Raccolta dei log CIM di Splunk

Questo documento descrive come raccogliere i log CIM (Common Information Model) di Splunk configurando Splunk e un forwarding Chronicle. Questo documento elenca anche i tipi di log supportati e le versioni di Splunk supportate.

Per saperne di più, consulta Importazione dei dati in Chronicle.

Panoramica

Il seguente diagramma dell'architettura di deployment mostra come sono configurati gli agenti Splunk per l'invio di log a Chronicle. Ogni deployment del cliente potrebbe essere diverso da questa rappresentazione e potrebbe essere più complesso.

Architettura di deployment

Il diagramma dell'architettura mostra i seguenti componenti:

Origine dati: il sistema da monitorare su cui è installato Splunk.
Splunk: raccoglie informazioni dall'origine dati e le inoltra al inoltro di Chronicle.
Forwarder Chronicle: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente per inoltrare i log a Chronicle.
Chronicle: conserva e analizza i log del server Fleet.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con etichetta di importazione SPLUNK.

Prima di iniziare

Usa la versione 5.0 di Splunk supportata dall'analizzatore sintattico di Chronicle.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.

Configura un agente Splunk e un forwarding Chronicle

Configura Splunk Enterprise.
Installa un agente conforme a CIM da Splunkbase.
Configura uno spedizioniere di Chronicle.

Configura il forwarding di Chronicle per inviare i log al sistema Chronicle. Di seguito è riportato un esempio di configurazione del server di inoltro di Chronicle:

  - splunk:
      common:
        enabled: true
        data_type: SPLUNK
        batch_n_seconds: 10
        batch_n_bytes: 819200
      url: <SPLUNK_URL>
      query_cim: true
      is_ignore_cert: true
      query_string: datamodel Network_Traffic All_Traffic flat

Considerazioni per la scrittura delle query di ricerca su Splunk

Splunk ha un proprio linguaggio di ricerca simile a SQL. Assicurati di utilizzare la sintassi corretta per la query di ricerca. Quando crei una query, considera le seguenti caratteristiche di ricerca:

Carattere di escape

Se un valore stringa contiene virgolette doppie ", utilizza una barra rovesciata come carattere di escape. In caso contrario, la ricerca interpreta in modo errato la fine del valore della stringa.

Ad esempio, per cercare una stringa WHERE _raw="The user "vpatel" isn't authenticated.", devi utilizzare la sequenza \" per cercare le virgolette doppie letterali.

Scrivi la stringa di ricerca nel seguente formato:

WHERE _raw="The user \"vpatel\" isn't authenticated."

Per eseguire l'escape di una barra rovesciata \ , utilizza la sequenza \\ per cercare una barra rovesciata.

Ad esempio, se esiste una stringa come C:\user\abc, deve essere scritta come C:\\user\\abc.

Ricerca sintattica errata

Se una sezione della query non è valida, l'intera query non viene valutata e viene visualizzato un messaggio di errore.

Considera il seguente esempio in cui l'opzione modalità di ricerca non è presente nella query:

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

In questo esempio, nella query manca l'opzione modalità di ricerca. Questo genera il seguente errore:

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Supporto per più modelli di dati

Splunk supporta una singola query di grandi dimensioni che interessa i modelli di dati. La seguente query di ricerca estrae i dati da più modelli dei dati:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Di seguito sono riportati i componenti di questa query che coprono i modelli di dati:

Multisearch: la query deve iniziare con la parola multisearch. Una query per un modello dei dati deve essere racchiusa tra parentesi quadre [ ] e iniziare con un carattere barra verticale |.

Network_Traffic: il nome del modello dei dati.

All_Traffic: set di dati del modello dei dati Network_Traffic.

flat: modalità di ricerca. Le altre opzioni sono search e acceleration_search.

Ti consigliamo di utilizzare la seguente query Splunk per la ricerca di più modello dei dati:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Tipi di log e modelli dei dati supportati

Modello dei dati di Splunk	Supportato
Avvisi	Sì
Stato applicazione (deprecato)	No
Autenticazione	Sì
Certificati	Sì
Modifica	Sì
Analisi delle variazioni (deprecata)	No
Accesso ai dati	Sì
Database	Sì
Prevenzione della perdita di dati	Sì
Email	Sì
Endpoint	Sì
Firme di eventi	Sì
Interelaborazione dei messaggi	Sì
Rilevamento delle intrusioni	Sì
Inventario	Sì
Macchine virtuali Java (JVM)	Sì
Malware	Sì
Risoluzione di rete (DNS)	Sì
Sessioni di rete	Sì
Traffico di rete	Sì
Prestazioni	Sì
Audit log di Splunk	Sì
Gestione dei biglietti	Sì
Aggiornamenti	Sì
Vulnerabilità	Sì
Web	Sì

Riferimento per la mappatura dei campi

Questa sezione spiega in che modo l'analizzatore sintattico Chronicle mappa i campi dei log di Splunk ai campi del Chronicle Unified Data Model (UDM) per i set di dati. Per ulteriori informazioni, consulta il documento di Splunk per la versione 5.0.1.

