Splunk CIM ログを収集する
このドキュメントでは、Splunk と Google Security Operations フォワーダーを構成して、Splunk 共通情報モデル(CIM)ログを収集する方法について説明します。また、サポートされているログタイプとサポートされている Splunk バージョンについても説明します。
詳細については、Google Security Operations へのデータの取り込みをご覧ください。
概要
次のデプロイ アーキテクチャ図は、Google Security Operations にログを送信するように Splunk エージェントを構成する方法を示しています。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
アーキテクチャ図には、次のコンポーネントが示されています。
データソース: Splunk がインストールされているモニタリング対象のシステムです。
Splunk: データソースから情報を収集し、Google Security Operations フォワーダーに転送します。
Google Security Operations のフォワーダー: お客様のネットワークにデプロイして Google Security Operations にログを転送する軽量のソフトウェア コンポーネント
Google Security Operations: Fleet サーバーからのログを保持して分析します。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SPLUNK が付加されたパーサーに適用されます。
始める前に
Google Security Operations パーサーがサポートする Splunk バージョン 5.0 を使用します。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Splunk エージェントと Google Security Operations フォワーダーを構成する
Splunkbase から CIM に準拠したエージェントをインストールします。
ログを Google Security Operations システムに push するように Google Security Operations フォワーダーを構成します。Google Security Operations フォワーダーの構成の例を次に示します。
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Splunk 検索クエリの作成に関する考慮事項
Splunk には独自の検索言語があり、SQL に似ています。検索クエリに正しい構文を使用してください。クエリを作成する際は、次の検索特性を考慮してください。
エスケープ文字
文字列値に二重引用符 " が含まれている場合は、バックスラッシュ文字を使用して引用符をエスケープします。そうしないと、検索で文字列値の末尾が誤って解釈されます。
たとえば、文字列 WHERE _raw="The user "vpatel" isn't authenticated." を検索するには、シーケンス \" を使用してリテラルの二重引用符を検索する必要があります。
検索文字列を次の形式で記述します。
WHERE _raw="The user \"vpatel\" isn't authenticated."
バックスラッシュ文字 \ をエスケープするには、シーケンス \\ を使用してバックスラッシュを検索します。
たとえば、C:\user\abc のような文字列がある場合、C:\\user\\abc として記述する必要があります。
構文的に間違っている検索
クエリのセクションが無効な場合、クエリ全体が評価されず、エラー メッセージが表示されます。
クエリに検索モードのオプションがない次の例について考えてみましょう。
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
この例では、クエリに検索モードのオプションがありません。これにより、次のエラーが発生します。
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
複数のデータモデルのサポート
Splunk は、データモデルにまたがる単一の大規模なクエリをサポートします。次の検索クエリでは、複数のデータモデルからデータを抽出します。
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
データモデルにまたがるこのクエリのコンポーネントは次のとおりです。
Multisearch: クエリの先頭は multisearch にする必要があります。データモデルのクエリは角かっこ [ ] で囲み、パイプ | 文字で開始する必要があります。
Network_Traffic: データモデルの名前。
All_Traffic: Network_Traffic データモデルのデータセット。
flat: 検索モード。他のグループ アラート動作としては、search と acceleration_search があります。
複数のデータモデル検索には、次の Splunk クエリを使用することをおすすめします。
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
サポートされているログタイプとデータモデル
| Splunk データモデル | サポート対象 |
|---|---|
| アラート | ○ |
| アプリケーションのステータス(非推奨) | × |
| Authentication | ○ |
| 証明書 | ○ |
| 変更 | ○ |
| 変更分析(非推奨) | × |
| データアクセス | ○ |
| データベース | ○ |
| データ損失防止(DLP) | ○ |
| メール | ○ |
| エンドポイント | ○ |
| イベント署名 | ○ |
| プロセス間メッセージ | ○ |
| 侵入検知 | ○ |
| 在庫 | ○ |
| Java 仮想マシン(JVM) | ○ |
| マルウェア | ○ |
| ネットワーク解決(DNS) | ○ |
| ネットワーク セッション | ○ |
| ネットワーク トラフィック | ○ |
| パフォーマンス | ○ |
| Splunk 監査ログ | ○ |
| チケット管理 | ○ |
| 更新 | ○ |
| 脆弱性 | ○ |
| ウェブ | ○ |
フィールド マッピング リファレンス
このセクションでは、Google Security Operations パーサーが Splunk ログフィールドをデータセットの Google Security Operations Unified Data Model(UDM)フィールドにマッピングする方法について説明します。詳細については、バージョン 5.0.1 の Splunk のドキュメントをご覧ください。
アラート
次の表に、Splunk データセット Alerts のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アプリ | observer.application |
| 説明 | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| 重要度 | security_result.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_type | principal.resource.resource_type |
| タグ | about.labels.key/value(非推奨) additional.fields |
| type | security_result.alert_state |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value(非推奨) additional.fields |
| vendor_region | about.location.country_or_region |
Authentication
次の表に、Splunk データセット Authentication のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| アプリ | target.application |
| authentication_method | about.labels.key/value(非推奨) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_nt_domain | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_nt_domain | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_user_category | principal.labels.key/value(非推奨) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value(非推奨) additional.fields |
| src_user_role | principal.user.attribute.roles.name(繰り返し) |
| src_user_type | principal.user.attribute.roles.type |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name(繰り返し) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value(非推奨) additional.fields |
All_Certificates
次の表に、Splunk データセット All_Certificates のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value(非推奨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| 転送 | network.ip_protocol |
SSL
次の表に、Splunk データセット SSL のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value(非推奨) additional.fields |
| ssl_hash | about.labels.key/value(非推奨) additional.fields |
| ssl_is_valid | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_email | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_locality | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_organization | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_state | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_street | about.labels.key/value(非推奨) additional.fields |
| ssl_issuer_unit | about.labels.key/value(非推奨) additional.fields |
| ssl_name | about.labels.key/value(非推奨) additional.fields |
| ssl_policies | about.labels.key/value(非推奨) additional.fields |
| ssl_publickey | about.labels.key/value(非推奨) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value(非推奨) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value(非推奨) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_email | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_email_domain | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_locality | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_organization | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_state | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_street | about.labels.key/value(非推奨) additional.fields |
