
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il registro del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
dest_should_timesync | target.labels.key/value |
dest_should_update | target.labels.key/value |
process_guid | principal.process.product_specific_process_id |
process_id | principal.process.pid |
registry_hive | about.labels.key/value |
registry_path | about.labels.key/value |
registry_key_name | target.registry.registry_key |
registry_value_data | target.registry.registry_value_data |
registry_value_name | target.registry.registry_value_name |
registry_value_text | about.labels.key/value |
registry_value_type | about.labels.key/value |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
Firme
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le firme del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
tag (m.) | about.labels.key/value |
Signatures_vendor_product
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Signatures_vendor_product:
Campo log | Mappatura UDM |
---|---|
vendor_product | about.labels.key/value |
All_Interprocess_Messaging
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Interprocess_Messaging:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
duration | network.session_duration |
endpoint | about.labels.key/value |
endpoint_version | about.labels.key/value |
messaggio | about.labels.key/value |
message_consumed_time | about.labels.key/value |
message_correlation_id | about.labels.key/value |
message_delivered_time | about.labels.key/value |
message_delivery_mode | about.labels.key/value |
message_expiration_time | about.labels.key/value |
message_id | metadata.product.log_id |
message_priority | about.labels.key/value |
message_properties | about.labels.key/value |
message_received_time | about.labels.key/value |
message_redelivered | about.labels.key/value |
message_reply_dest | target.labels.key/value |
message_type | about.labels.key/value |
Parametri | about.labels.key/value |
payload | about.labels.key/value |
payload_type | about.labels.key/value |
request_payload | about.labels.key/value |
request_payload_type | about.labels.key/value |
request_sent_time | about.labels.key/value |
response_code | network.http.response_code |
response_payload_type | about.labels.key/value |
response_received_time | about.labels.key/value |
response_time | about.labels.key/value |
return_message | about.labels.key/value |
rpc_protocol | network.application_protocol |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
IDS_Attacks
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk IDS_Attacks:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
categoria | security_result.category_details |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value |
dvc_category | about.labels.key/value |
dvc_priority | about.labels.key/value |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value |
file_path | target.file.full_path |
ids_type | about.labels.key/value |
gravità | security_result.severity |
severity_id | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_port | principal.port |
tag (m.) | about.labels.key/value |
trasporto | network.ip_protocol |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
DS_Attacks
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk DS_Attacks:
Campo log | Mappatura UDM |
---|---|
dest_port | target.port |
All_Inventory
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_ Inventory:
Campo log | Mappatura UDM |
---|---|
description | security_result.description |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
abilitato | about.labels.key/value |
famiglia | about.labels.key/value |
hypervisor_id | about.labels.key/value |
serial | principal.asset.hardware.serial_number |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
vendor_product | about.labels.key/value |
version | about.labels.key/value |
CPU
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la CPU del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
cpu_cores | principal.asset.hardware.cpu_number_cores |
cpu_count | about.labels.key/value |
cpu_mhz | principal.asset.hardware.cpu_clock_speed |
cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
cpu_load_percent | about.labels.key/value |
cpu_time | about.labels.key/value |
cpu_user_percent | about.labels.key/value |
Memoria
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la memoria del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
mem | principal.asset.hardware.ram |
heap_committed | about.labels.key/value |
heap_initial | about.labels.key/value |
heap_max | about.labels.key/value |
heap_used | about.labels.key/value |
non_heap_committed | about.labels.key/value |
non_heap_initial | about.labels.key/value |
non_heap_max | about.labels.key/value |
non_heap_used | about.labels.key/value |
objects_pending | about.labels.key/value |
mem | principal.asset.hardware.ram |
mem_committed | about.labels.key/value |
mem_free | about.labels.key/value |
mem_used | about.labels.key/value |
scambia | about.labels.key/value |
swap_free | about.labels.key/value |
swap_used | about.labels.key/value |
rete
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la rete del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dest_ip | target.ip |
