Raccogli i log CIM di Splunk
Questo documento descrive come raccogliere i log CIM (Common Information Model) di Splunk configurando Splunk e un server di forwarding Chronicle. Questo documento elenca anche i tipi di log supportati e le versioni di Splunk supportate.
Per saperne di più, vedi Importazione di dati su Chronicle.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra la configurazione degli agenti Splunk per l'invio dei log a Chronicle. Ogni deployment dei clienti potrebbe essere diverso da questa rappresentazione e potrebbe essere più complessa.
Il diagramma dell'architettura mostra i seguenti componenti:
Origine dati: il sistema da monitorare in cui è installato Splunk.
Splunk: raccoglie le informazioni dall'origine dati e le inoltra all'inoltratore Chronicle.
Inoltro Chronicle: un componente software leggero, di cui è stato eseguito il deployment nella rete del cliente, per inoltrare i log a Chronicle.
Chronicle: conserva e analizza i log dal server Fleet.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con etichetta di importazione SPLUNK.
Prima di iniziare
Usa Splunk versione 5.0 supportata dall'analizzatore sintattico di Chronicle.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configurare un agente Splunk e un inoltro Chronicle
Installa un agente conforme al CIM da Splunkbase.
Configura lo strumento di inoltro di Chronicle per eseguire il push dei log nel sistema Chronicle. Di seguito è riportato un esempio di configurazione dello strumento per l'inoltro di Chronicle:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: | datamodel Network_Traffic All_Traffic
Tipi di log e modelli di dati supportati
| Modello dati Splunk | Supportato |
|---|---|
| Avvisi | Sì |
| Stato applicazione (ritirato) | No |
| Autenticazione | Sì |
| Certificati | Sì |
| Modifica | Sì |
| Analisi delle modifiche (ritirata) | No |
| Accesso ai dati | Sì |
| Database | Sì |
| Prevenzione della perdita di dati | Sì |
| Sì | |
| Endpoint | Sì |
| Firme dell'evento | Sì |
| Messaggistica tra processi | Sì |
| Rilevamento delle intrusioni | Sì |
| Inventario | Sì |
| Macchine virtuali Java (JVM) | Sì |
| Malware | Sì |
| Risoluzione di rete (DNS) | Sì |
| Sessioni di rete | Sì |
| Traffico di rete | Sì |
| Prestazioni | Sì |
| Log di controllo di Splunk | Sì |
| Gestione dei biglietti | Sì |
| Aggiornamenti | Sì |
| Vulnerabilità | Sì |
| Web | Sì |
Riferimento mappatura campi
In questa sezione viene spiegato in che modo l'analizzatore sintattico di Chronicle mappa i campi di log Splunk ai campi UMC (Chronicle Unified Data Model) dei set di dati. Per saperne di più, consulta il documento Splunk per la versione 5.0.1.
Avvisi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per gli avvisi del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| app | osservatore.applicazione |
| description | security_result.description |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| tipo_dest. | target.resource.resource_type |
| id | metadata.product_log_id |
| ID_tecnica_mitre | security_result.detection_fields.labels.key/valore |
| gravità | security_result.severity |
| gravità_id | about.labels.key/value |
| firma | metadata.description |
| firma_id | security_result.rule_name |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| tipo_src | entità.resource.resource_type |
| tag (m.) | about.labels.key/value |
| tipo | security_result.alert_state |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| nome_utente | id.utente.user |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_account | about.labels.key/value |
| fornitore_regione | informazioni.località.paese_o_regione |
Autenticazione
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Authentication:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | applicazione.target |
| autenticazione_metodo | about.labels.key/value |
| servizio_autenticazione | extension.auth.auth_details |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| dominio_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| motivo | security_result.summary |
| tempo_di_risposta | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| src_nt_domain (dominio_src) | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| utente_src | entità.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| categoria_utente_src | principal.labels.key/value |
| id_utente_src | id.utente.user |
| priorità_utente_src | principal.labels.key/value |
| ruolo_utente_src | principal.user.attribute.roles.name (ripetuto) |
| tipo_utente_src | principal.user.attribute.roles.type |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_agent | rete.http://user_agent |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| user_id [id_utente] | id.utente.user |
| priorità_utente | entità.user.attribute.label.key/value |
| ruolo_utente | principal.user.attribute.roles.name (ripetuto) |
| tipo_utente | principal.user.attribute.roles.type |
| fornitore_account | about.labels.key/value |
Tutti_certificati
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Certificates:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| dest_port | porta |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| tempo_di_risposta | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| porta_src | entità.port |
| priorità_src | principal.labels.key/value |
| tag (m.) | about.labels.key/value |
| trasporti | protocollo.ip_rete |
SSL
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk SSL:
| Campo log | Mappatura UDM |
|---|---|
| ora_end_ssl | network.tls.server.certificate.not_after |
| motore_ssl | about.labels.key/value |
| hash_ssl | about.labels.key/value |
| ssl_is_valido | about.labels.key/value |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issue_common_name | about.labels.key/value |
| email_issuer_ssl | about.labels.key/value |
| dominio_email_ssl | about.labels.key/value |
| località_ssl_issuer | about.labels.key/value |
| ssl_issue_organization (Organizzazione_ssl_issuer) | about.labels.key/value |
| stato_ssl | about.labels.key/value |
| ssl_issue_street | about.labels.key/value |
| ssl_issue_unit | about.labels.key/value |