| ssl_subject_unit | about.labels.key/value(非推奨) additional.fields |
| ssl_validity_window | about.labels.key/value(非推奨) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
次の表に、Splunk データセット All_Changes のログフィールド、と対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| コマンド | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dvc | principal.asset.hostname、principal.asset.ip |
| オブジェクト | target.resource.name |
| object_attrs | about.labels.key/value(非推奨) additional.fields |
| object_category | about.labels.key/value(非推奨) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| 件の結果 | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| 設定されます。 | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name、target.labels.key/value |
| user_type | principal.user.attribute.roles.type、target.user.attribute.roles.type |
| vendor_account | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
次の表に、Splunk データセット Account_Management のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_user_category | principal.labels.key/value(非推奨) additional.fields |
| src_user_priority | principal.labels.key/value(非推奨) additional.fields |
| src_user_name | principal.labels.key/value(非推奨) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
次の表に、Splunk データセット Instance_Changes のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value(非推奨) additional.fields |
network_Changes
次の表に、Splunk データセット network_Changes のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest_ip_range | target.labels.key/value(非推奨) additional.fields |
| dest_port_range | target.labels.key/value(非推奨) additional.fields |
| 方向 | network.direction |
| プロトコル | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value(非推奨) additional.fields |
| src_port_range | principal.labels.key/value(非推奨) additional.fields |
Data_Access
次の表に、Splunk データセット Data_Access のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| アプリ | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname、principal.asset.ip |
| principal.user.email_addresses | |
| オブジェクト | target.resource.name |
| object_category | about.labels.key/value(非推奨) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| owner | about.labels.key/value(非推奨) additional.fields |
| owner_email | about.labels.key/value(非推奨) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value(非推奨) additional.fields |
| parent_object_category | about.labels.key/value(非推奨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| tenant_id | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name(繰り返し) |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| vendor_product_id | about.labels.key/value(非推奨) additional.fields |
All_Databases
次の表に、Splunk データセット All_Databases のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| オブジェクト | target.resource.name |
| response_time | about.labels.key/value(非推奨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
Database_Instance
次の表に、Splunk データセット Database_Instance のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value(非推奨) additional.fields |
| session_limit | about.labels.key/value(非推奨) additional.fields |
Database_Query
次の表に、Splunk データセット Database_Query のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| クエリ | about.labels.key/value(非推奨) additional.fields |
| query_id | about.labels.key/value(非推奨) additional.fields |
| query_time | about.labels.key/value(非推奨) additional.fields |
| records_affected | about.labels.key/value(非推奨) additional.fields |
Instance_Stats
次の表に、Splunk データセット Instance_Stats のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| を実現 | about.labels.key/value(非推奨) additional.fields |
| avg_executions | about.labels.key/value(非推奨) additional.fields |
| dump_area_used | about.labels.key/value(非推奨) additional.fields |
| instance_reads | about.labels.key/value(非推奨) additional.fields |
| instance_writes | about.labels.key/value(非推奨) additional.fields |
| number_of_users | about.labels.key/value(非推奨) additional.fields |
| プロセスの自動化 | about.labels.key/value(非推奨) additional.fields |
| セッション | about.labels.key/value(非推奨) additional.fields |
| sga_buffer_cache_size | about.labels.key/value(非推奨) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value(非推奨) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value(非推奨) additional.fields |
| sga_fixed_area_size | about.labels.key/value(非推奨) additional.fields |
| sga_free_memory | about.labels.key/value(非推奨) additional.fields |
| sga_library_cache_size | about.labels.key/value(非推奨) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value(非推奨) additional.fields |
| sga_shared_pool_size | about.labels.key/value(非推奨) additional.fields |
| sga_sql_area_size | about.labels.key/value(非推奨) additional.fields |
| start_time | about.labels.key/value(非推奨) additional.fields |
| tablespace_used | about.labels.key/value(非推奨) additional.fields |
Session_Info
次の表に、Splunk データセット Session_Info のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value(非推奨) additional.fields |
| commit | about.labels.key/value(非推奨) additional.fields |
| cpu_used | about.labels.key/value(非推奨) additional.fields |
| cursor | about.labels.key/value(非推奨) additional.fields |
| elapsed_time | about.labels.key/value(非推奨) additional.fields |
| logical_reads | about.labels.key/value(非推奨) additional.fields |
| machine | about.hostname |
| memory_sorts | about.labels.key/value(非推奨) additional.fields |