Avvisi

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per gli avvisi del set di dati Splunk:

Campo log	Mappatura UDM
app	observer.application
description	security_result.description
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_type	target.resource.resource_type
id	metadata.product_log_id
mitre_technique_id	security_result.detection_fields.labels.key/value
gravità	security_result.severity
severity_id	about.labels.key/value
firma	metadata.description
signature_id	security_result.rule_name
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
src_type	principal.resource.resource_type
tag (m.)	about.labels.key/value
tipo	security_result.alert_state
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_name	principal.user.userid
user_priority	principal.user.attribute.label.key/value
vendor_account	about.labels.key/value
vendor_region	about.location.country_or_region

Autenticazione

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'autenticazione del set di dati Splunk:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
app	target.application
authentication_method	about.labels.key/value
authentication_service	extension.auth.auth_details
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_nt_domain	target.labels.key/value
dest_priority	target.labels.key/value
duration	network.session_duration
motivo	security_result.summary
response_time	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_nt_domain	principal.labels.key/value
src_priority	principal.labels.key/value
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value
src_user_category	principal.labels.key/value
src_user_id	principal.user.userid
src_user_priority	principal.labels.key/value
src_user_role	principal.user.attribute.roles.name (ripetuto)
src_user_type	principal.user.attribute.roles.type
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_agent	network.http.user_agent
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_id	principal.user.userid
user_priority	principal.user.attribute.label.key/value
user_role	principal.user.attribute.roles.name (ripetuto)
user_type	principal.user.attribute.roles.type
vendor_account	about.labels.key/value

All_Certificates

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Certificates:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_port	target.port
dest_priority	target.labels.key/value
duration	network.session_duration
response_time	about.labels.key/value
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_port	principal.port
src_priority	principal.labels.key/value
tag (m.)	about.labels.key/value
trasporto	network.ip_protocol

SSL

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati SSL del set di dati Splunk:

Campo log	Mappatura UDM
ssl_end_time	network.tls.server.certificate.not_after
ssl_engine	about.labels.key/value
ssl_hash	about.labels.key/value
ssl_is_valid	about.labels.key/value
ssl_issuer	network.tls.server.certificate.issuer
ssl_issuer_common_name	about.labels.key/value
ssl_issuer_email	about.labels.key/value
ssl_issuer_email_domain	about.labels.key/value
ssl_issuer_locality	about.labels.key/value
ssl_issuer_organization	about.labels.key/value
ssl_issuer_state	about.labels.key/value
ssl_issuer_street	about.labels.key/value
ssl_issuer_unit	about.labels.key/value
ssl_name	about.labels.key/value
ssl_policies	about.labels.key/value
ssl_publickey	about.labels.key/value
ssl_publickey_algorithm	about.labels.key/value
ssl_serial	network.tls.server.certificate.serial
ssl_session_id	network.session_id
ssl_signature_algorithm	about.labels.key/value
ssl_start_time	network.tls.server.certificate.not_before
ssl_subject	network.tls.server.certificate.subject
ssl_subject_common_name	about.labels.key/value
ssl_subject_email	about.labels.key/value
ssl_subject_email_domain	about.labels.key/value
ssl_subject_locality	about.labels.key/value
ssl_subject_organization	about.labels.key/value
ssl_subject_state	about.labels.key/value
ssl_subject_street	about.labels.key/value
ssl_subject_unit	about.labels.key/value
ssl_validity_window	about.labels.key/value
ssl_version	network.tls.server.certificate.version

All_Changes

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Changes:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
change_type	security_result.category_details
comando	principal.process.command_line
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dvc	principal.asset.hostname, principal.asset.ip
oggetto	target.resource.name
object_attrs	about.labels.key/value
object_category	about.labels.key/value
object_id	target.user.product_object_id
object_path	target.file.full_path
risultato	metadata.description
result_id	metadata.product_event_type
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
stato	security_result.summary
tag (m.)	about.labels.key/value
utente	target.user.userid
user_agent	network.http.user_agent
user_name	principal.user.user_display_name, target.labels.key/value
user_type	principal.user.attribute.roles.type, target.user.attribute.roles.type
vendor_account	about.labels.key/value
vendor_product	about.labels.key/value
vendor_region	about.location.country_or_region

Account_Management

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Account_Management:

Campo log	Mappatura UDM
dest_nt_domain	target.administrative_domain
src_nt_domain	principal.administrative_domain
src_user	principal.user.userid
src_user_bunit	principal.labels.key/value
src_user_category	principal.labels.key/value
src_user_priority	principal.labels.key/value
src_user_name	principal.labels.key/value
src_user_type	principal.user.attribute.roles.type

Instance_Changes

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Changes:

Campo log	Mappatura UDM
image_id	principal.asset_id
instance_type	about.labels.key/value

network_Changes

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk network_Changes:

Campo log	Mappatura UDM
dest_ip_range	target.labels.key/value
dest_port_range	target.labels.key/value
direction	network.direction
protocollo	network.ip_protocol
rule_action	security_result.action_details security_result.action
src_ip_range	principal.labels.key/value
src_port_range	principal.labels.key/value