| nome_ssl | about.labels.key/value |
| norme_ssl | about.labels.key/value |
| chiave_ssl | about.labels.key/value |
| Algoritmo_ssl_pubblico_chiave | about.labels.key/value |
| ssl_serial | rete.tls.server.certificato.serial |
| ID_sessione_ssl | network_session.id |
| Algoritmo_ssl_signature | about.labels.key/value |
| ora_ssl_start | network.tls.server.certificate.not_before |
| oggetto_ssl | rete.tls.server.certificato.oggetto |
| ssl_subject_common_name | about.labels.key/value |
| email_ssl_oggetto | about.labels.key/value |
| dominio_email_ssl | about.labels.key/value |
| ssl_subject_località | about.labels.key/value |
| organizzazione_ssl_ssl | about.labels.key/value |
| oggetto_ssl_stato | about.labels.key/value |
| via_soggetto_ssl | about.labels.key/value |
| ssl_subject_unit | about.labels.key/value |
| finestra_validità_ssl | about.labels.key/value |
| Versione_ssl | rete.tls.server.certificato.versione |
Tutte_modifiche
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk All_Changes:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| cambio_tipo | security_result.category_details |
| comando | principal.process.command_line |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| DVV | principal.asset.hostname, principal.asset.ip |
| oggetto | target.resource.name |
| object_attrs | about.labels.key/value |
| oggetto_categoria | about.labels.key/value |
| object_id [id_oggetto] | target.user.product_object_id |
| oggetto_percorso | target.file.full_path |
| risultato | security_result.description |
| ID_risultato | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
| user | target.user.user_display_name, principal.user.user_display_name |
| user_agent | rete.http://user_agent |
| nome_utente | principal.user.userid, target.user.userid |
| tipo_utente | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| fornitore_account | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
| fornitore_regione | informazioni.località.paese_o_regione |
Gestione_account
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Account_Management:
| Campo log | Mappatura UDM |
|---|---|
| dominio_dest. | target_administrative_domain |
| src_nt_domain (dominio_src) | entità.administrative_domain |
| utente_src | entità.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| categoria_utente_src | principal.labels.key/value |
| priorità_utente_src | principal.labels.key/value |
| src_user_name | principal.labels.key/value |
| tipo_utente_src | principal.user.attribute.roles.type |
Modifiche_istanza
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Changes:
| Campo log | Mappatura UDM |
|---|---|
| image_id [id_immagine] | entità.asset_id |
| instance_type | about.labels.key/value |
Modifiche_rete
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk network_Changes:
| Campo log | Mappatura UDM |
|---|---|
| intervallo_dest._ip | target.labels.key/value |
| intervallo_porta_dest. | target.labels.key/value |
| direction | rete.direzione |
| protocollo | protocollo.ip_rete |
| azione_regola | security_result.action_details security_result.action |
| intervallo_IP_src | principal.labels.key/value |
| intervallo_porta_intervallo | principal.labels.key/value |
Accesso_dati
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Data_Access:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | applicazione.target |
| ID_app | metadata.product_log_id |
| dest | target.ip, target.nomehost, target.labels.key/value |
| nome_dest. | target_administrative_domain |
| url_dest. | url target |
| DVV | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| oggetto | target.resource.name |
| oggetto_categoria | about.labels.key/value |
| object_id [id_oggetto] | target.user.product_object_id |
| oggetto_percorso | target.file.full_path |
| oggetto_dimensione | target.file.size |
| proprietario | about.labels.key/value |
| email_proprietario | about.labels.key/value |
| ID_proprietario | id.utente.user |
| padre_oggetto | target.resource.parent |
| parent_object_id [id_oggetto_principale] | about.labels.key/value |
| camera_oggetto_principale | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| tenant_id | about.labels.key/value |
| user | entità.user.user_display_name |
| user_agent | rete.http://user_agent |
| gruppo_utenti | principal.user.group_identifiers(ripetuto) |
| ruolo_utente | principal.user.attribute.roles.name (ripetuto) |
| fornitore_prodotto | about.labels.key/value |
| vendor_product_id [id_prodotto_fornitore] | about.labels.key/value |
Tutti i database
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk All_Databases:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| oggetto | target.resource.name |
| tempo_di_risposta | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Istanza_database
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Database_Instance:
| Campo log | Mappatura UDM |
|---|---|
| nome_istanza | target.resource.attributes.key/valore |
| versione_istanza | target.resource.attributes.key/valore |
| processo_limite | about.labels.key/value |
| limite_sessione | about.labels.key/value |
Query_database
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Database_Query:
| Campo log | Mappatura UDM |
|---|---|
| query | about.labels.key/value |
| ID_query | about.labels.key/value |
| tempo_query | about.labels.key/value |
| record_affected | about.labels.key/value |
Statistiche_istanza
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Instance_Stats:
| Campo log | Mappatura UDM |
|---|---|
| disponibilità | about.labels.key/value |
| media_executions | about.labels.key/value |
| dump_area_used | about.labels.key/value |
| instance_reads | about.labels.key/value |
| instance_writes | about.labels.key/value |
| numero_di_utenti | about.labels.key/value |
| processi | about.labels.key/value |
| sessions | about.labels.key/value |
| dimensioni_cache_buffer | about.labels.key/value |
| SGA_buffer_hit_limit | about.labels.key/value |
| sga_dati_dict_hit_ratio | about.labels.key/value |
| sga_fix_area_size | about.labels.key/value |
| ricordo_senza_sga | about.labels.key/value |