| physical_reads | about.labels.key/value(非推奨) additional.fields |
| seconds_in_wait | about.labels.key/value(非推奨) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value(非推奨) additional.fields |
| table_scans | about.labels.key/value(非推奨) additional.fields |
| wait_state | about.labels.key/value(非推奨) additional.fields |
| wait_time | about.labels.key/value(非推奨) additional.fields |
Lock_Info
次の表に、Splunk データセット Lock_Info のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| last_call_minute | about.labels.key/value(非推奨) additional.fields |
| lock_mode | about.labels.key/value(非推奨) additional.fields |
| lock_session_id | about.labels.key/value(非推奨) additional.fields |
| logon_time | about.labels.key/value(非推奨) additional.fields |
| obj_name | about.labels.key/value(非推奨) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
次の表に、Splunk データセット Tablespace のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value(非推奨) additional.fields |
| tablespace_status | about.labels.key/value(非推奨) additional.fields |
| tablespace_writes | about.labels.key/value(非推奨) additional.fields |
Query_Stats
次の表に、Splunk データセット Query_Stats のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| indexes_hit | about.labels.key/value(非推奨) additional.fields |
| query_plan_hit | about.labels.key/value(非推奨) additional.fields |
| stored_procedures_called | about.labels.key/value(非推奨) additional.fields |
| tables_hit | about.labels.key/value(非推奨) additional.fields |
DLP_Incidents
次の表に、Splunk データセット DLP_Incidents のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| アプリ | target.application |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value(非推奨) additional.fields |
| dvc | principal.asset.hostname、principal.asset.ip |
| dvc_bunit | about.labels.key/value(非推奨) additional.fields |
| dvc_category | about.labels.key/value(非推奨) additional.fields |
| dvc_priority | about.labels.key/value(非推奨) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| オブジェクト | target.resource.name |
| object_category | about.labels.key/value(非推奨) additional.fields |
| object_path | target.file.full_path |
| 重要度 | security_result.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_user_category | principal.labels.key/value(非推奨) additional.fields |
| src_user_priority | principal.labels.key/value(非推奨) additional.fields |
| src_zone | principal.location.country_or_origin |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
All_Email
次の表に、Splunk データセット All_Email のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| delay | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256、about.file.md5、about.file.sha1 |
| file_name | about.labels.key/value(非推奨) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value(非推奨) additional.fields |
| orig_dest | target.labels.key/value(非推奨) additional.fields |
| orig_recipient | about.labels.key/value(非推奨) additional.fields |
| orig_src | network.email.from |
| プロセス | principal.process.command_line |
| process_id | principal.process.pid |
| プロトコル | network.application_protocol |
| recipient | network.email.to |
| recipient_count | about.labels.key/value(非推奨) additional.fields |
| recipient_domain | about.labels.key/value(非推奨) additional.fields |
| recipient_status | about.labels.key/value(非推奨) additional.fields |
| response_time | about.labels.key/value(非推奨) additional.fields |
| retries | about.labels.key/value(非推奨) additional.fields |
| return_addr | about.labels.key/value(非推奨) additional.fields |
| サイズ | about.labels.key/value(非推奨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_user_category | principal.labels.key/value(非推奨) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value(非推奨) additional.fields |
| status_code | about.labels.key/value(非推奨) additional.fields |
| subject | network.email.subject(repeated) |
| タグ | about.labels.key/value(非推奨) additional.fields |
| url | about.url |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| xdelay | about.labels.key/value(非推奨) additional.fields |
| xref | about.labels.key/value(非推奨) additional.fields |
フィルタリング
次の表に、Splunk データセット Filtering のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| filter_action | about.labels.key/value(非推奨) additional.fields |
| filter_score | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_extra | about.labels.key/value(非推奨) additional.fields |
| signature_id | metadata.product_event_type |
ポート
次の表に、Splunk データセット Ports のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| creation_time | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| dest_should_timesync | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value(非推奨) additional.fields |
| src_should_timesync | principal.labels.key/value(非推奨) additional.fields |
| src_should_update | principal.labels.key/value(非推奨) additional.fields |
| state | about.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| 転送 | network.ip_protocol |
| transport_dest_port | target.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
プロセス
次の表に、Splunk データセット Processes のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_is_expected | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| dest_should_timesync | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| mem_used | about.labels.key/value(非推奨) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value(非推奨) additional.fields |
| parent_process_exec | about.labels.key/value(非推奨) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value(非推奨) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| プロセス | about.labels.key/value(非推奨) additional.fields |
| process_current_directory | about.labels.key/value(非推奨) additional.fields |
| process_exec | about.labels.key/value(非推奨) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