dns | about.labels.key/value |
inline_nat | about.labels.key/value |
a riga di comando | about.labels.key/value |
ip | principal.asset.ip |
lb_method | about.labels.key/value |
mac | principal.asset.mac |
name | principal.resource.name |
nodo | about.labels.key/value |
node_port | target.port |
src_ip | principal.ip |
vip_port | about.labels.key/value |
spinta | about.labels.key/value |
thruput_max | about.labels.key/value |
Sistema operativo
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il sistema operativo del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
os | principal.asset.platform_software.platform_version |
committed_memory | about.labels.key/value |
cpu_time | about.labels.key/value |
free_physical_memory | about.labels.key/value |
free_swap | about.labels.key/value |
max_file_descriptors | about.labels.key/value |
open_file_descriptors | about.labels.key/value |
os | principal.asset.platform_software.platform_version |
os_architecture | about.labels.key/value |
os_version | about.labels.key/value |
physical_memory | about.labels.key/value |
swap_space | about.labels.key/value |
system_load | about.labels.key/value |
total_processors | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
Archiviazione
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo spazio di archiviazione del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
array | about.labels.key/value |
dimensione blocco | about.labels.key/value |
cluster | about.resource.resource_type = "CLUSTER" |
fd_max | about.labels.key/value |
latenza | about.labels.key/value |
montaggio | principal.resource.attribute.labels.key/value |
parent | principal.resource.parent |
read_blocks | about.labels.key/value |
read_latency | about.labels.key/value |
read_ops | about.labels.key/value |
spazio di archiviazione | about.labels.key/value |
write_blocks | about.labels.key/value |
write_latency | about.labels.key/value |
write_ops | about.labels.key/value |
array | about.labels.key/value |
dimensione blocco | about.labels.key/value |
cluster | about.resource.resource_type = "CLUSTER" |
fd_max | about.labels.key/value |
fd_used | about.labels.key/value |
latenza | about.labels.key/value |
montaggio | about.labels.key/value |
parent | principal.resource.parent |
read_blocks | about.labels.key/value |
read_latency | about.labels.key/value |
read_ops | about.labels.key/value |
spazio di archiviazione | about.labels.key/value |
storage_free | about.labels.key/value |
storage_free_percent | about.labels.key/value |
storage_used | about.labels.key/value |
storage_used_percent | about.labels.key/value |
write_blocks | about.labels.key/value |
write_latency | about.labels.key/value |
write_ops | about.labels.key/value |
error_code | security_result.description |
operazione | about.labels.key/value |
storage_name | about.resource.name |
Utente
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk User:
Campo log | Mappatura UDM |
---|---|
interactive | about.labels.key/value |
password | about.labels.key/value |
shell | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_id | principal.user.userid |
user_priority | principal.user.attribute.label.key/value |
Virtual_OS
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Virtual_OS:
Campo log | Mappatura UDM |
---|---|
hypervisor | about.labels.key/value |
Snapshot
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo snapshot del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dimensioni | about.file.size |
snapshot | about.labels.key/value |
tempo | about.labels.key/value |
JVM
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la JVM del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
jvm_description | security_result.description |
tag (m.) | about.labels.key/value |
Threading
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il Threading del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
cm_enabled | about.labels.key/value |
cm_supported | about.labels.key/value |
cpu_time_enabled | about.labels.key/value |
cpu_time_supported | about.labels.key/value |
current_cpu_time | about.labels.key/value |
current_user_time | about.labels.key/value |
daemon_thread_count | about.labels.key/value |
omu_supported | about.labels.key/value |
peak_thread_count | about.labels.key/value |
synch_supported | about.labels.key/value |
thread_count | about.labels.key/value |
threads_started | about.labels.key/value |
Runtime
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il runtime del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
process_name | principal.process.command_line |
start_time | about.labels.key/value |
tempo di attività | about.labels.key/value |
vendor_product | about.labels.key/value |
version | about.labels.key/value |
Compilation
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la compilazione del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
compilation_time | about.labels.key/value |
Caricamento delle classi
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il caricamento della classe del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
current_loaded | about.labels.key/value |
total_loaded | about.labels.key/value |
total_unloaded | about.labels.key/value |
Malware_Attacks