| libreria_sga_cache_size | about.labels.key/value |
| sga_redo_log_buffer_size | about.labels.key/value |
| dimensioni_squadra_condivisa_sga | about.labels.key/value |
| sga_sql_area_size | about.labels.key/value |
| ora_di_inizio | about.labels.key/value |
| tabella_utilizzata | about.labels.key/value |
Informazioni_sessione
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Session_Info:
| Campo log | Mappatura UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value |
| commit | about.labels.key/value |
| CPU_utilizzata | about.labels.key/value |
| cursore | about.labels.key/value |
| tempo_scaduto | about.labels.key/value |
| letture_logiche | about.labels.key/value |
| macchina | about.nomehost |
| memorie_ordini | about.labels.key/value |
| fisica_letture | about.labels.key/value |
| secondi_in_attesa | about.labels.key/value |
| sessione_id | network_session.id |
| stato_sessione | about.labels.key/value |
| scansione_tabella | about.labels.key/value |
| stato_attesa | about.labels.key/value |
| tempo_di_attesa | about.labels.key/value |
Blocca_informazioni
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Lock_Info:
| Campo log | Mappatura UDM |
|---|---|
| ultimo_chiamata_minuto | about.labels.key/value |
| modalità_blocco | about.labels.key/value |
| lock_session_id [id_sessione_blocco] | about.labels.key/value |
| ora_di_accesso | about.labels.key/value |
| nome_obj | about.labels.key/value |
| os_pid | target.process.pid |
| numero_serie | target.resource.product_object_id |
Spazio della tabella
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Tablespace:
| Campo log | Mappatura UDM |
|---|---|
| free_bytes | about.file.size |
| nome_tabella | about.resource.name |
| tabelle_spazio_spazio | about.labels.key/value |
| stato_tabella | about.labels.key/value |
| tabelle_scritture | about.labels.key/value |
Statistiche_query
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Query_Stats:
| Campo log | Mappatura UDM |
|---|---|
| indici_hit | about.labels.key/value |
| hit_piano_query | about.labels.key/value |
| stored_procedura_chiamate | about.labels.key/value |
| tabelle_hit | about.labels.key/value |
DLP_Incidenti
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk DLP_Incidents:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | applicazione.target |
| categoria | security_result.category_details |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| zona_dest | target.location.country_or_origin |
| tipo_dlp | about.labels.key/value |
| DVV | principal.asset.hostname, principal.asset.ip |
| unità_dvc | about.labels.key/value |
| categoria_dvc | about.labels.key/value |
| priorità_dvc | about.labels.key/value |
| zona_dvc | principal.asset.location.country_or_region |
| oggetto | target.resource.name |
| oggetto_categoria | about.labels.key/value |
| oggetto_percorso | target.file.full_path |
| gravità | security_result.severity |
| gravità_id | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| utente_src | entità.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| categoria_utente_src | principal.labels.key/value |
| priorità_utente_src | principal.labels.key/value |
| zona_src | principal.location.country_or_origin |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Tutte_email
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Email:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| delay | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| hash_file | about.file.sha256, about.file.md5, about.file.sha1 |
| nome_file | about.labels.key/value |
| dimensione_file | about.file.size |
| ID_messaggio_interno | metadata.product_log_id |
| message_id | rete.email.mail_id |
| message_info | about.labels.key/value |
| orig_dest | target.labels.key/value |
| destinatario_orig | about.labels.key/value |
| orig_src | rete.email.da |
| process | principal.process.command_line |
| id_processo | entità.process.pid |
| protocollo | network_application_protocol |
| destinatario | network.email.to |
| destinatari_count | about.labels.key/value |
| dominio_destinatario | about.labels.key/value |
| stato_destinatario | about.labels.key/value |
| tempo_di_risposta | about.labels.key/value |
| nuovi tentativi | about.labels.key/value |
| restituzione_aggiungi | about.labels.key/value |
| dimensioni | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| utente_src | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value |
| categoria_utente_src | principal.labels.key/value |
| src_user_domain (dominio_utente_src) | entità.administrative_domain |
| priorità_utente_src | principal.labels.key/value |
| codice_stato | about.labels.key/value |
| subject | rete.email.subject(ripetuto) |
| tag (m.) | about.labels.key/value |
| url | about.url |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
| xdelay | about.labels.key/value |
| xref | about.labels.key/value |
Filtri
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Filtering:
| Campo log | Mappatura UDM |
|---|---|
| azione_filtro | about.labels.key/value |
| punteggio_filtro | about.labels.key/value |
| firma | metadata.description |
| firma_extra | about.labels.key/value |
| firma_id | metadata.product_event_type |
Porte
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per le porte del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| creazione_tempo | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| dest_port | porta |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| procedura_guida | entità.process.product_specific_process_id |
| id_processo | entità.process.pid |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| porta_src | entità.port |
| src_require_av | principal.labels.key/value |
| src_should_timesync | principal.labels.key/value |
| src_ dettagli | principal.labels.key/value |
| state | about.labels.key/value |
| tag (m.) | about.labels.key/value |
| trasporti | protocollo.ip_rete |
| trasporti_destinazione_porta | target.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
Processi