Service
次の表に、Splunk データセット Services のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| 説明 | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_is_expected | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| dest_should_timesync | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| service | target.application |
| service_dll | about.labels.key/value(非推奨) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value(非推奨) additional.fields |
| service_dll_signature_exists | about.labels.key/value(非推奨) additional.fields |
| service_dll_signature_verified | about.labels.key/value(非推奨) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value(非推奨) additional.fields |
| service_id | about.labels.key/value(非推奨) additional.fields |
| service_name | about.labels.key/value(非推奨) additional.fields |
| service_path | about.labels.key/value(非推奨) additional.fields |
| service_signature_exists | about.labels.key/value(非推奨) additional.fields |
| service_signature_verified | about.labels.key/value(非推奨) additional.fields |
| start_mode | about.labels.key/value(非推奨) additional.fields |
| 設定されます。 | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
ファイル システム
次の表に、Splunk データセット Filesystem のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| dest_should_timesync | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| file_access_time | about.labels.key/value(非推奨) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256、target.file.md5、target.file.sha1 |
| file_modify_time | about.labels.key/value(非推奨) additional.fields |
| file_name | about.labels.key/value(非推奨) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value(非推奨) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
レジストリ
次の表に、Splunk データセット Registry のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| dest_should_timesync | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value(非推奨) additional.fields |
| registry_path | about.labels.key/value(非推奨) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value(非推奨) additional.fields |
| registry_value_type | about.labels.key/value(非推奨) additional.fields |
| 設定されます。 | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
署名
次の表に、Splunk データセット Signatures のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| タグ | about.labels.key/value(非推奨) additional.fields |
Signatures_vendor_product
次の表に、Splunk データセット Signatures_vendor_product のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| vendor_product | about.labels.key/value(非推奨) additional.fields |
All_Interprocess_Messaging
次の表は、Splunk データセット All_Interprocess_Messaging のログフィールドと対応する UDM マッピングを示しています。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| エンドポイント | about.labels.key/value(非推奨) additional.fields |
| endpoint_version | about.labels.key/value(非推奨) additional.fields |
| メッセージ | about.labels.key/value(非推奨) additional.fields |
| message_consumed_time | about.labels.key/value(非推奨) additional.fields |
| message_correlation_id | about.labels.key/value(非推奨) additional.fields |
| message_delivered_time | about.labels.key/value(非推奨) additional.fields |
| message_delivery_mode | about.labels.key/value(非推奨) additional.fields |
| message_expiration_time | about.labels.key/value(非推奨) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value(非推奨) additional.fields |
| message_properties | about.labels.key/value(非推奨) additional.fields |
| message_received_time | about.labels.key/value(非推奨) additional.fields |
| message_redelivered | about.labels.key/value(非推奨) additional.fields |
| message_reply_dest | target.labels.key/value(非推奨) additional.fields |
| message_type | about.labels.key/value(非推奨) additional.fields |
| パラメータ | about.labels.key/value(非推奨) additional.fields |
| payload | about.labels.key/value(非推奨) additional.fields |
| payload_type | about.labels.key/value(非推奨) additional.fields |
| request_payload | about.labels.key/value(非推奨) additional.fields |
| request_payload_type | about.labels.key/value(非推奨) additional.fields |
| request_sent_time | about.labels.key/value(非推奨) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value(非推奨) additional.fields |
| response_received_time | about.labels.key/value(非推奨) additional.fields |
| response_time | about.labels.key/value(非推奨) additional.fields |
| return_message | about.labels.key/value(非推奨) additional.fields |
| rpc_protocol | network.application_protocol |
| ステータス | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
IDS_Attacks
次の表に、Splunk データセット IDS_Attacks のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| category | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dvc | principal.asset.hostname、principal.asset.ip |
| dvc_bunit | about.labels.key/value(非推奨) additional.fields |
| dvc_category | about.labels.key/value(非推奨) additional.fields |
| dvc_priority | about.labels.key/value(非推奨) additional.fields |
| file_hash | target.file.sha256、target.file.md5、target.file.sha1 |
| file_name | about.labels.key/value(非推奨) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value(非推奨) additional.fields |
| 低減することや | security_result.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_port | principal.port |
| タグ | about.labels.key/value(非推奨) additional.fields |
| 転送 | network.ip_protocol |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
DS_Attacks
次の表に、Splunk データセット DS_Attacks のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest_port | target.port |
All_Inventory
次の表に、Splunk データセット All_Inventory のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| 説明 | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| ファミリー | about.labels.key/value(非推奨) additional.fields |