Data_Access

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Data_Access:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
app	target.application
app_id	metadata.product_log_id
dest	target.ip, target.hostname, target.labels.key/value
dest_name	target.administrative_domain
dest_url	target.url
dvc	principal.asset.hostname, principal.asset.ip
email	principal.user.email_addresses
oggetto	target.resource.name
object_category	about.labels.key/value
object_id	target.user.product_object_id
object_path	target.file.full_path
object_size	target.file.size
proprietario	about.labels.key/value
owner_email	about.labels.key/value
owner_id	principal.user.userid
parent_object	target.resource.parent
parent_object_id	about.labels.key/value
parent_object_category	about.labels.key/value
src	principal.ip, principal.hostname, principal.labels.key/value
tenant_id	about.labels.key/value
utente	principal.user.user_display_name
user_agent	network.http.user_agent
user_group	principal.user.group_identifiers(repeated)
user_role	principal.user.attribute.roles.name (ripetuto)
vendor_product	about.labels.key/value
vendor_product_id	about.labels.key/value

All_Databases

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Databases:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
duration	network.session_duration
oggetto	target.resource.name
response_time	about.labels.key/value
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

Database_Instance

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Database_Instance:

Campo log	Mappatura UDM
instance_name	target.resource.attributes.key/value
instance_version	target.resource.attributes.key/value
process_limit	about.labels.key/value
session_limit	about.labels.key/value

Database_Query

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Database_Query:

Campo log	Mappatura UDM
query	about.labels.key/value
query_id	about.labels.key/value
query_time	about.labels.key/value
records_affected	about.labels.key/value

Instance_Stats

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Stats:

Campo log	Mappatura UDM
disponibilità	about.labels.key/value
avg_executions	about.labels.key/value
dump_area_used	about.labels.key/value
instance_reads	about.labels.key/value
instance_writes	about.labels.key/value
number_of_users	about.labels.key/value
processi	about.labels.key/value
sessioni	about.labels.key/value
sga_buffer_cache_size	about.labels.key/value
sga_buffer_hit_limit	about.labels.key/value
sga_data_dict_hit_ratio	about.labels.key/value
sga_fixed_area_size	about.labels.key/value
sga_free_memory	about.labels.key/value
sga_library_cache_size	about.labels.key/value
sga_redo_log_buffer_size	about.labels.key/value
sga_shared_pool_size	about.labels.key/value
sga_sql_area_size	about.labels.key/value
start_time	about.labels.key/value
tablespace_used	about.labels.key/value

Session_Info

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Session_Info:

Campo log	Mappatura UDM
buffer_cache_hit_ratio	about.labels.key/value
commit	about.labels.key/value
cpu_used	about.labels.key/value
cursore	about.labels.key/value
elapsed_time	about.labels.key/value
logical_reads	about.labels.key/value
macchina	about.hostname
memory_sorts	about.labels.key/value
physical_reads	about.labels.key/value
seconds_in_wait	about.labels.key/value
session_id	network.session_id
session_status	about.labels.key/value
table_scans	about.labels.key/value
wait_state	about.labels.key/value
wait_time	about.labels.key/value

Lock_Info

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Lock_Info:

Campo log	Mappatura UDM
last_call_minute	about.labels.key/value
lock_mode	about.labels.key/value
lock_session_id	about.labels.key/value
logon_time	about.labels.key/value
obj_name	about.labels.key/value
os_pid	target.process.pid
serial_num	target.resource.product_object_id

Spazio tabella

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Tablespace:

Campo log	Mappatura UDM
free_bytes	about.file.size
tablespace_name	about.resource.name
tablespace_reads	about.labels.key/value
tablespace_status	about.labels.key/value
tablespace_writes	about.labels.key/value

Query_Stats

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Query_Stats di Splunk:

Campo log	Mappatura UDM
indexes_hit	about.labels.key/value
query_plan_hit	about.labels.key/value
stored_procedures_called	about.labels.key/value
tables_hit	about.labels.key/value

DLP_Incidents

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk DLP_Incidents:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
app	target.application
categoria	security_result.category_details
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_zone	target.location.country_or_origin
dlp_type	about.labels.key/value
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value
dvc_category	about.labels.key/value
dvc_priority	about.labels.key/value
dvc_zone	principal.asset.location.country_or_region
oggetto	target.resource.name
object_category	about.labels.key/value
object_path	target.file.full_path
gravità	security_result.severity
severity_id	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value
src_user_category	principal.labels.key/value
src_user_priority	principal.labels.key/value
src_zone	principal.location.country_or_origin
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