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per i processi del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| percentuale_caricamento_cpu | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| valore_dest_previsto | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| mem_usato | about.labels.key/value |
| nome_file_originale | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| procedura_principale | about.labels.key/value |
| padre_process_exec | about.labels.key/value |
| id_processo_principale | entità.process.parent_process.parent_pid |
| principale_procedura_guida | entità.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value |
| percorso_processo_principale | principal.process.parent_process.command_line |
| process | about.labels.key/value |
| Process_current_directory | about.labels.key/value |
| processo_exec | about.labels.key/value |
| hash_processo | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| procedura_guida | entità.process.product_specific_process_id |
| id_processo | entità.process.pid |
| processo_integrità_livello | security_result.severity |
| processo_nome | principal.process.command_line |
| elaborazione_percorso | principal.process.file.full_path |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_id [id_utente] | id.utente.user |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Servizi
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per i set di dati Splunk Services:
| Campo log | Mappatura UDM |
|---|---|
| description | security_result.description |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| valore_dest_previsto | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| procedura_guida | entità.process.product_specific_process_id |
| id_processo | entità.process.pid |
| servizio | applicazione.target |
| servizio_dll | about.labels.key/value |
| percorso_dll_servizio | about.file.full_path |
| hash_servizio_dll | about.labels.key/value |
| service_dll_signature_exists | about.labels.key/value |
| service_dll_signature_verified | about.labels.key/value |
| service_exec | target.process.file.full_path |
| hash_servizio | about.labels.key/value |
| servizio_id | about.labels.key/value |
| nome_servizio | about.labels.key/value |
| percorso_servizio | about.labels.key/value |
| service_signature_exists | about.labels.key/value |
| service_signature_verified | about.labels.key/value |
| modalità_start | about.labels.key/value |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Filesystem
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Filesystem:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| file_access_time (tempo di accesso al file) | about.labels.key/value |
| ora_file | target.asset.attribute.creation_time |
| hash_file | target.file.sha256, target.file.md5, target.file.sha1 |
| ora_modifica_file | about.labels.key/value |
| nome_file | about.labels.key/value |
| percorso_file | target.file.full_path |
| file_acl | about.labels.key/value |
| dimensione_file | target.file.size |
| procedura_guida | entità.process.product_specific_process_id |
| id_processo | entità.process.pid |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Registro
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Registry:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| procedura_guida | entità.process.product_specific_process_id |
| id_processo | entità.process.pid |
| registro_hive | about.labels.key/value |
| percorso_registro | about.labels.key/value |
| registro_chiave_nome | target.registry.registry_key |
| data_valore_registro | target.registry.registry_value_data |
| registro_valore_nome | target.registry.registry_value_name |
| testo_valore_registro | about.labels.key/value |
| registro_tipo_valore | about.labels.key/value |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Firme
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per le firme dei set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| tag (m.) | about.labels.key/value |
Signatures_vendor_product
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Signatures_vendor_product:
| Campo log | Mappatura UDM |
|---|---|
| fornitore_prodotto | about.labels.key/value |
All_Interprocess_Messaging
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk All_Interprocess_Messaging:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| endpoint | about.labels.key/value |
| versione_endpoint | about.labels.key/value |
| messaggio | about.labels.key/value |
| messaggio_consumed_time | about.labels.key/value |
| id_correzione_messaggio | about.labels.key/value |
| messaggio_delivery_time | about.labels.key/value |
| modalità_consegna_messaggi | about.labels.key/value |
| messaggio_expiration_time | about.labels.key/value |
| message_id | metadata.product.log_id |
| priorità_messaggio | about.labels.key/value |
| proprietà_messaggio | about.labels.key/value |
| messaggio_ricevuto_tempo | about.labels.key/value |
| messaggio_riconsegnato | about.labels.key/value |
| messaggio_risposta_dest | target.labels.key/value |
| tipo_messaggio | about.labels.key/value |
| Parametri | about.labels.key/value |
| payload | about.labels.key/value |
| payload_type [tipo_di_carico] | about.labels.key/value |
| richiesta_pagamento | about.labels.key/value |
| richiesta_pagamento_tipo | about.labels.key/value |
| richiesta_inviata_tempo | about.labels.key/value |
| codice_risposta | network.http://codice_risposta |
| risposta_pagamento_tipo | about.labels.key/value |
| risposta_ricevuta_al tempo | about.labels.key/value |
| tempo_di_risposta | about.labels.key/value |
| restituzione_messaggio | about.labels.key/value |
| protocollo_rpc | network_application_protocol |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
IDS_attacchi
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk IDS_Attacks:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| DVV | principal.asset.hostname, principal.asset.ip |
| unità_dvc | about.labels.key/value |
| categoria_dvc | about.labels.key/value |
| priorità_dvc | about.labels.key/value |
| hash_file | target.file.sha256, target.file.md5, target.file.sha1 |
| nome_file | about.labels.key/value |
| percorso_file | target.file.full_path |
| ID_tipi | about.labels.key/value |