| hypervisor_id | about.labels.key/value(非推奨) additional.fields |
| serial | principal.asset.hardware.serial_number |
| ステータス | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| バージョン | about.labels.key/value(非推奨) additional.fields |
CPU
次の表に、Splunk データセット CPU のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value(非推奨) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value(非推奨) additional.fields |
| cpu_time | about.labels.key/value(非推奨) additional.fields |
| cpu_user_percent | about.labels.key/value(非推奨) additional.fields |
メモリ
次の表に、Splunk データセット Memory のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| メモリ | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value(非推奨) additional.fields |
| heap_initial | about.labels.key/value(非推奨) additional.fields |
| heap_max | about.labels.key/value(非推奨) additional.fields |
| heap_used | about.labels.key/value(非推奨) additional.fields |
| non_heap_committed | about.labels.key/value(非推奨) additional.fields |
| non_heap_initial | about.labels.key/value(非推奨) additional.fields |
| non_heap_max | about.labels.key/value(非推奨) additional.fields |
| non_heap_used | about.labels.key/value(非推奨) additional.fields |
| objects_pending | about.labels.key/value(非推奨) additional.fields |
| メモリ | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value(非推奨) additional.fields |
| mem_free | about.labels.key/value(非推奨) additional.fields |
| mem_used | about.labels.key/value(非推奨) additional.fields |
| スワップ | about.labels.key/value(非推奨) additional.fields |
| swap_free | about.labels.key/value(非推奨) additional.fields |
| swap_used | about.labels.key/value(非推奨) additional.fields |
ネットワーク
次の表に、Splunk データセット network のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value(非推奨) additional.fields |
| inline_nat | about.labels.key/value(非推奨) additional.fields |
| インターフェース | about.labels.key/value(非推奨) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value(非推奨) additional.fields |
| mac | principal.asset.mac |
| name | principal.resource.name |
| ノード | about.labels.key/value(非推奨) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value(非推奨) additional.fields |
| thruput | about.labels.key/value(非推奨) additional.fields |
| thruput_max | about.labels.key/value(非推奨) additional.fields |
OS
次の表に、Splunk データセット OS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value(非推奨) additional.fields |
| cpu_time | about.labels.key/value(非推奨) additional.fields |
| free_physical_memory | about.labels.key/value(非推奨) additional.fields |
| free_swap | about.labels.key/value(非推奨) additional.fields |
| max_file_descriptors | about.labels.key/value(非推奨) additional.fields |
| open_file_descriptors | about.labels.key/value(非推奨) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value(非推奨) additional.fields |
| os_version | about.labels.key/value(非推奨) additional.fields |
| physical_memory | about.labels.key/value(非推奨) additional.fields |
| swap_space | about.labels.key/value(非推奨) additional.fields |
| system_load | about.labels.key/value(非推奨) additional.fields |
| total_processors | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
Storage
次の表に、Splunk データセット Storage のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| 配列 | about.labels.key/value(非推奨) additional.fields |
| blocksize | about.labels.key/value(非推奨) additional.fields |
| クラスタ | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value(非推奨) additional.fields |
| 遅延 | about.labels.key/value(非推奨) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| 親 | principal.resource.parent |
| read_blocks | about.labels.key/value(非推奨) additional.fields |
| read_latency | about.labels.key/value(非推奨) additional.fields |
| read_ops | about.labels.key/value(非推奨) additional.fields |
| storage | about.labels.key/value(非推奨) additional.fields |
| write_blocks | about.labels.key/value(非推奨) additional.fields |
| write_latency | about.labels.key/value(非推奨) additional.fields |
| write_ops | about.labels.key/value(非推奨) additional.fields |
| 配列 | about.labels.key/value(非推奨) additional.fields |
| blocksize | about.labels.key/value(非推奨) additional.fields |
| クラスタ | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value(非推奨) additional.fields |
| fd_used | about.labels.key/value(非推奨) additional.fields |
| 遅延 | about.labels.key/value(非推奨) additional.fields |
| mount | about.labels.key/value(非推奨) additional.fields |
| 親 | principal.resource.parent |
| read_blocks | about.labels.key/value(非推奨) additional.fields |
| read_latency | about.labels.key/value(非推奨) additional.fields |
| read_ops | about.labels.key/value(非推奨) additional.fields |
| storage | about.labels.key/value(非推奨) additional.fields |
| storage_free | about.labels.key/value(非推奨) additional.fields |
| storage_free_percent | about.labels.key/value(非推奨) additional.fields |
| storage_used | about.labels.key/value(非推奨) additional.fields |
| storage_used_percent | about.labels.key/value(非推奨) additional.fields |
| write_blocks | about.labels.key/value(非推奨) additional.fields |
| write_latency | about.labels.key/value(非推奨) additional.fields |
| write_ops | about.labels.key/value(非推奨) additional.fields |
| error_code | security_result.description |
| オペレーション | about.labels.key/value(非推奨) additional.fields |
| storage_name | about.resource.name |
ユーザー
次の表に、Splunk データセット User のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| interactive | about.labels.key/value(非推奨) additional.fields |
| パスワード | about.labels.key/value(非推奨) additional.fields |
| shell | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
次の表に、Splunk データセット Virtual_OS のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| ハイパーバイザ | about.labels.key/value(非推奨) additional.fields |