All_Email

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Email:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
delay	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
duration	network.session_duration
file_hash	informazioni.file.sha256, about.file.md5, about.file.sha1
file_name	about.labels.key/value
file_size	about.file.size
internal_message_id	metadata.product_log_id
message_id	network.email.mail_id
message_info	about.labels.key/value
orig_dest	target.labels.key/value
orig_recipient	about.labels.key/value
orig_src	network.email.from
di diffusione	principal.process.command_line
process_id	principal.process.pid
protocollo	network.application_protocol
destinatario	network.email.to
recipient_count	about.labels.key/value
recipient_domain	about.labels.key/value
recipient_status	about.labels.key/value
response_time	about.labels.key/value
nuovi tentativi	about.labels.key/value
return_addr	about.labels.key/value
dimensioni	about.labels.key/value
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
src_user	principal.user.email_addresses
src_user_bunit	principal.labels.key/value
src_user_category	principal.labels.key/value
src_user_domain	principal.administrative_domain
src_user_priority	principal.labels.key/value
status_code	about.labels.key/value
subject	network.email.subject(repeated)
tag (m.)	about.labels.key/value
url	about.url
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value
xdelay	about.labels.key/value
riferimento x	about.labels.key/value

Applicazione dei filtri

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il filtro del set di dati Splunk:

Campo log	Mappatura UDM
filter_action	about.labels.key/value
filter_score	about.labels.key/value
firma	metadata.description
signature_extra	about.labels.key/value
signature_id	metadata.product_event_type

Porte

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le porte del set di dati Splunk:

Campo log	Mappatura UDM
creation_time	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_port	target.port
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
dest_should_timesync	target.labels.key/value
dest_should_update	target.labels.key/value
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
src	principal.ip, principal.hostname, principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
src_port	principal.port
src_requires_av	principal.labels.key/value
src_should_timesync	principal.labels.key/value
src_should_update	principal.labels.key/value
state	about.labels.key/value
tag (m.)	about.labels.key/value
trasporto	network.ip_protocol
transport_dest_port	target.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Processi

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per i processi del set di dati Splunk:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
cpu_load_percent	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_is_expected	target.labels.key/value
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
dest_should_timesync	target.labels.key/value
dest_should_update	target.labels.key/value
mem_used	about.labels.key/value
original_file_name	src.file.full_path
os	principal.asset.platform_software.platform_version
parent_process	about.labels.key/value
parent_process_exec	about.labels.key/value
parent_process_id	principal.process.parent_process.parent_pid
parent_process_guid	principal.process.parent_process.product_specific_process_id
parent_process_name	about.labels.key/value
parent_process_path	principal.process.parent_process.command_line
di diffusione	about.labels.key/value
process_current_directory	about.labels.key/value
process_exec	about.labels.key/value
process_hash	principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
process_integrity_level	security_result.severity
process_name	principal.process.command_line
process_path	principal.process.file.full_path
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_id	principal.user.userid
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

Servizi

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per i servizi del set di dati Splunk:

Campo log	Mappatura UDM
description	security_result.description
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_is_expected	target.labels.key/value
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
dest_should_timesync	target.labels.key/value
dest_should_update	target.labels.key/value
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
servizio	target.application
service_dll	about.labels.key/value
service_dll_path	about.file.full_path
service_dll_hash	about.labels.key/value
service_dll_signature_exists	about.labels.key/value
service_dll_signature_verified	about.labels.key/value
service_exec	target.process.file.full_path
service_hash	about.labels.key/value
service_id	about.labels.key/value
service_name	about.labels.key/value
service_path	about.labels.key/value
service_signature_exists	about.labels.key/value
service_signature_verified	about.labels.key/value
start_mode	about.labels.key/value
stato	security_result.summary
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

Filesystem

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il file system del set di dati Splunk:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
dest_should_timesync	target.labels.key/value
dest_should_update	target.labels.key/value
file_access_time	about.labels.key/value
file_create_time	target.asset.attribute.creation_time
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_modify_time	about.labels.key/value
file_name	about.labels.key/value
file_path	target.file.full_path
file_acl	about.labels.key/value
file_size	target.file.size
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

Registro

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il registro del set di dati Splunk:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
dest_should_timesync	target.labels.key/value
dest_should_update	target.labels.key/value
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
registry_hive	about.labels.key/value
registry_path	about.labels.key/value
registry_key_name	target.registry.registry_key
registry_value_data	target.registry.registry_value_data
registry_value_name	target.registry.registry_value_name
registry_value_text	about.labels.key/value
registry_value_type	about.labels.key/value
stato	security_result.summary
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

Firme

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le firme del set di dati Splunk:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
tag (m.)	about.labels.key/value

Signatures_vendor_product

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Signatures_vendor_product:

Campo log	Mappatura UDM
vendor_product	about.labels.key/value

All_Interprocess_Messaging

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Interprocess_Messaging:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
duration	network.session_duration
endpoint	about.labels.key/value
endpoint_version	about.labels.key/value
messaggio	about.labels.key/value
message_consumed_time	about.labels.key/value
message_correlation_id	about.labels.key/value
message_delivered_time	about.labels.key/value
message_delivery_mode	about.labels.key/value
message_expiration_time	about.labels.key/value
message_id	metadata.product.log_id
message_priority	about.labels.key/value
message_properties	about.labels.key/value
message_received_time	about.labels.key/value
message_redelivered	about.labels.key/value
message_reply_dest	target.labels.key/value
message_type	about.labels.key/value
Parametri	about.labels.key/value
payload	about.labels.key/value
payload_type	about.labels.key/value
request_payload	about.labels.key/value
request_payload_type	about.labels.key/value
request_sent_time	about.labels.key/value
response_code	network.http.response_code
response_payload_type	about.labels.key/value
response_received_time	about.labels.key/value
response_time	about.labels.key/value
return_message	about.labels.key/value
rpc_protocol	network.application_protocol
stato	security_result.summary
tag (m.)	about.labels.key/value

IDS_Attacks

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk IDS_Attacks:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
categoria	security_result.category_details
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value
dvc_category	about.labels.key/value
dvc_priority	about.labels.key/value
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value
file_path	target.file.full_path
ids_type	about.labels.key/value
gravità	security_result.severity
severity_id	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
src_port	principal.port
tag (m.)	about.labels.key/value
trasporto	network.ip_protocol
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

DS_Attacks

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk DS_Attacks:

Campo log	Mappatura UDM
dest_port	target.port

All_Inventory

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_ Inventory:

Campo log	Mappatura UDM
description	security_result.description
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
abilitato	about.labels.key/value
famiglia	about.labels.key/value
hypervisor_id	about.labels.key/value
serial	principal.asset.hardware.serial_number
stato	security_result.summary
tag (m.)	about.labels.key/value
vendor_product	about.labels.key/value
version	about.labels.key/value

CPU

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la CPU del set di dati Splunk:

Campo log	Mappatura UDM
cpu_cores	principal.asset.hardware.cpu_number_cores
cpu_count	about.labels.key/value
cpu_mhz	principal.asset.hardware.cpu_clock_speed
cpu_load_mhz	principal.asset.hardware.cpu_clock_speed
cpu_load_percent	about.labels.key/value
cpu_time	about.labels.key/value
cpu_user_percent	about.labels.key/value

Memoria

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la memoria del set di dati Splunk:

Campo log	Mappatura UDM
mem	principal.asset.hardware.ram
heap_committed	about.labels.key/value
heap_initial	about.labels.key/value
heap_max	about.labels.key/value
heap_used	about.labels.key/value
non_heap_committed	about.labels.key/value
non_heap_initial	about.labels.key/value
non_heap_max	about.labels.key/value
non_heap_used	about.labels.key/value
objects_pending	about.labels.key/value
mem	principal.asset.hardware.ram
mem_committed	about.labels.key/value
mem_free	about.labels.key/value
mem_used	about.labels.key/value
scambia	about.labels.key/value
swap_free	about.labels.key/value
swap_used	about.labels.key/value

rete

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la rete del set di dati Splunk:

Campo log	Mappatura UDM
dest_ip	target.ip
dns	about.labels.key/value
inline_nat	about.labels.key/value
a riga di comando	about.labels.key/value
ip	principal.asset.ip
lb_method	about.labels.key/value
mac	principal.asset.mac
name	principal.resource.name
nodo	about.labels.key/value
node_port	target.port
src_ip	principal.ip
vip_port	about.labels.key/value
spinta	about.labels.key/value
thruput_max	about.labels.key/value

Sistema operativo

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il sistema operativo del set di dati Splunk:

Campo log	Mappatura UDM
os	principal.asset.platform_software.platform_version
committed_memory	about.labels.key/value
cpu_time	about.labels.key/value
free_physical_memory	about.labels.key/value
free_swap	about.labels.key/value
max_file_descriptors	about.labels.key/value
open_file_descriptors	about.labels.key/value
os	principal.asset.platform_software.platform_version
os_architecture	about.labels.key/value
os_version	about.labels.key/value
physical_memory	about.labels.key/value
swap_space	about.labels.key/value
system_load	about.labels.key/value
total_processors	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type

Archiviazione

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo spazio di archiviazione del set di dati Splunk:

Campo log	Mappatura UDM
array	about.labels.key/value
dimensione blocco	about.labels.key/value
cluster	about.resource.resource_type = "CLUSTER"
fd_max	about.labels.key/value
latenza	about.labels.key/value
montaggio	principal.resource.attribute.labels.key/value
parent	principal.resource.parent
read_blocks	about.labels.key/value
read_latency	about.labels.key/value
read_ops	about.labels.key/value
spazio di archiviazione	about.labels.key/value
write_blocks	about.labels.key/value
write_latency	about.labels.key/value
write_ops	about.labels.key/value
array	about.labels.key/value
dimensione blocco	about.labels.key/value
cluster	about.resource.resource_type = "CLUSTER"
fd_max	about.labels.key/value
fd_used	about.labels.key/value
latenza	about.labels.key/value
montaggio	about.labels.key/value
parent	principal.resource.parent
read_blocks	about.labels.key/value
read_latency	about.labels.key/value
read_ops	about.labels.key/value
spazio di archiviazione	about.labels.key/value
storage_free	about.labels.key/value
storage_free_percent	about.labels.key/value
storage_used	about.labels.key/value
storage_used_percent	about.labels.key/value
write_blocks	about.labels.key/value
write_latency	about.labels.key/value
write_ops	about.labels.key/value
error_code	security_result.description
operazione	about.labels.key/value
storage_name	about.resource.name

Utente

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk User:

Campo log	Mappatura UDM
interactive	about.labels.key/value
password	about.labels.key/value
shell	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_id	principal.user.userid
user_priority	principal.user.attribute.label.key/value

Virtual_OS

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Virtual_OS:

Campo log	Mappatura UDM
hypervisor	about.labels.key/value

Snapshot

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo snapshot del set di dati Splunk:

Campo log	Mappatura UDM
dimensioni	about.file.size
snapshot	about.labels.key/value
tempo	about.labels.key/value

JVM

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la JVM del set di dati Splunk:

Campo log	Mappatura UDM
jvm_description	security_result.description
tag (m.)	about.labels.key/value

Threading

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il Threading del set di dati Splunk:

Campo log	Mappatura UDM
cm_enabled	about.labels.key/value
cm_supported	about.labels.key/value
cpu_time_enabled	about.labels.key/value
cpu_time_supported	about.labels.key/value
current_cpu_time	about.labels.key/value
current_user_time	about.labels.key/value
daemon_thread_count	about.labels.key/value
omu_supported	about.labels.key/value
peak_thread_count	about.labels.key/value
synch_supported	about.labels.key/value
thread_count	about.labels.key/value
threads_started	about.labels.key/value

Runtime

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il runtime del set di dati Splunk:

Campo log	Mappatura UDM
process_name	principal.process.command_line
start_time	about.labels.key/value
tempo di attività	about.labels.key/value
vendor_product	about.labels.key/value
version	about.labels.key/value

Compilation

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la compilazione del set di dati Splunk:

Campo log	Mappatura UDM
compilation_time	about.labels.key/value

Caricamento delle classi

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il caricamento della classe del set di dati Splunk:

Campo log	Mappatura UDM
current_loaded	about.labels.key/value
total_loaded	about.labels.key/value
total_unloaded	about.labels.key/value

Malware_Attacks

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Attacks:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
categoria	security_result.category_details
date	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_nt_domain	target.administrative_domain
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value
file_path	target.file.full_path
gravità	security_result.severity
severity_id	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
src_user	principal.user.user_display_name
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
url	about.url
vendor_product	about.labels.key/value

Malware_Operations

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_nt_domain	target.labels.key/value
dest_nt_domain	target.labels.key/value
dest_priority	target.labels.key/value
dest_requires_av	target.labels.key/value
product_version	about.labels.key/value
signature_version	security_result.rule_version
tag (m.)	about.labels.key/value
vendor_product	about.labels.key/value

Malware_Operations

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:

Campo log	Mappatura UDM
dest_category	target.labels.key/value

DNS

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il DNS del set di dati Splunk:

Campo log	Mappatura UDM
additional_answer_count	about.labels.key/value
answer	network.dns.answer.data
answer_count	about.labels.key/value
authority_answer_count	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_port	target.port
dest_priority	target.labels.key/value
duration	network.session_duration
message_type	about.labels.key/value
name	about.labels.key/value
query	network.dns.questions.name
query_count	about.labels.key/value
query_type	network.dns.questions.type
record_type	network.dns.answer.type(uint32)
reply_code	about.labels.key/value
reply_code_id	network.dns.response_code
response_time	about.labels.key/value
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_port	principal.port
src_priority	principal.labels.key/value
tag (m.)	about.labels.key/value
transaction_id	network.dns.id
trasporto	network.ip_protocol
ttl	about.labels.key/value
vendor_product	about.labels.key/value

All_Sessions

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Sessions:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_dns	target.labels.key/value
dest_ip	network.dhcp.ciaddr
dest_mac	network.dhcp.chaddr
dest_nt_host	target.labels.key/value
dest_priority	target.labels.key/value
duration	network.session_duration
response_time	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_dns	principal.labels.key/value
src_ip	principal.ip
src_mac	principal.mac
src_nt_host	principal.labels.key/value
src_priority	principal.labels.key/value
tag (m.)	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

DHCP

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk DHCP:

Campo log	Mappatura UDM
lease_duration	network.dhcp.lease_time_second
lease_scope	about.labels.key/value

All_Traffic

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Traffic:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
app	network.application_protocol
byte	about.labels.key/value
bytes_in	network.received_bytes
bytes_out	network.sent_bytes
channel	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_interface	target.labels.key/value
dest_ip	target.ip
dest_mac	target.mac
dest_port	target.port
dest_priority	target.labels.key/value
dest_translated_ip	target.nat_ip
dest_translated_port	target.nat_port
dest_zone	target.location.country_or_origin
direction	network.direction
duration	network.session_duration
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value
dvc_category	about.labels.key/value
dvc_ip	about.labels.key/value
dvc_mac	principal.asset.mac
dvc_priority	about.labels.key/value
dvc_zone	principal.asset.location.country_or_region
flow_id	about.labels.key/value
icmp_code	about.labels.key/value
icmp_type	about.labels.key/value
pacchetti	about.labels.key/value
packets_in	about.labels.key/value
packets_out	about.labels.key/value
protocollo	about.labels.key/value
protocol_version	about.labels.key/value
response_time	about.labels.key/value
regola	security_result.rule_id
session_id	network.session_id
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_interface	principal.labels.key/value
src_ip	principal.ip
src_mac	principal.mac
src_port	principal.port
src_priority	principal.labels.key/value
src_translated_ip	principal.nat_ip
src_translated_port	principal.nat_port
src_zone	principal.location.country_or_origin
SID	about.labels.key/value
tag (m.)	about.labels.key/value
tcp_flag	about.labels.key/value
trasporto	network.ip_protocol
tos	about.labels.key/value
ttl	network.dns.additional.ttl
utente	principal.user.userid
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_account	about.labels.key/value
vendor_product	about.labels.key/value
vlan	about.labels.key/value
wifi	about.labels.key/value

All_Performance

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Performance:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_should_timesync	target.labels.key/value
dest_should_update	target.labels.key/value
hypervisor_id	about.labels.key/value
resource_type	about.labels.key/value
tag (m.)	about.labels.key/value

Servizi

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Facilities:

Campo log	Mappatura UDM
fan_speed	about.labels.key/value
power	about.labels.key/value
temperatura	about.labels.key/value

Sincronizzazione temporale

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Timesync:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action

Uptime

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'uptime del set di dati Splunk:

Campo log	Mappatura UDM
tempo di attività	about.labels.key/value

View_Activity

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk View_Activity:

Campo log	Mappatura UDM
app	target.application
speso	about.labels.key/value
uri	about.labels.key/value
utente	principal.user.user_display_name
vista	about.labels.key/value

Datamodel_Acceleration

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Datamodel_Acceleration:

Campo log	Mappatura UDM
access_count	about.labels.key/value
access_time	about.labels.key/value
app	target.application
dei bucket rimanenti	about.labels.key/value
buckets_size	about.labels.key/value
completato	about.labels.key/value
cron	about.labels.key/value
modello dati	about.labels.key/value
digest	about.labels.key/value
il primo	about.labels.key/value
is_inprogress	about.labels.key/value
last_error	about.labels.key/value
last_sid	about.labels.key/value
più recente	about.labels.key/value
mod_time	about.labels.key/value
dei messaggi	about.labels.key/value
dimensioni	about.file.size
summary_id	about.labels.key/value

Search_Activity

La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Search_Activity:

Campo log	Mappatura UDM
host	about.hostname
info	about.labels.key/value
search	about.labels.key/value
search_et	about.labels.key/value
search_lt	about.labels.key/value
search_type	about.labels.key/value
origine	principal.labels.key/value
tipo di origine	principal.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Scheduler_Activity

La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Scheduler_Activity:

Campo log	Mappatura UDM
app	target.application
host	about.hostname
savedsearch_name	about.labels.key/value
sid	about.labels.key/value
origine	principal.labels.key/value
tipo di origine	principal.labels.key/value
splunk_server	principal.ip, principal.hostname
stato	security_result.summary
utente	principal.user.user_display_name

Web_Service_Errors

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Web_Service_Errors:

Campo log	Mappatura UDM
host	about.hostname
origine	principal.labels.key/value
tipo di origine	principal.labels.key/value
event_id	security_result.rule_name

Modular_Actions

La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per il set di dati Splunk Modular_Actions:

Campo log	Mappatura UDM
action_mode	about.labels.key/value
action_status	about.labels.key/value
app	target.application
duration	network.session_duration
componente	about.labels.key/value
orig_rid	about.labels.key/value
orig_sid	about.labels.key/value
rid	about.labels.key/value
search_name	about.labels.key/value
action_name	security_result.action_details
firma	metadata.description
sid	about.labels.key/value
utente	about.labels.key/value

All_Ticket_Management

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk All_Ticket_Management:

Campo log	Mappatura UDM
affect_dest	target.labels.key/value
commenti	about.labels.key/value
description	security_result.description
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
priorità	security_result.priority_details
gravità	security_result.severity
severity_id	about.labels.key/value
splunk_id	about.labels.key/value
splunk_realm	about.labels.key/value
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value
src_user_category	principal.labels.key/value
src_user_priority	principal.labels.key/value
stato	security_result.summary
tag (m.)	about.labels.key/value
ticket_id	target.user.attribute.label.ley/valore
time_submitted	principal.user.attribute.creation_time
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Cambia

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per la modifica del set di dati Splunk:

Campo log	Mappatura UDM
modifica	about.labels.key/value

Incidente

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'incidente del set di dati Splunk:

Campo log	Mappatura UDM
incidente	about.labels.key/value

Problema

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk. Problema:

Campo log	Mappatura UDM
problema	about.labels.key/value

Aggiornamenti

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per gli aggiornamenti del set di dati Splunk:

Campo log	Mappatura UDM
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_should_update	target.labels.key/value
dvc	principal.asset.hostname, principal.asset.ip
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value
gravità	security_result.severity
severity_id	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
stato	security_result.summary
tag (m.)	about.labels.key/value
vendor_product	about.labels.key/value

Vulnerabilità

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per le vulnerabilità del set di dati Splunk:

Campo log	Mappatura UDM
Bugtraq	about.labels.key/value
categoria	security_result.category_details
cert	about.labels.key/value
cve	vulnerabilites.cve_description
cvss	vulnerabilites.cvss_base_score
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value
dvc_category	about.labels.key/value
dvc_priority	about.labels.key/value
msft	about.labels.key/value
ms	about.labels.key/value
gravità	extensions.vulns.vulnerabilites.severity
severity_id	about.labels.key/value
firma	metadata.description
signature_id	metadata.product_event_type
tag (m.)	about.labels.key/value
url	extensions.vulns.vulnerabilites.about.url
utente	extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value
riferimento x	about.labels.key/value

Web

Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il set di dati Splunk per il web:

Campo log	Mappatura UDM
azione	security_result.action_details security_result.action
app	target.application
byte	about.labels.key/value
bytes_in	network.received_bytes
bytes_out	network.sent_bytes
memorizzata nella cache	about.labels.key/value
categoria	security_result.category_details
biscotto	about.labels.key/value
dest	target.ip, target.hostname, target.labels.key/value
dest_bunit	target.labels.key/value
dest_category	target.labels.key/value
dest_priority	target.labels.key/value
dest_port	target.port
duration	network.session_duration
http_content_type	about.labels.key/value
http_method	network.http.method
http_referrer	network.http.referral_url
http_referrer_domain	about.labels.key/value
http_user_agent	network.http.user_agent
http_user_agent_length	about.labels.key/value
response_time	about.labels.key/value
sito	about.labels.key/value
src	principal.ip, principal.hostname, principal.labels.key/value
src_bunit	principal.labels.key/value
src_category	principal.labels.key/value
src_priority	principal.labels.key/value
stato	network.http.response_code
tag (m.)	about.labels.key/value
uri_path	about.labels.key/value
uri_query	about.labels.key/value
url	about.url
url_domain	about.asset.network_domain
url_length	about.labels.key/value
utente	principal.user.user_display_name
user_bunit	about.labels.key/value
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value

Tipi di eventi UDM

Nella tabella seguente sono elencati i tag Splunk e i tipi di eventi UDM corrispondenti:

Modello dati	Tag Splunk	Tipo di evento UDM
Avvisi	avviso	STATUS_UPDATE
Autenticazione	autenticazione	USER_UNCATEGORIZED
Certificato	certificato	NETWORK_UNCATEGORIZED
Modifica	modifica	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Accesso ai dati	dati, accesso	USER_RESOURCE_ACCESS
Database	database	USER_RESOURCE_ACCESS
Database	database, istanza, statistiche	STATUS_UPDATE
Database	database, istanza, stato	STATUS_UPDATE
Database	database, istanza, blocco	STATUS_UPDATE
Database	database, query	STATUS_UPDATE
Database	database, query, spazio delle tabelle	STATUS_UPDATE
Database	database, query, statistiche	STATUS_UPDATE
Prevenzione della perdita di dati	dlp, incidente	SCAN_UNCATEGORIZED
Email	email	EMAIL_UNCATEGORIZED
Email	email, consegna	EMAIL_TRANSACTION
Endpoint	in ascolto, porta	SERVICE_UNSPECIFIED
Endpoint	processo, segnalazione	PROCESS_UNCATEGORIZED
Endpoint	servizio, segnalazione	SERVICE_UNSPECIFIED
Endpoint	endpoint, filesystem	FILE_UNCATEGORIZED
Endpoint	endpoint, registry	REGISTRY_UNCATEGORIZED
Firma dell'evento	track_event_signature	STATUS_UPDATE
Messaggistica tra processi	messaggistica	STATUS_UPDATE
Rilevamento delle intrusioni	ID, attacco	SERVICE_UNSPECIFIED
Inventario	inventario	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Macchina virtuale Java (JVM)	jvm	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Malware	malware	STATUS_UPDATE
Risoluzione di rete(DNS)	rete, risoluzione, dns	NETWORK_DNS
Sessioni di rete	rete, sessione	NETWORK_CONNECTION
Sessioni di rete	rete, sessione, dhcp	NETWORK_DHCP
Traffico di rete	rete, comunicare	NETWORK_CONNECTION
Prestazioni	prestazioni	SERVICE_UNSPECIFIED
Audit log di Splunk	modalità	STATUS_UPDATE
Gestione dei biglietti	vendita di biglietti	STATUS_UPDATE
Gestione dei biglietti	vendita di biglietti, cambiare	STATUS_UPDATE
Aggiornamenti	update	STATUS_UPDATE
Vulnerabilità	report, vulnerabilità	SCAN_UNCATEGORIZED
Web	web	NETWORK_UNCATEGORIZED

Passaggi successivi

Importazione dati in Chronicle