| gravità | security_result.severity |
| gravità_id | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| porta_src | entità.port |
| tag (m.) | about.labels.key/value |
| trasporti | protocollo.ip_rete |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
DS_Attack
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk DS_Attacks:
| Campo log | Mappatura UDM |
|---|---|
| dest_port | porta |
Tutto_inventario
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Inventory:
| Campo log | Mappatura UDM |
|---|---|
| description | security_result.description |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| abilitato | about.labels.key/value |
| famiglia | about.labels.key/value |
| ID_revisore | about.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
| version | about.labels.key/value |
CPU
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per la CPU del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| core_cpu | entità.asset.hardware.cpu_numero_core |
| conteggio_cpu | about.labels.key/value |
| CPU_mhz | principal.asset.hardware.cpu_clock_speed |
| CPU_carico_mhz | principal.asset.hardware.cpu_clock_speed |
| percentuale_caricamento_cpu | about.labels.key/value |
| tempo_cpu | about.labels.key/value |
| percentuale_utente_cpu | about.labels.key/value |
Memoria
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Memory:
| Campo log | Mappatura UDM |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_commesse | about.labels.key/value |
| heap_iniziale | about.labels.key/value |
| heap_max | about.labels.key/value |
| heap_used | about.labels.key/value |
| non_heap_commit | about.labels.key/value |
| non_heap_iniziale | about.labels.key/value |
| non_heap_max | about.labels.key/value |
| non_heap_used | about.labels.key/value |
| Object_pending | about.labels.key/value |
| mem | principal.asset.hardware.ram |
| mem_ impegnato | about.labels.key/value |
| mem_free | about.labels.key/value |
| mem_usato | about.labels.key/value |
| scambia | about.labels.key/value |
| scambio_senza costi | about.labels.key/value |
| scambio_utilizzato | about.labels.key/value |
rete
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per la rete di set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value |
| int_nat | about.labels.key/value |
| interfaccia | about.labels.key/value |
| IP | principal.asset.ip |
| metodo_lb | about.labels.key/value |
| Mac | entità.asset.mac |
| name | principal.resource.name |
| nodo | about.labels.key/value |
| porta_nodo | porta |
| src_ip | entità.ip |
| porta_vip | about.labels.key/value |
| acceleratore | about.labels.key/value |
| massima_thruput | about.labels.key/value |
Sistema operativo
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il sistema operativo del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| memoria_impegno | about.labels.key/value |
| tempo_cpu | about.labels.key/value |
| memoria_fisica_gratuita | about.labels.key/value |
| Swap free | about.labels.key/value |
| max_file_descriptor | about.labels.key/value |
| open_file_descriptors | about.labels.key/value |
| os | principal.asset.platform_software.platform_version |
| architettura_os | about.labels.key/value |
| os_version | about.labels.key/value |
| fisica_memoria | about.labels.key/value |
| scambio_spazio | about.labels.key/value |
| caricamento_sistema | about.labels.key/value |
| total_processors | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
Archiviazione
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per il set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| array | about.labels.key/value |
| dimensioni blocco | about.labels.key/value |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value |
| latenza | about.labels.key/value |
| montare | entità.resource.attribute.labels.key/valore |
| principale | entità.resource.parent |
| blocchi_lettura | about.labels.key/value |
| lettura_latenza | about.labels.key/value |
| operazioni_lettura | about.labels.key/value |
| spazio di archiviazione | about.labels.key/value |
| write_blocks | about.labels.key/value |
| scrittura_latenza | about.labels.key/value |
| operazioni_scrittura | about.labels.key/value |
| array | about.labels.key/value |
| dimensioni blocco | about.labels.key/value |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value |
| fd_used | about.labels.key/value |
| latenza | about.labels.key/value |
| montare | about.labels.key/value |
| principale | entità.resource.parent |
| blocchi_lettura | about.labels.key/value |
| lettura_latenza | about.labels.key/value |
| operazioni_lettura | about.labels.key/value |
| spazio di archiviazione | about.labels.key/value |
| spazio di archiviazione gratuito | about.labels.key/value |
| storage_free_percent | about.labels.key/value |
| spazio di archiviazione utilizzato | about.labels.key/value |
| percentuale_di_archiviazione_utilizzata | about.labels.key/value |
| write_blocks | about.labels.key/value |
| scrittura_latenza | about.labels.key/value |
| operazioni_scrittura | about.labels.key/value |
| codice_errore | security_result.description |
| operazione | about.labels.key/value |
| spazio di archiviazione | about.resource.name |
Utente
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk User:
| Campo log | Mappatura UDM |
|---|---|
| interactive | about.labels.key/value |
| password | about.labels.key/value |
| shell | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| user_id [id_utente] | id.utente.user |
| priorità_utente | entità.user.attribute.label.key/value |
Sistema operativo virtuale
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Virtual_OS:
| Campo log | Mappatura UDM |
|---|---|
| hypervisor | about.labels.key/value |
Snapshot
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Snapshot:
| Campo log | Mappatura UDM |
|---|---|
| dimensioni | about.file.size |
| snapshot | about.labels.key/value |
| tempo | about.labels.key/value |
JVM
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk JVM:
| Campo log | Mappatura UDM |
|---|---|
| jvm_description | security_result.description |
| tag (m.) | about.labels.key/value |