スナップショット
次の表に、Splunk データセット Snapshot のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| size | about.file.size |
| スナップショット | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
JVM
次の表に、Splunk データセット JVM のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| jvm_description | security_result.description |
| タグ | about.labels.key/value(非推奨) additional.fields |
スレッド化
次の表に、Splunk データセット Threading のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| cm_enabled | about.labels.key/value(非推奨) additional.fields |
| cm_supported | about.labels.key/value(非推奨) additional.fields |
| cpu_time_enabled | about.labels.key/value(非推奨) additional.fields |
| cpu_time_supported | about.labels.key/value(非推奨) additional.fields |
| current_cpu_time | about.labels.key/value(非推奨) additional.fields |
| current_user_time | about.labels.key/value(非推奨) additional.fields |
| daemon_thread_count | about.labels.key/value(非推奨) additional.fields |
| omu_supported | about.labels.key/value(非推奨) additional.fields |
| peak_thread_count | about.labels.key/value(非推奨) additional.fields |
| synch_supported | about.labels.key/value(非推奨) additional.fields |
| thread_count | about.labels.key/value(非推奨) additional.fields |
| threads_started | about.labels.key/value(非推奨) additional.fields |
ランタイム
次の表に、Splunk データセット Runtime のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| バージョン | about.labels.key/value(非推奨) additional.fields |
Compilation
次の表に、Splunk データセット Compilation のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| compilation_time | about.labels.key/value(非推奨) additional.fields |
Classloading
次の表に、Splunk データセット Classloading のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| current_loaded | about.labels.key/value(非推奨) additional.fields |
| total_loaded | about.labels.key/value(非推奨) additional.fields |
| total_unloaded | about.labels.key/value(非推奨) additional.fields |
Malware_Attacks
次の表に、Splunk データセット Malware_Attacks に対するログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| category | security_result.category_details |
| date | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| file_hash | target.file.sha256、target.file.md5、target.file.sha1 |
| file_name | about.labels.key/value(非推奨) additional.fields |
| file_path | target.file.full_path |
| 重要度 | security_result.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_user | principal.user.user_display_name |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
Malware_Operations
次の表に、Splunk データセット Malware_Operations のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_nt_domain | target.labels.key/value(非推奨) additional.fields |
| dest_nt_domain | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_requires_av | target.labels.key/value(非推奨) additional.fields |
| product_version | about.labels.key/value(非推奨) additional.fields |
| signature_version | security_result.rule_version |
| タグ | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
Malware_Operations
次の表に、Splunk データセット Malware_Operations のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest_category | target.labels.key/value(非推奨) additional.fields |
DNS
次の表に、Splunk データセット DNS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| additional_answer_count | about.labels.key/value(非推奨) additional.fields |
| answer | network.dns.answer.data |
| answer_count | about.labels.key/value(非推奨) additional.fields |
| authority_answer_count | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value(非推奨) additional.fields |
| name | about.labels.key/value(非推奨) additional.fields |
| クエリ | network.dns.questions.name |
| query_count | about.labels.key/value(非推奨) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value(非推奨) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value(非推奨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| transaction_id | network.dns.id |
| 転送 | network.ip_protocol |
| ttl | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
All_Sessions
次の表に、Splunk データセット All_Sessions のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_dns | target.labels.key/value(非推奨) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_dns | principal.labels.key/value(非推奨) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
DHCP
次の表に、Splunk データセット DHCP のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value(非推奨) additional.fields |
All_Traffic
次の表に、Splunk データセット All_Traffic のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| アプリ | network.application_protocol |
| バイト | about.labels.key/value(非推奨) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_interface | target.labels.key/value(非推奨) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| 方向 | network.direction |
| duration | network.session_duration |
| dvc | principal.asset.hostname、principal.asset.ip |
| dvc_bunit | about.labels.key/value(非推奨) additional.fields |
| dvc_category | about.labels.key/value(非推奨) additional.fields |
| dvc_ip | about.labels.key/value(非推奨) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value(非推奨) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value(非推奨) additional.fields |
| icmp_code | about.labels.key/value(非推奨) additional.fields |
| icmp_type | about.labels.key/value(非推奨) additional.fields |
| packets | about.labels.key/value(非推奨) additional.fields |
| packets_in | about.labels.key/value(非推奨) additional.fields |
| packets_out | about.labels.key/value(非推奨) additional.fields |
| プロトコル | about.labels.key/value(非推奨) additional.fields |
| protocol_version | about.labels.key/value(非推奨) additional.fields |
| response_time | about.labels.key/value(非推奨) additional.fields |