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Attacks:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
categoria | security_result.category_details |
date | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_nt_domain | target.administrative_domain |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value |
file_path | target.file.full_path |
gravità | security_result.severity |
severity_id | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
src_user | principal.user.user_display_name |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
url | about.url |
vendor_product | about.labels.key/value |
Malware_Operations
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_nt_domain | target.labels.key/value |
dest_nt_domain | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_requires_av | target.labels.key/value |
product_version | about.labels.key/value |
signature_version | security_result.rule_version |
tag (m.) | about.labels.key/value |
vendor_product | about.labels.key/value |
Malware_Operations
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:
Campo log | Mappatura UDM |
---|---|
dest_category | target.labels.key/value |
DNS
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il DNS del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
additional_answer_count | about.labels.key/value |
answer | network.dns.answer.data |
answer_count | about.labels.key/value |
authority_answer_count | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_port | target.port |
dest_priority | target.labels.key/value |
duration | network.session_duration |
message_type | about.labels.key/value |
name | about.labels.key/value |
query | network.dns.questions.name |
query_count | about.labels.key/value |
query_type | network.dns.questions.type |
record_type | network.dns.answer.type(uint32) |
reply_code | about.labels.key/value |
reply_code_id | network.dns.response_code |
response_time | about.labels.key/value |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_port | principal.port |
src_priority | principal.labels.key/value |
tag (m.) | about.labels.key/value |
transaction_id | network.dns.id |
trasporto | network.ip_protocol |
ttl | about.labels.key/value |
vendor_product | about.labels.key/value |
All_Sessions
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Sessions:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_dns | target.labels.key/value |
dest_ip | network.dhcp.ciaddr |
dest_mac | network.dhcp.chaddr |
dest_nt_host | target.labels.key/value |
dest_priority | target.labels.key/value |
duration | network.session_duration |
response_time | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_dns | principal.labels.key/value |
src_ip | principal.ip |
src_mac | principal.mac |
src_nt_host | principal.labels.key/value |
src_priority | principal.labels.key/value |
tag (m.) | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
DHCP
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk DHCP:
Campo log | Mappatura UDM |
---|---|
lease_duration | network.dhcp.lease_time_second |
lease_scope | about.labels.key/value |
All_Traffic
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Traffic:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | network.application_protocol |
byte | about.labels.key/value |
bytes_in | network.received_bytes |
bytes_out | network.sent_bytes |
channel | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_interface | target.labels.key/value |
dest_ip | target.ip |
dest_mac | target.mac |
dest_port | target.port |
dest_priority | target.labels.key/value |
dest_translated_ip | target.nat_ip |
dest_translated_port | target.nat_port |
dest_zone | target.location.country_or_origin |
direction | network.direction |
duration | network.session_duration |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value |
dvc_category | about.labels.key/value |
dvc_ip | about.labels.key/value |
dvc_mac | principal.asset.mac |
dvc_priority | about.labels.key/value |
dvc_zone | principal.asset.location.country_or_region |
flow_id | about.labels.key/value |
icmp_code | about.labels.key/value |
icmp_type | about.labels.key/value |
pacchetti | about.labels.key/value |
packets_in | about.labels.key/value |
packets_out | about.labels.key/value |
protocollo | about.labels.key/value |
protocol_version | about.labels.key/value |
response_time | about.labels.key/value |
regola | security_result.rule_id |
session_id | network.session_id |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_interface | principal.labels.key/value |
src_ip | principal.ip |
src_mac | principal.mac |
src_port | principal.port |
src_priority | principal.labels.key/value |
src_translated_ip | principal.nat_ip |
src_translated_port | principal.nat_port |
src_zone | principal.location.country_or_origin |
SID | about.labels.key/value |
tag (m.) | about.labels.key/value |
tcp_flag | about.labels.key/value |
trasporto | network.ip_protocol |
tos | about.labels.key/value |
ttl | network.dns.additional.ttl |
utente | principal.user.userid |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_account | about.labels.key/value |
vendor_product | about.labels.key/value |
vlan | about.labels.key/value |
wifi | about.labels.key/value |
All_Performance