Thread
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Threading:
| Campo log | Mappatura UDM |
|---|---|
| cm_attivato | about.labels.key/value |
| cm_supportato | about.labels.key/value |
| CPU_time_enabled | about.labels.key/value |
| CPU_time_supported | about.labels.key/value |
| tempo_cpu_attuale | about.labels.key/value |
| tempo_utente_corrente | about.labels.key/value |
| daemon_thread_count | about.labels.key/value |
| omu_supported | about.labels.key/value |
| picco_numero_thread | about.labels.key/value |
| sincronizzazione_supportata | about.labels.key/value |
| thread_count | about.labels.key/value |
| thread_iniziati | about.labels.key/value |
Runtime
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il runtime del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| processo_nome | principal.process.command_line |
| ora_di_inizio | about.labels.key/value |
| tempo di attività | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
| version | about.labels.key/value |
Compilation
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per la compilazione del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| compilation_time [tempo_di_compilazione] | about.labels.key/value |
Caricamento del corso
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Classload:
| Campo log | Mappatura UDM |
|---|---|
| carico_corrente | about.labels.key/value |
| carico_totale | about.labels.key/value |
| totale_non caricato | about.labels.key/value |
Attacchi_malware
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Attacks:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| date | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| dominio_dest. | target_administrative_domain |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| hash_file | target.file.sha256, target.file.md5, target.file.sha1 |
| nome_file | about.labels.key/value |
| percorso_file | target.file.full_path |
| gravità | security_result.severity |
| gravità_id | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| utente_src | entità.user.user_display_name |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| url | about.url |
| fornitore_prodotto | about.labels.key/value |
Operazioni_malware
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| dominio_dest. | target.labels.key/value |
| dominio_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_require_av | target.labels.key/value |
| versione_prodotto | about.labels.key/value |
| firma_versione | sicurezza_risultato.versione_versione |
| tag (m.) | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
Operazioni_malware
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Malware_Operations:
| Campo log | Mappatura UDM |
|---|---|
| categoria_dest. | target.labels.key/value |
DNS
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il DNS del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| conteggio_answer_aggiuntivo | about.labels.key/value |
| rispondi | rete.dns.answer.data |
| answer_count | about.labels.key/value |
| autorità_numero_answer | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| dest_port | porta |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| tipo_messaggio | about.labels.key/value |
| name | about.labels.key/value |
| query | network.dns.questions.name |
| numero_query | about.labels.key/value |
| query_type (tipo di query) | network.dns.questions.type |
| record_type (tipo di record) | network.dns.answer.type(uint32) |
| codice_risposta | about.labels.key/value |
| id_codice_risposta | network.dns.response_code |
| tempo_di_risposta | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| porta_src | entità.port |
| priorità_src | principal.labels.key/value |
| tag (m.) | about.labels.key/value |
| transazione_id | network.dns.id |
| trasporti | protocollo.ip_rete |
| ttl | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
Tutte_sessioni
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk All_Sessions:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| dest._dns | target.labels.key/value |
| dest_ip | rete.dhcp.ciaddr |
| dest_mac | rete.dhcp.chaddr |
| dest_nt_host | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| duration | rete.sessione_durata |
| tempo_di_risposta | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| src_dns | principal.labels.key/value |
| src_ip | entità.ip |
| src_mac | entità.mac |
| src_nt_host | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| tag (m.) | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
DHCP
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk DHCP:
| Campo log | Mappatura UDM |
|---|---|
| durata_locazione | rete.dhcp.lease_time_second |
| affitto_ambito | about.labels.key/value |
Tutto_traffico
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Traffic:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | network_application_protocol |
| byte | about.labels.key/value |
| byte_in | rete.ricevi_byte |
| byte_out | rete.sent_byte |
| channel | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| interfaccia_dest. | target.labels.key/value |
| dest_ip | target.ip |
| dest_mac | mac.target |
| dest_port | porta |
| priorità_dest | target.labels.key/value |
| dest_translated_ip | target.nat_ip |
| porta_dest_tradotta | destinazione.nat_porta |
| zona_dest | target.location.country_or_origin |
| direction | rete.direzione |
| duration | rete.sessione_durata |
| DVV | principal.asset.hostname, principal.asset.ip |
| unità_dvc | about.labels.key/value |
| categoria_dvc | about.labels.key/value |
| dvc_ip | about.labels.key/value |
| dvc_mac | entità.asset.mac |
| priorità_dvc | about.labels.key/value |
| zona_dvc | principal.asset.location.country_or_region |
| flusso_id | about.labels.key/value |
| codice_icmp | about.labels.key/value |
| tipo_impmp | about.labels.key/value |
| pacchetti | about.labels.key/value |
| pacchetti_in | about.labels.key/value |
| pacchetti_out | about.labels.key/value |
| protocollo | about.labels.key/value |
| versione_protocollo | about.labels.key/value |
| tempo_di_risposta | about.labels.key/value |
| regola | security_result.rule_id |