| ルール | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_interface | principal.labels.key/value(非推奨) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| tcp_flag | about.labels.key/value(非推奨) additional.fields |
| 転送 | network.ip_protocol |
| tos | about.labels.key/value(非推奨) additional.fields |
| ttl | network.dns.additional.ttl |
| user | principal.user.userid |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| vlan | about.labels.key/value(非推奨) additional.fields |
| Wi-Fi | about.labels.key/value(非推奨) additional.fields |
All_Performance
次の表に、Splunk データセット All_Performance のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_should_timesync | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| hypervisor_id | about.labels.key/value(非推奨) additional.fields |
| resource_type | about.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
トイレ
次の表に、Splunk データセット Facilities のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| fan_speed | about.labels.key/value(非推奨) additional.fields |
| power | about.labels.key/value(非推奨) additional.fields |
| 温度 | about.labels.key/value(非推奨) additional.fields |
Timesync
次の表に、Splunk データセット Timesync のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
稼働率
次の表に、Splunk データセット Uptime のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
View_Activity
次の表に、Splunk データセット View_Activity のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アプリ | target.application |
| spent | about.labels.key/value(非推奨) additional.fields |
| uri | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| ビュー | about.labels.key/value(非推奨) additional.fields |
Datamodel_Acceleration
次の表に、Splunk データセット Datamodel_Acceleration のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| access_count | about.labels.key/value(非推奨) additional.fields |
| access_time | about.labels.key/value(非推奨) additional.fields |
| app | target.application |
| バケット | about.labels.key/value(非推奨) additional.fields |
| buckets_size | about.labels.key/value(非推奨) additional.fields |
| 完了 | about.labels.key/value(非推奨) additional.fields |
| cron | about.labels.key/value(非推奨) additional.fields |
| datamodel | about.labels.key/value(非推奨) additional.fields |
| ダイジェスト | about.labels.key/value(非推奨) additional.fields |
| earliest | about.labels.key/value(非推奨) additional.fields |
| is_inprogress | about.labels.key/value(非推奨) additional.fields |
| last_error | about.labels.key/value(非推奨) additional.fields |
| last_sid | about.labels.key/value(非推奨) additional.fields |
| 最新 | about.labels.key/value(非推奨) additional.fields |
| mod_time | about.labels.key/value(非推奨) additional.fields |
| 保持 | about.labels.key/value(非推奨) additional.fields |
| サイズ | about.file.size |
| summary_id | about.labels.key/value(非推奨) additional.fields |
Search_Activity
次の表に、Splunk データセット Search_Activity のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| ホスト | about.hostname |
| 情報 | about.labels.key/value(非推奨) additional.fields |
| 検索 | about.labels.key/value(非推奨) additional.fields |
| search_et | about.labels.key/value(非推奨) additional.fields |
| search_lt | about.labels.key/value(非推奨) additional.fields |
| search_type | about.labels.key/value(非推奨) additional.fields |
| source | principal.labels.key/value(非推奨) additional.fields |
| sourcetype | principal.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
次の表に、Splunk データセット Scheduler_Activity のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アプリ | target.application |
| ホスト | about.hostname |
| savedsearch_name | about.labels.key/value(非推奨) additional.fields |
| sid | about.labels.key/value(非推奨) additional.fields |
| source | principal.labels.key/value(非推奨) additional.fields |
| sourcetype | principal.labels.key/value(非推奨) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| ステータス | security_result.summary |
| user | principal.user.user_display_name |
Web_Service_Errors
次の表に、Splunk データセット Web_Service_Errors のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| ホスト | about.hostname |
| source | principal.labels.key/value(非推奨) additional.fields |
| sourcetype | principal.labels.key/value(非推奨) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
次の表に、Splunk データセット Modular_Actions のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| action_mode | about.labels.key/value(非推奨) additional.fields |
| action_status | about.labels.key/value(非推奨) additional.fields |
| app | target.application |
| duration | network.session_duration |
| コンポーネント | about.labels.key/value(非推奨) additional.fields |
| orig_rid | about.labels.key/value(非推奨) additional.fields |
| orig_sid | about.labels.key/value(非推奨) additional.fields |
| rid | about.labels.key/value(非推奨) additional.fields |
| search_name | about.labels.key/value(非推奨) additional.fields |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value(非推奨) additional.fields |
| user | about.labels.key/value(非推奨) additional.fields |
All_Ticket_Management
次の表に、Splunk データセット All_Ticket_Management のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| affect_dest | target.labels.key/value(非推奨) additional.fields |
| comments | about.labels.key/value(非推奨) additional.fields |
| 説明 | security_result.description |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| priority | security_result.priority_details |
| 重要度 | security_result.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| splunk_id | about.labels.key/value(非推奨) additional.fields |
| splunk_realm | about.labels.key/value(非推奨) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_user_category | principal.labels.key/value(非推奨) additional.fields |
| src_user_priority | principal.labels.key/value(非推奨) additional.fields |
| 設定されます。 | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
変更
次の表は、Splunk データセット Change のログフィールドと対応する UDM マッピングを示しています。
| ログフィールド | UDM マッピング |
|---|---|
| 変更 | about.labels.key/value(非推奨) additional.fields |
インシデント
次の表に、Splunk データセット Incident のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| インシデント | about.labels.key/value(非推奨) additional.fields |
問題
次の表は、Splunk データセット Problem のログフィールドと対応する UDM マッピングを示しています。
| ログフィールド | UDM マッピング |
|---|---|
| problem | about.labels.key/value(非推奨) additional.fields |
更新
次の表に、Splunk データセット Updates のログフィールドと対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_should_update | target.labels.key/value(非推奨) additional.fields |
| dvc | principal.asset.hostname、principal.asset.ip |
| file_hash | target.file.sha256、target.file.md5、target.file.sha1 |
| file_name | about.labels.key/value(非推奨) additional.fields |
| 低減することや | security_result.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| ステータス | security_result.summary |
| タグ | about.labels.key/value(非推奨) additional.fields |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
脆弱性
次の表は、ログフィールドと、Splunk データセット Vulnerabilities のログフィールドと対応する UDM マッピングを示しています。
| ログフィールド | UDM マッピング |
|---|---|
| bugtraq | about.labels.key/value(非推奨) additional.fields |
| category | security_result.category_details |
| cert | about.labels.key/value(非推奨) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dvc | principal.asset.hostname、principal.asset.ip |
| dvc_bunit | about.labels.key/value(非推奨) additional.fields |
| dvc_category | about.labels.key/value(非推奨) additional.fields |
| dvc_priority | about.labels.key/value(非推奨) additional.fields |
| msft | about.labels.key/value(非推奨) additional.fields |
| mskb | about.labels.key/value(非推奨) additional.fields |
| 低減することや | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value(非推奨) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| タグ | about.labels.key/value(非推奨) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| user | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
| xref | about.labels.key/value(非推奨) additional.fields |
ウェブ
次の表に、Splunk データセット Web のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| アクション | security_result.action_details security_result.action |
| アプリ | target.application |
| バイト | about.labels.key/value(非推奨) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| cached | about.labels.key/value(非推奨) additional.fields |
| category | security_result.category_details |
| クッキー | about.labels.key/value(非推奨) additional.fields |
| dest | target.ip target.hostname target.labels.key/value(非推奨) |
| dest_bunit | target.labels.key/value(非推奨) additional.fields |
| dest_category | target.labels.key/value(非推奨) additional.fields |
| dest_priority | target.labels.key/value(非推奨) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value(非推奨) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value(非推奨) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value(非推奨) additional.fields |
| response_time | about.labels.key/value(非推奨) additional.fields |
| サイト | about.labels.key/value(非推奨) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value(非推奨) |
| src_bunit | principal.labels.key/value(非推奨) additional.fields |
| src_category | principal.labels.key/value(非推奨) additional.fields |
| src_priority | principal.labels.key/value(非推奨) additional.fields |
| 設定されます。 | network.http.response_code |
| タグ | about.labels.key/value(非推奨) additional.fields |
| uri_path | about.labels.key/value(非推奨) additional.fields |
| uri_query | about.labels.key/value(非推奨) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value(非推奨) additional.fields |
| user | principal.user.user_display_name |
| user_bunit | about.labels.key/value(非推奨) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value(非推奨) additional.fields |
UDM イベントタイプ
次の表に、Splunk のタグと対応する UDM イベントタイプを示します。
| データモデル | Splunk のタグ | UDM イベントタイプ |
|---|---|---|
| アラート | アラート | STATUS_UPDATE |
| Authentication | 認証 | USER_UNCATEGORIZED |
| 証明書 | 証明書 | NETWORK_UNCATEGORIZED |
| 変更 | 変更 | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| データアクセス | data、access | USER_RESOURCE_ACCESS |
| データベース | database | USER_RESOURCE_ACCESS |
| データベース | database、instance、stats | STATUS_UPDATE |
| データベース | database、instance、status | STATUS_UPDATE |
| データベース | database、instance、lock | STATUS_UPDATE |
| データベース | database、query | STATUS_UPDATE |
| データベース | database、query、tablespace | STATUS_UPDATE |
| データベース | database、query、stats | STATUS_UPDATE |
| データ損失防止(DLP) | dlp、incident | SCAN_UNCATEGORIZED |
| メール | EMAIL_UNCATEGORIZED | |
| メール | email、delivery | EMAIL_TRANSACTION |
| エンドポイント | listening、port | SERVICE_UNSPECIFIED |
| エンドポイント | process、report | PROCESS_UNCATEGORIZED |
| エンドポイント | service、report | SERVICE_UNSPECIFIED |
| エンドポイント | endpoint、filesystem | FILE_UNCATEGORIZED |
| エンドポイント | endpoint、registry | REGISTRY_UNCATEGORIZED |
| イベント署名 | track_event_signature | STATUS_UPDATE |
| プロセス間メッセージ | メッセージング | STATUS_UPDATE |
| 侵入検知 | ids、attack | SERVICE_UNSPECIFIED |
| 在庫 | inventory | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Java 仮想マシン(JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| マルウェア | 不正なソフトウェア | STATUS_UPDATE |
| ネットワーク解決(DNS) | network、resolution、dns | NETWORK_DNS |
| ネットワーク セッション | network、session | NETWORK_CONNECTION |
| ネットワーク セッション | network、session、dhcp | NETWORK_DHCP |
| ネットワーク トラフィック | network、communicate | NETWORK_CONNECTION |
| パフォーマンス | パフォーマンス | SERVICE_UNSPECIFIED |
| Splunk 監査ログ | modaction | STATUS_UPDATE |
| チケット管理 | ticketing | STATUS_UPDATE |
| チケット管理 | ticketing、change | STATUS_UPDATE |
| 更新 | update | STATUS_UPDATE |
| 脆弱性 | report、vulnerabilites | SCAN_UNCATEGORIZED |
| ウェブ | web | NETWORK_UNCATEGORIZED |