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Performance:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_should_timesync | target.labels.key/value |
dest_should_update | target.labels.key/value |
hypervisor_id | about.labels.key/value |
resource_type | about.labels.key/value |
tag (m.) | about.labels.key/value |
Servizi
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Facilities:
Campo log | Mappatura UDM |
---|---|
fan_speed | about.labels.key/value |
power | about.labels.key/value |
temperatura | about.labels.key/value |
Sincronizzazione temporale
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Timesync:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
Uptime
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'uptime del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
tempo di attività | about.labels.key/value |
View_Activity
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk View_Activity:
Campo log | Mappatura UDM |
---|---|
app | target.application |
speso | about.labels.key/value |
uri | about.labels.key/value |
utente | principal.user.user_display_name |
vista | about.labels.key/value |
Datamodel_Acceleration
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Datamodel_Acceleration:
Campo log | Mappatura UDM |
---|---|
access_count | about.labels.key/value |
access_time | about.labels.key/value |
app | target.application |
dei bucket rimanenti | about.labels.key/value |
buckets_size | about.labels.key/value |
completato | about.labels.key/value |
cron | about.labels.key/value |
modello dati | about.labels.key/value |
digest | about.labels.key/value |
il primo | about.labels.key/value |
is_inprogress | about.labels.key/value |
last_error | about.labels.key/value |
last_sid | about.labels.key/value |
più recente | about.labels.key/value |
mod_time | about.labels.key/value |
dei messaggi | about.labels.key/value |
dimensioni | about.file.size |
summary_id | about.labels.key/value |
Search_Activity
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Search_Activity:
Campo log | Mappatura UDM |
---|---|
host | about.hostname |
info | about.labels.key/value |
search | about.labels.key/value |
search_et | about.labels.key/value |
search_lt | about.labels.key/value |
search_type | about.labels.key/value |
origine | principal.labels.key/value |
tipo di origine | principal.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Scheduler_Activity:
Campo log | Mappatura UDM |
---|---|
app | target.application |
host | about.hostname |
savedsearch_name | about.labels.key/value |
sid | about.labels.key/value |
origine | principal.labels.key/value |
tipo di origine | principal.labels.key/value |
splunk_server | principal.ip, principal.hostname |
stato | security_result.summary |
utente | principal.user.user_display_name |
Web_Service_Errors
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Web_Service_Errors:
Campo log | Mappatura UDM |
---|---|
host | about.hostname |
origine | principal.labels.key/value |
tipo di origine | principal.labels.key/value |
event_id | security_result.rule_name |
Modular_Actions
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Modular_Actions:
Campo log | Mappatura UDM |
---|---|
action_mode | about.labels.key/value |
action_status | about.labels.key/value |
app | target.application |
duration | network.session_duration |
componente | about.labels.key/value |
orig_rid | about.labels.key/value |
orig_sid | about.labels.key/value |
rid | about.labels.key/value |
search_name | about.labels.key/value |
action_name | security_result.action_details |
firma | metadata.description |
sid | about.labels.key/value |
utente | about.labels.key/value |
All_Ticket_Management
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Ticket_Management:
Campo log | Mappatura UDM |
---|---|
affect_dest | target.labels.key/value |
commenti | about.labels.key/value |
description | security_result.description |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
priorità | security_result.priority_details |
gravità | security_result.severity |
severity_id | about.labels.key/value |
splunk_id | about.labels.key/value |
splunk_realm | about.labels.key/value |
src_user | principal.user.user_display_name |
src_user_bunit | principal.labels.key/value |
src_user_category | principal.labels.key/value |
src_user_priority | principal.labels.key/value |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
ticket_id | target.user.attribute.label.ley/valore |
time_submitted | principal.user.attribute.creation_time |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
Cambia
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la modifica del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
modifica | about.labels.key/value |
Incidente
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'incidente del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
incidente | about.labels.key/value |
Problema
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk. Problema:
Campo log | Mappatura UDM |
---|---|
problema | about.labels.key/value |
Aggiornamenti
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per gli aggiornamenti del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_should_update | target.labels.key/value |
dvc | principal.asset.hostname, principal.asset.ip |
file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
file_name | about.labels.key/value |
gravità | security_result.severity |
severity_id | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
stato | security_result.summary |
tag (m.) | about.labels.key/value |
vendor_product | about.labels.key/value |
Vulnerabilità
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le vulnerabilità del set di dati Splunk:
Campo log | Mappatura UDM |
---|---|
Bugtraq | about.labels.key/value |
categoria | security_result.category_details |
cert | about.labels.key/value |
cve | vulnerabilites.cve_description |
cvss | vulnerabilites.cvss_base_score |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dvc | principal.asset.hostname, principal.asset.ip |
dvc_bunit | about.labels.key/value |
dvc_category | about.labels.key/value |
dvc_priority | about.labels.key/value |
msft | about.labels.key/value |
ms | about.labels.key/value |
gravità | extensions.vulns.vulnerabilites.severity |
severity_id | about.labels.key/value |
firma | metadata.description |
signature_id | metadata.product_event_type |
tag (m.) | about.labels.key/value |
url | extensions.vulns.vulnerabilites.about.url |
utente | extensions.vulns.vulnerabilites.about.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
riferimento x | about.labels.key/value |
Web
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk per il web:
Campo log | Mappatura UDM |
---|---|
azione | security_result.action_details security_result.action |
app | target.application |
byte | about.labels.key/value |
bytes_in | network.received_bytes |
bytes_out | network.sent_bytes |
memorizzata nella cache | about.labels.key/value |
categoria | security_result.category_details |
biscotto | about.labels.key/value |
dest | target.ip, target.hostname, target.labels.key/value |
dest_bunit | target.labels.key/value |
dest_category | target.labels.key/value |
dest_priority | target.labels.key/value |
dest_port | target.port |
duration | network.session_duration |
http_content_type | about.labels.key/value |
http_method | network.http.method |
http_referrer | network.http.referral_url |
http_referrer_domain | about.labels.key/value |
http_user_agent | network.http.user_agent |
http_user_agent_length | about.labels.key/value |
response_time | about.labels.key/value |
sito | about.labels.key/value |
src | principal.ip, principal.hostname, principal.labels.key/value |
src_bunit | principal.labels.key/value |
src_category | principal.labels.key/value |
src_priority | principal.labels.key/value |
stato | network.http.response_code |
tag (m.) | about.labels.key/value |
uri_path | about.labels.key/value |
uri_query | about.labels.key/value |
url | about.url |
url_domain | about.asset.network_domain |
url_length | about.labels.key/value |
utente | principal.user.user_display_name |
user_bunit | about.labels.key/value |
user_category | principal.user.attribute.labels.key/value |
user_priority | principal.user.attribute.label.key/value |
vendor_product | about.labels.key/value |
Tipi di eventi UDM
Nella tabella seguente sono elencati i tag Splunk e i tipi di eventi UDM corrispondenti:
Modello dati | Tag Splunk | Tipo di evento UDM |
---|---|---|
Avvisi | avviso | STATUS_UPDATE |
Autenticazione | autenticazione | USER_UNCATEGORIZED |
Certificato | certificato | NETWORK_UNCATEGORIZED |
Modifica | modifica | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Accesso ai dati | dati, accesso | USER_RESOURCE_ACCESS |
Database | database | USER_RESOURCE_ACCESS |
Database | database, istanza, statistiche | STATUS_UPDATE |
Database | database, istanza, stato | STATUS_UPDATE |
Database | database, istanza, blocco | STATUS_UPDATE |
Database | database, query | STATUS_UPDATE |
Database | database, query, spazio delle tabelle | STATUS_UPDATE |
Database | database, query, statistiche | STATUS_UPDATE |
Prevenzione della perdita di dati | dlp, incidente | SCAN_UNCATEGORIZED |
EMAIL_UNCATEGORIZED | ||
email, consegna | EMAIL_TRANSACTION | |
Endpoint | in ascolto, porta | SERVICE_UNSPECIFIED |
Endpoint | processo, segnalazione | PROCESS_UNCATEGORIZED |
Endpoint | servizio, segnalazione | SERVICE_UNSPECIFIED |
Endpoint | endpoint, filesystem | FILE_UNCATEGORIZED |
Endpoint | endpoint, registry | REGISTRY_UNCATEGORIZED |
Firma dell'evento | track_event_signature | STATUS_UPDATE |
Messaggistica tra processi | messaggistica | STATUS_UPDATE |
Rilevamento delle intrusioni | ID, attacco | SERVICE_UNSPECIFIED |
Inventario | inventario | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Macchina virtuale Java (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
Malware | malware | STATUS_UPDATE |
Risoluzione di rete(DNS) | rete, risoluzione, dns | NETWORK_DNS |
Sessioni di rete | rete, sessione | NETWORK_CONNECTION |
Sessioni di rete | rete, sessione, dhcp | NETWORK_DHCP |
Traffico di rete | rete, comunicare | NETWORK_CONNECTION |
Prestazioni | prestazioni | SERVICE_UNSPECIFIED |
Audit log di Splunk | modalità | STATUS_UPDATE |
Gestione dei biglietti | vendita di biglietti | STATUS_UPDATE |
Gestione dei biglietti | vendita di biglietti, cambiare | STATUS_UPDATE |
Aggiornamenti | update | STATUS_UPDATE |
Vulnerabilità | report, vulnerabilità | SCAN_UNCATEGORIZED |
Web | web | NETWORK_UNCATEGORIZED |