| sessione_id | network_session.id |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| interfaccia_src | principal.labels.key/value |
| src_ip | entità.ip |
| src_mac | entità.mac |
| porta_src | entità.port |
| priorità_src | principal.labels.key/value |
| src_translated_ip | entità.nat_ip |
| porta_tradotta_src | entità.nat_porta |
| zona_src | principal.location.country_or_origin |
| SID | about.labels.key/value |
| tag (m.) | about.labels.key/value |
| flag_tcp | about.labels.key/value |
| trasporti | protocollo.ip_rete |
| TdS | about.labels.key/value |
| ttl | network.dns.additional.ttl |
| user | about.labels.key/value |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_account | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
| Vlan | about.labels.key/value |
| wifi | about.labels.key/value |
All_performance
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Performance:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_should_timesync | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| ID_revisore | about.labels.key/value |
| resource_type (tipo di risorsa) | about.labels.key/value |
| tag (m.) | about.labels.key/value |
Servizi
La tabella seguente elenca i campi di log e le mappature UDM corrispondenti per le strutture del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| velocità_ventola | about.labels.key/value |
| power | about.labels.key/value |
| temperatura | about.labels.key/value |
Sincronizzazione temporale
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Timesync:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
Tempo di attività
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il tempo di attività del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| tempo di attività | about.labels.key/value |
Visualizzazione_attività
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk View_Activity:
| Campo log | Mappatura UDM |
|---|---|
| app | applicazione.target |
| spesa | about.labels.key/value |
| uri | about.labels.key/value |
| user | entità.user.user_display_name |
| vista | about.labels.key/value |
Accelerazione_modello_dati
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Datamodel_Acceleration:
| Campo log | Mappatura UDM |
|---|---|
| accesso_conteggio | about.labels.key/value |
| access_time | about.labels.key/value |
| app | applicazione.target |
| bucket | about.labels.key/value |
| dimensioni_bucket | about.labels.key/value |
| complete | about.labels.key/value |
| cron | about.labels.key/value |
| modello dati | about.labels.key/value |
| digest | about.labels.key/value |
| meno recenti | about.labels.key/value |
| è_in corso | about.labels.key/value |
| ultimo_errore | about.labels.key/value |
| ultimo_sid | about.labels.key/value |
| più recente | about.labels.key/value |
| mod_time | about.labels.key/value |
| dei messaggi | about.labels.key/value |
| dimensioni | about.file.size |
| ID_riepilogo | about.labels.key/value |
Attività_ricerca
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Search_Activity:
| Campo log | Mappatura UDM |
|---|---|
| host | about.nomehost |
| info | about.labels.key/value |
| search | about.labels.key/value |
| ricerca_et | about.labels.key/value |
| ricerca_lt | about.labels.key/value |
| tipo_ricerca | about.labels.key/value |
| origine | principal.labels.key/value |
| tipodiorigine | principal.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
Scheduler_Activity
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Scheduler_Activity:
| Campo log | Mappatura UDM |
|---|---|
| app | applicazione.target |
| host | about.nomehost |
| nome_ricerca_salvato | about.labels.key/value |
| Sid | about.labels.key/value |
| origine | principal.labels.key/value |
| tipodiorigine | principal.labels.key/value |
| server_splunk | principal.ip e principal.hostname |
| stato | security_result.summary |
| user | entità.user.user_display_name |
Errori_servizio_web
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Web_Service_Errors:
| Campo log | Mappatura UDM |
|---|---|
| host | about.nomehost |
| origine | principal.labels.key/value |
| tipodiorigine | principal.labels.key/value |
| event_id | security_result.rule_name |
Modulare_azioni
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk Modular_Actions:
| Campo log | Mappatura UDM |
|---|---|
| action_mode | about.labels.key/value |
| action_status | about.labels.key/value |
| app | applicazione.target |
| duration | rete.sessione_durata |
| componente | about.labels.key/value |
| orig_rid | about.labels.key/value |
| orig_sid | about.labels.key/value |
| libera | about.labels.key/value |
| nome_ricerca | about.labels.key/value |
| action_name | security_result.action_details |
| firma | metadata.description |
| Sid | about.labels.key/value |
| user | about.labels.key/value |
All_Ticket_Management
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk All_Ticket_Management:
| Campo log | Mappatura UDM |
|---|---|
| influenze_dest | target.labels.key/value |
| commenti | about.labels.key/value |
| description | security_result.description |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| priority | security_result.priority_details |
| gravità | security_result.severity |
| gravità_id | about.labels.key/value |
| ID_splunk | about.labels.key/value |
| splunk_reale | about.labels.key/value |
| utente_src | entità.user.user_display_name |
| src_user_bunit | principal.labels.key/value |
| categoria_utente_src | principal.labels.key/value |
| priorità_utente_src | principal.labels.key/value |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
| biglietto_id | target.user.attribute.label.ley/value |
| ora_inviata | principal.user.attribute.creation_time |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
Cambia
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| cambia | about.labels.key/value |
Incidente
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per l'incidente del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| incidente | about.labels.key/value |
Problema
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il set di dati Splunk.
| Campo log | Mappatura UDM |
|---|---|
| problema | about.labels.key/value |
Aggiornamenti
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per gli aggiornamenti del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| aggiornamento_dest. | target.labels.key/value |
| DVV | principal.asset.hostname, principal.asset.ip |
| hash_file | target.file.sha256, target.file.md5, target.file.sha1 |
| nome_file | about.labels.key/value |
| gravità | security_result.severity |
| gravità_id | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| stato | security_result.summary |
| tag (m.) | about.labels.key/value |
| fornitore_prodotto | about.labels.key/value |
Vulnerabilità
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per le vulnerabilità del set di dati Splunk:
| Campo log | Mappatura UDM |
|---|---|
| Bultraq | about.labels.key/value |
| categoria | security_result.category_details |
| certificato | about.labels.key/value |
| CVE | vulnerabilitàtes.cve_description |
| CVV | vulnerabilità.cvss_base_score |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| DVV | principal.asset.hostname, principal.asset.ip |
| unità_dvc | about.labels.key/value |
| categoria_dvc | about.labels.key/value |
| priorità_dvc | about.labels.key/value |
| MSFT | about.labels.key/value |
| mskb | about.labels.key/value |
| gravità | extensions.vulns.vulnerabilites.severity |
| gravità_id | about.labels.key/value |
| firma | metadata.description |
| firma_id | metadata.product_event_type |
| tag (m.) | about.labels.key/value |
| url | extensions.vulns.vulnerabilites.about.url |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
| xref | about.labels.key/value |
Web
Nella tabella seguente sono elencati i campi di log e le mappature UDM corrispondenti per il set di dati Splunk Web:
| Campo log | Mappatura UDM |
|---|---|
| azione | security_result.action_details security_result.action |
| app | applicazione.target |
| byte | about.labels.key/value |
| byte_in | rete.ricevi_byte |
| byte_out | rete.sent_byte |
| memorizzato nella cache | about.labels.key/value |
| categoria | security_result.category_details |
| biscotto | about.labels.key/value |
| dest | target.ip, target.nomehost, target.labels.key/value |
| dest_bunit | target.labels.key/value |
| categoria_dest. | target.labels.key/value |
| priorità_dest | target.labels.key/value |
| dest_port | porta |
| duration | rete.sessione_durata |
| http_content_type | about.labels.key/value |
| http_method | metodo.http://rete |
| http_referrer | rete.http://referral_url |
| http_referrer_domain | about.labels.key/value |
| http_user_agent | rete.http://user_agent |
| http_user_agent_length | about.labels.key/value |
| tempo_di_risposta | about.labels.key/value |
| sito | about.labels.key/value |
| src | principal.ip, principal.hostname, principal.labels.key/value |
| src_bunit | principal.labels.key/value |
| categoria_src | principal.labels.key/value |
| priorità_src | principal.labels.key/value |
| stato | network.http://codice_risposta |
| tag (m.) | about.labels.key/value |
| percorso_URI | about.labels.key/value |
| query_uri | about.labels.key/value |
| url | about.url |
| dominio_url | about.asset.network_domain |
| url_length | about.labels.key/value |
| user | entità.user.user_display_name |
| user_bunit | about.labels.key/value |
| categoria_utente | principal.user.attribute.labels.key/value |
| priorità_utente | entità.user.attribute.label.key/value |
| fornitore_prodotto | about.labels.key/value |
Tipi di eventi UDM
Nella tabella seguente sono elencati i tag Splunk e i tipi di evento UDM corrispondenti:
| Modello dati | Tag Splunk | Tipo di evento UDM |
|---|---|---|
| Avvisi | avviso | AGGIORNAMENTO_STATO |
| Autenticazione | autenticazione | USER_UNCATEGORIZED |
| Certificato | certificato | NETWORK_UNCATEGORIZED |
| Modifica | cambia | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Accesso ai dati | dati, accesso | ACCESSO_RESOURCE_USER |
| Database | database | ACCESSO_RESOURCE_USER |
| Database | database, istanza, statistiche | AGGIORNAMENTO_STATO |
| Database | database, istanza, stato | AGGIORNAMENTO_STATO |
| Database | database, istanza, blocco | AGGIORNAMENTO_STATO |
| Database | database, query | AGGIORNAMENTO_STATO |
| Database | database, query, tabella | AGGIORNAMENTO_STATO |
| Database | database, query, statistiche | AGGIORNAMENTO_STATO |
| Prevenzione della perdita di dati | dlp, incidente | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| email, recapito | TRANSAZIONE_EMAIL | |
| Endpoint | ascolto, porta | SERVIZIO_NON SPECIFICATO |
| Endpoint | processo, segnalazione | PROCEDURA_UNCATEGORizzata |
| Endpoint | servizio, report | SERVIZIO_NON SPECIFICATO |
| Endpoint | endpoint, filesystem | FILE_UNCATEGORIZED |
| Endpoint | endpoint, registro | REGISTRY_UNCATEGORIZED |
| Firma dell'evento | firma_evento_traccia | AGGIORNAMENTO_STATO |
| Messaggistica tra processi | messaggistica | AGGIORNAMENTO_STATO |
| Rilevamento istruzioni | ID, attacco | SERVIZIO_NON SPECIFICATO |
| Inventario | inventario | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Macchina virtuale Java (JVM) | JVM | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | malware | AGGIORNAMENTO_STATO |
| Risoluzione di rete(DNS) | rete, risoluzione, dns | NETWORK_DNS |
| Sessioni di rete | rete, sessione | CONNESSIONE_RETE |
| Sessioni di rete | rete, sessione, dhcp | NETWORK_DHCP |
| Traffico di rete | rete, comunicare | CONNESSIONE_RETE |
| Prestazioni | prestazioni | SERVIZIO_NON SPECIFICATO |
| Log di controllo di Splunk | modazione | AGGIORNAMENTO_STATO |
| Gestione dei biglietti | vendita di biglietti | AGGIORNAMENTO_STATO |
| Gestione dei biglietti | biglietteria, cambio | AGGIORNAMENTO_STATO |
| Aggiornamenti | update | AGGIORNAMENTO_STATO |
| Vulnerabilità | report, vulnerabilità | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |