Coletar registros do CIM do Splunk
Neste documento, descrevemos como coletar registros do modelo de informações comuns (CIM, na sigla em inglês) do Splunk configurando o Splunk e um encaminhador de operações de segurança do Google. Também listamos os tipos de registro e as versões compatíveis do Splunk.
Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google.
Visão geral
O diagrama da arquitetura de implantação a seguir mostra como os agentes do Splunk são configurados para enviar registros às Operações de segurança do Google. Cada implantação do cliente pode ser diferente dessa representação e pode ser mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Origem de dados: o sistema a ser monitorado em que o Splunk está instalado.
Splunk: coleta informações da fonte de dados e as encaminha para o encaminhador de Operações de segurança do Google.
Encaminhador de Google Security Operations: um componente de software leve, implantado na rede do cliente para encaminhar os registros às Operações de segurança do Google.
Google Security Operations: retém e analisa os registros do servidor da frota.
Um rótulo de ingestão identifica o analisador que normaliza os dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão SPLUNK.
Antes de começar
Usar o Splunk versão 5.0 compatível com o analisador de Operações de segurança do Google.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Configurar um agente do Splunk e um encaminhador de Operações de segurança do Google
Instale um agente compatível com CIM a partir do Splunkbase.
Configure um encaminhador das Operações de segurança do Google.
Configure o encaminhador de Operações de segurança do Google para enviar os registros ao sistema de Operações de Segurança do Google. Veja a seguir um exemplo de configuração de encaminhador das Operações de segurança do Google:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Considerações para criar consultas de pesquisa do Splunk
O Splunk tem uma linguagem de pesquisa própria, que é semelhante ao SQL. Use a sintaxe correta para sua consulta de pesquisa. Ao criar uma consulta, considere as seguintes características de pesquisa:
Caractere de escape
Se o valor de uma string tiver aspas duplas ", use barras invertidas para fazer o escape das aspas. Caso contrário, a pesquisa interpretará incorretamente o final do valor da string.
Por exemplo: para pesquisar uma string WHERE _raw="The user "vpatel" isn't authenticated.",
é necessário usar a sequência \" para procurar aspas duplas literais.
Escreva a string de pesquisa no seguinte formato:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Para fazer o escape de um caractere de barra invertida \ , use a sequência \\.
Por exemplo, se houver uma string como C:\user\abc, ela precisará ser escrita como C:\\user\\abc.
Pesquisa sintática incorreta
Se uma seção da consulta for inválida, a consulta inteira não será avaliada e uma mensagem de erro será exibida.
Considere o seguinte exemplo em que a opção de modo de pesquisa está ausente na consulta:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
Neste exemplo, a opção de modo de pesquisa está ausente na consulta. Isso resulta no seguinte erro:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Suporte para vários modelos de dados
O Splunk dá suporte a uma única consulta grande que abrange modelos de dados. A consulta de pesquisa a seguir extrai dados de vários modelos de dados:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Estes são os componentes dessa consulta que abrangem modelos de dados:
Multisearch: a consulta precisa começar com a palavra multisearch. Uma consulta a um modelo de dados precisa estar entre colchetes [ ] e começar com uma barra vertical |.
Network_Traffic: o nome do modelo de dados.
All_Traffic: conjunto de dados do modelo de dados Network_Traffic.
flat: modo de pesquisa. As outras opções são search e acceleration_search.
Recomendamos usar a seguinte consulta do Splunk para pesquisa de vários modelos de dados:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Tipos de registro e modelos de dados compatíveis
| Modelo de dados Splunk | Compatível |
|---|---|
| Alertas | Sim |
| Estado do aplicativo (descontinuado) | No |
| Authentication | Sim |
| Certificados | Sim |
| Alterar | Sim |
| Análise de mudanças (descontinuado) | No |
| Acesso aos dados | Sim |
| Bancos de dados | Sim |
| Prevenção contra perda de dados | Sim |
| Sim | |
| Endpoint | Sim |
| Assinaturas de eventos | Sim |
| Mensagens entre processos | Sim |
| Detecção de intrusões | Sim |
| Inventário | Sim |
| Máquinas virtuais Java (JVM) | Sim |
| Malware | Sim |
| Resolução de rede (DNS) | Sim |
| Sessões de rede | Sim |
| Tráfego de rede | Sim |
| Desempenho | Sim |
| Registros de auditoria do Splunk | Sim |
| Gerenciamento de tíquetes | Sim |
| Atualizações | Sim |
| Vulnerabilidades | Sim |
| Web | Sim |
Referência de mapeamento de campo
Esta seção explica como o analisador das Operações de segurança do Google mapeia os campos de registro do Splunk para os campos do Modelo de dados unificado (UDM) do Google Security Operations para os conjuntos de dados. Para mais informações, consulte o documento do Splunk para a versão 5.0.1.
Alertas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os alertas do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| app | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_type | principal.resource.resource_type |
| tag | about.labels.key/value (descontinuado) additional.fields |
| Tipo | security_result.alert_state |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
| vendor_region | about.location.country_or_region |
Autenticação
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Authentication:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| authentication_method | about.labels.key/value (descontinuado) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_nt_domain | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user_role | principal.user.attribute.roles.name (repetido) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (repetido) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
All_Certificates
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Certificates do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
SSL
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o SSL do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (descontinuado) additional.fields |
| ssl_hash | about.labels.key/value (descontinuado) additional.fields |
| ssl_is_valid | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_email | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_locality | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_organization | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_state | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_street | about.labels.key/value (descontinuado) additional.fields |
| ssl_issuer_unit | about.labels.key/value (descontinuado) additional.fields |
| ssl_name | about.labels.key/value (descontinuado) additional.fields |
| ssl_policies | about.labels.key/value (descontinuado) additional.fields |
| ssl_publickey | about.labels.key/value (descontinuado) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (descontinuado) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (descontinuado) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_email | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_locality | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_organization | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_state | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_street | about.labels.key/value (descontinuado) additional.fields |
| ssl_subject_unit | about.labels.key/value (descontinuado) additional.fields |
| ssl_validity_window | about.labels.key/value (descontinuado) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Changes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| model". | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| DVD | principal.asset.hostname, principal.asset.ip |
| objeto | target.resource.name |
| object_attrs | about.labels.key/value (descontinuado) additional.fields |
| object_category | about.labels.key/value (descontinuado) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| result | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados do Splunk Account_Management:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user_name | principal.labels.key/value (descontinuado) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Instance_Changes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (descontinuado) additional.fields |
network_Changes
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados network_Changes do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_ip_range | target.labels.key/value (descontinuado) additional.fields |
| dest_port_range | target.labels.key/value (descontinuado) additional.fields |
| direction | network.direction |
| protocolo | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (descontinuado) additional.fields |
| src_port_range | principal.labels.key/value (descontinuado) additional.fields |
Data_Access
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados do Splunk Data_Access:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| DVD | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| objeto | target.resource.name |
| object_category | about.labels.key/value (descontinuado) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| proprietário | about.labels.key/value (descontinuado) additional.fields |
| owner_email | about.labels.key/value (descontinuado) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (descontinuado) additional.fields |
| parent_object_category | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| tenant_id | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (repetido) |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| vendor_product_id | about.labels.key/value (descontinuado) additional.fields |
All_Databases
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Databases:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| objeto | target.resource.name |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Database_Instance
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados do Splunk Database_Instance:
| Campo de registro | Mapeamento de UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (descontinuado) additional.fields |
| session_limit | about.labels.key/value (descontinuado) additional.fields |
Database_Query
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Database_Query:
| Campo de registro | Mapeamento de UDM |
|---|---|
| consulta | about.labels.key/value (descontinuado) additional.fields |
| query_id | about.labels.key/value (descontinuado) additional.fields |
| query_time | about.labels.key/value (descontinuado) additional.fields |
| records_affected | about.labels.key/value (descontinuado) additional.fields |
Instance_Stats
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Instance_Stats:
| Campo de registro | Mapeamento de UDM |
|---|---|
| Disponibilidade | about.labels.key/value (descontinuado) additional.fields |
| avg_executions | about.labels.key/value (descontinuado) additional.fields |
| dump_area_used | about.labels.key/value (descontinuado) additional.fields |
| instance_reads | about.labels.key/value (descontinuado) additional.fields |
| instance_writes | about.labels.key/value (descontinuado) additional.fields |
| number_of_users | about.labels.key/value (descontinuado) additional.fields |
| processes | about.labels.key/value (descontinuado) additional.fields |
| sessões | about.labels.key/value (descontinuado) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (descontinuado) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (descontinuado) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (descontinuado) additional.fields |
| sga_fixed_area_size | about.labels.key/value (descontinuado) additional.fields |
| sga_free_memory | about.labels.key/value (descontinuado) additional.fields |
| sga_library_cache_size | about.labels.key/value (descontinuado) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (descontinuado) additional.fields |
| sga_shared_pool_size | about.labels.key/value (descontinuado) additional.fields |
| sga_sql_area_size | about.labels.key/value (descontinuado) additional.fields |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| tablespace_used | about.labels.key/value (descontinuado) additional.fields |
Session_Info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Session_Info do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (descontinuado) additional.fields |
| confirmações | about.labels.key/value (descontinuado) additional.fields |
| cpu_used | about.labels.key/value (descontinuado) additional.fields |
| cursor | about.labels.key/value (descontinuado) additional.fields |
| elapsed_time | about.labels.key/value (descontinuado) additional.fields |
| logical_reads | about.labels.key/value (descontinuado) additional.fields |
| máquina | about.hostname |
| memory_sorts | about.labels.key/value (descontinuado) additional.fields |
| physical_reads | about.labels.key/value (descontinuado) additional.fields |
| seconds_in_wait | about.labels.key/value (descontinuado) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (descontinuado) additional.fields |
| table_scans | about.labels.key/value (descontinuado) additional.fields |
| wait_state | about.labels.key/value (descontinuado) additional.fields |
| wait_time | about.labels.key/value (descontinuado) additional.fields |
Lock_Info
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Lock_Info:
| Campo de registro | Mapeamento de UDM |
|---|---|
| last_call_minute | about.labels.key/value (descontinuado) additional.fields |
| lock_mode | about.labels.key/value (descontinuado) additional.fields |
| lock_session_id | about.labels.key/value (descontinuado) additional.fields |
| logon_time | about.labels.key/value (descontinuado) additional.fields |
| obj_name | about.labels.key/value (descontinuado) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Espaço de mesa
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o Tablespace do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (descontinuado) additional.fields |
| tablespace_status | about.labels.key/value (descontinuado) additional.fields |
| tablespace_writes | about.labels.key/value (descontinuado) additional.fields |
Query_Stats
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Query_Stats:
| Campo de registro | Mapeamento de UDM |
|---|---|
| indexes_hit | about.labels.key/value (descontinuado) additional.fields |
| query_plan_hit | about.labels.key/value (descontinuado) additional.fields |
| stored_procedures_called | about.labels.key/value (descontinuado) additional.fields |
| tables_hit | about.labels.key/value (descontinuado) additional.fields |
DLP_Incidents
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados DLP_Incidents do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| categoria | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (descontinuado) additional.fields |
| DVD | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| objeto | target.resource.name |
| object_category | about.labels.key/value (descontinuado) additional.fields |
| object_path | target.file.full_path |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Email
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Email:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| delay | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (descontinuado) additional.fields |
| orig_dest | target.labels.key/value (descontinuado) additional.fields |
| orig_recipient | about.labels.key/value (descontinuado) additional.fields |
| orig_src | network.email.from |
| difusão reversa que restaura | principal.process.command_line |
| process_id | principal.process.pid |
| protocolo | network.application_protocol |
| destinatário | network.email.to |
| recipient_count | about.labels.key/value (descontinuado) additional.fields |
| recipient_domain | about.labels.key/value (descontinuado) additional.fields |
| recipient_status | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| retries | about.labels.key/value (descontinuado) additional.fields |
| return_addr | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| status_code | about.labels.key/value (descontinuado) additional.fields |
| subject | network.email.subject(repeated) |
| tag | about.labels.key/value (descontinuado) additional.fields |
| url | about.url |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| atraso x | about.labels.key/value (descontinuado) additional.fields |
| ref.x | about.labels.key/value (descontinuado) additional.fields |
Filtragem
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a filtragem do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| filter_action | about.labels.key/value (descontinuado) additional.fields |
| filter_score | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_extra | about.labels.key/value (descontinuado) additional.fields |
| signature_id | metadata.product_event_type |
Portas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as portas do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| creation_time | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (descontinuado) additional.fields |
| src_should_timesync | principal.labels.key/value (descontinuado) additional.fields |
| src_should_update | principal.labels.key/value (descontinuado) additional.fields |
| state | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
| transport_dest_port | target.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Processos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os processos do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_is_expected | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| mem_used | about.labels.key/value (descontinuado) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (descontinuado) additional.fields |
| parent_process_exec | about.labels.key/value (descontinuado) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (descontinuado) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| difusão reversa que restaura | about.labels.key/value (descontinuado) additional.fields |
| process_current_directory | about.labels.key/value (descontinuado) additional.fields |
| process_exec | about.labels.key/value (descontinuado) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Serviços
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os serviços do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_is_expected | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| externo | target.application |
| service_dll | about.labels.key/value (descontinuado) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (descontinuado) additional.fields |
| service_dll_signature_exists | about.labels.key/value (descontinuado) additional.fields |
| service_dll_signature_verified | about.labels.key/value (descontinuado) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (descontinuado) additional.fields |
| service_id | about.labels.key/value (descontinuado) additional.fields |
| service_name | about.labels.key/value (descontinuado) additional.fields |
| service_path | about.labels.key/value (descontinuado) additional.fields |
| service_signature_exists | about.labels.key/value (descontinuado) additional.fields |
| service_signature_verified | about.labels.key/value (descontinuado) additional.fields |
| start_mode | about.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Sistema de arquivos
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o sistema de arquivos do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| file_access_time | about.labels.key/value (descontinuado) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (descontinuado) additional.fields |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (descontinuado) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Registro
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o registro do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (descontinuado) additional.fields |
| registry_path | about.labels.key/value (descontinuado) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (descontinuado) additional.fields |
| registry_value_type | about.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Assinaturas
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as assinaturas do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (descontinuado) additional.fields |
Signatures_vendor_product
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Signatures_vendor_product:
| Campo de registro | Mapeamento de UDM |
|---|---|
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Interprocess_Messaging
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Interprocess_Messaging:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| endpoint | about.labels.key/value (descontinuado) additional.fields |
| endpoint_version | about.labels.key/value (descontinuado) additional.fields |
| mensagem | about.labels.key/value (descontinuado) additional.fields |
| message_consumed_time | about.labels.key/value (descontinuado) additional.fields |
| message_correlation_id | about.labels.key/value (descontinuado) additional.fields |
| message_delivered_time | about.labels.key/value (descontinuado) additional.fields |
| message_delivery_mode | about.labels.key/value (descontinuado) additional.fields |
| message_expiration_time | about.labels.key/value (descontinuado) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (descontinuado) additional.fields |
| message_properties | about.labels.key/value (descontinuado) additional.fields |
| message_received_time | about.labels.key/value (descontinuado) additional.fields |
| message_redelivered | about.labels.key/value (descontinuado) additional.fields |
| message_reply_dest | target.labels.key/value (descontinuado) additional.fields |
| message_type | about.labels.key/value (descontinuado) additional.fields |
| parâmetros | about.labels.key/value (descontinuado) additional.fields |
| payload | about.labels.key/value (descontinuado) additional.fields |
| payload_type | about.labels.key/value (descontinuado) additional.fields |
| request_payload | about.labels.key/value (descontinuado) additional.fields |
| request_payload_type | about.labels.key/value (descontinuado) additional.fields |
| request_sent_time | about.labels.key/value (descontinuado) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (descontinuado) additional.fields |
| response_received_time | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| return_message | about.labels.key/value (descontinuado) additional.fields |
| rpc_protocol | network.application_protocol |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
IDS_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados IDS_Attacks do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| DVD | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (descontinuado) additional.fields |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
DS_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados DS_Attacks do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_port | target.port |
All_Inventory
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Inventory do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| ativado | about.labels.key/value (descontinuado) additional.fields |
| família | about.labels.key/value (descontinuado) additional.fields |
| hypervisor_id | about.labels.key/value (descontinuado) additional.fields |
| serial | principal.asset.hardware.serial_number |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| versão | about.labels.key/value (descontinuado) additional.fields |
CPU
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a CPU do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (descontinuado) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (descontinuado) additional.fields |
| cpu_time | about.labels.key/value (descontinuado) additional.fields |
| cpu_user_percent | about.labels.key/value (descontinuado) additional.fields |
Memória
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a memória do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (descontinuado) additional.fields |
| heap_initial | about.labels.key/value (descontinuado) additional.fields |
| heap_max | about.labels.key/value (descontinuado) additional.fields |
| heap_used | about.labels.key/value (descontinuado) additional.fields |
| non_heap_committed | about.labels.key/value (descontinuado) additional.fields |
| non_heap_initial | about.labels.key/value (descontinuado) additional.fields |
| non_heap_max | about.labels.key/value (descontinuado) additional.fields |
| non_heap_used | about.labels.key/value (descontinuado) additional.fields |
| objects_pending | about.labels.key/value (descontinuado) additional.fields |
| mem | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (descontinuado) additional.fields |
| mem_free | about.labels.key/value (descontinuado) additional.fields |
| mem_used | about.labels.key/value (descontinuado) additional.fields |
| swap | about.labels.key/value (descontinuado) additional.fields |
| swap_free | about.labels.key/value (descontinuado) additional.fields |
| swap_used | about.labels.key/value (descontinuado) additional.fields |
rede
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a rede do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (descontinuado) additional.fields |
| inline_nat | about.labels.key/value (descontinuado) additional.fields |
| Interface | about.labels.key/value (descontinuado) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (descontinuado) additional.fields |
| mac | principal.asset.mac |
| nome | principal.resource.name |
| nó | about.labels.key/value (descontinuado) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (descontinuado) additional.fields |
| thruput | about.labels.key/value (descontinuado) additional.fields |
| thruput_max | about.labels.key/value (descontinuado) additional.fields |
SO
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o SO do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (descontinuado) additional.fields |
| cpu_time | about.labels.key/value (descontinuado) additional.fields |
| free_physical_memory | about.labels.key/value (descontinuado) additional.fields |
| free_swap | about.labels.key/value (descontinuado) additional.fields |
| max_file_descriptors | about.labels.key/value (descontinuado) additional.fields |
| open_file_descriptors | about.labels.key/value (descontinuado) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (descontinuado) additional.fields |
| os_version | about.labels.key/value (descontinuado) additional.fields |
| physical_memory | about.labels.key/value (descontinuado) additional.fields |
| swap_space | about.labels.key/value (descontinuado) additional.fields |
| system_load | about.labels.key/value (descontinuado) additional.fields |
| total_processors | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
Armazenamento
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o armazenamento do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| matriz | about.labels.key/value (descontinuado) additional.fields |
| tamanho do bloco | about.labels.key/value (descontinuado) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (descontinuado) additional.fields |
| latência | about.labels.key/value (descontinuado) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (descontinuado) additional.fields |
| read_latency | about.labels.key/value (descontinuado) additional.fields |
| read_ops | about.labels.key/value (descontinuado) additional.fields |
| storage | about.labels.key/value (descontinuado) additional.fields |
| write_blocks | about.labels.key/value (descontinuado) additional.fields |
| write_latency | about.labels.key/value (descontinuado) additional.fields |
| write_ops | about.labels.key/value (descontinuado) additional.fields |
| matriz | about.labels.key/value (descontinuado) additional.fields |
| tamanho do bloco | about.labels.key/value (descontinuado) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (descontinuado) additional.fields |
| fd_used | about.labels.key/value (descontinuado) additional.fields |
| latência | about.labels.key/value (descontinuado) additional.fields |
| mount | about.labels.key/value (descontinuado) additional.fields |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (descontinuado) additional.fields |
| read_latency | about.labels.key/value (descontinuado) additional.fields |
| read_ops | about.labels.key/value (descontinuado) additional.fields |
| storage | about.labels.key/value (descontinuado) additional.fields |
| storage_free | about.labels.key/value (descontinuado) additional.fields |
| storage_free_percent | about.labels.key/value (descontinuado) additional.fields |
| storage_used | about.labels.key/value (descontinuado) additional.fields |
| storage_used_percent | about.labels.key/value (descontinuado) additional.fields |
| write_blocks | about.labels.key/value (descontinuado) additional.fields |
| write_latency | about.labels.key/value (descontinuado) additional.fields |
| write_ops | about.labels.key/value (descontinuado) additional.fields |
| error_code | security_result.description |
| operação | about.labels.key/value (descontinuado) additional.fields |
| storage_name | about.resource.name |
Usuário
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o usuário do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| interativo | about.labels.key/value (descontinuado) additional.fields |
| senha | about.labels.key/value (descontinuado) additional.fields |
| shell | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Virtual_OS:
| Campo de registro | Mapeamento de UDM |
|---|---|
| hipervisor | about.labels.key/value (descontinuado) additional.fields |
Snapshot
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o instantâneo do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| tamanho | about.file.size |
| snapshot | about.labels.key/value (descontinuado) additional.fields |
| tempo | about.labels.key/value (descontinuado) additional.fields |
JVM
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a JVM do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| jvm_description | security_result.description |
| tag | about.labels.key/value (descontinuado) additional.fields |
Linha de execução
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o Threading do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| cm_enabled | about.labels.key/value (descontinuado) additional.fields |
| cm_supported | about.labels.key/value (descontinuado) additional.fields |
| cpu_time_enabled | about.labels.key/value (descontinuado) additional.fields |
| cpu_time_supported | about.labels.key/value (descontinuado) additional.fields |
| current_cpu_time | about.labels.key/value (descontinuado) additional.fields |
| current_user_time | about.labels.key/value (descontinuado) additional.fields |
| daemon_thread_count | about.labels.key/value (descontinuado) additional.fields |
| omu_supported | about.labels.key/value (descontinuado) additional.fields |
| peak_thread_count | about.labels.key/value (descontinuado) additional.fields |
| synch_supported | about.labels.key/value (descontinuado) additional.fields |
| thread_count | about.labels.key/value (descontinuado) additional.fields |
| threads_started | about.labels.key/value (descontinuado) additional.fields |
Ambiente de execução
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o ambiente de execução do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (descontinuado) additional.fields |
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| versão | about.labels.key/value (descontinuado) additional.fields |
Compilação
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a compilação do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| compilation_time | about.labels.key/value (descontinuado) additional.fields |
Carregamento de classe
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Classloading:
| Campo de registro | Mapeamento de UDM |
|---|---|
| current_loaded | about.labels.key/value (descontinuado) additional.fields |
| total_loaded | about.labels.key/value (descontinuado) additional.fields |
| total_unloaded | about.labels.key/value (descontinuado) additional.fields |
Malware_Attacks
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Attacks do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| categoria | security_result.category_details |
| date | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| file_path | target.file.full_path |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Malware_Operations
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Operations do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
| dest_nt_domain | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_requires_av | target.labels.key/value (descontinuado) additional.fields |
| product_version | about.labels.key/value (descontinuado) additional.fields |
| signature_version | security_result.rule_version |
| tag | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Malware_Operations
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Malware_Operations do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest_category | target.labels.key/value (descontinuado) additional.fields |
DNS
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o DNS do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| additional_answer_count | about.labels.key/value (descontinuado) additional.fields |
| answer | network.dns.answer.data |
| answer_count | about.labels.key/value (descontinuado) additional.fields |
| authority_answer_count | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| message_type | about.labels.key/value (descontinuado) additional.fields |
| nome | about.labels.key/value (descontinuado) additional.fields |
| consulta | network.dns.questions.name |
| query_count | about.labels.key/value (descontinuado) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (descontinuado) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| transaction_id | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
All_Sessions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados All_Sessions do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_dns | target.labels.key/value (descontinuado) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| duration | network.session_duration |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_dns | principal.labels.key/value (descontinuado) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
DHCP
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o DHCP do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (descontinuado) additional.fields |
All_Traffic
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Traffic:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | network.application_protocol |
| bytes | about.labels.key/value (descontinuado) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_interface | target.labels.key/value (descontinuado) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| duration | network.session_duration |
| DVD | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_ip | about.labels.key/value (descontinuado) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (descontinuado) additional.fields |
| icmp_code | about.labels.key/value (descontinuado) additional.fields |
| icmp_type | about.labels.key/value (descontinuado) additional.fields |
| pacotes | about.labels.key/value (descontinuado) additional.fields |
| packets_in | about.labels.key/value (descontinuado) additional.fields |
| packets_out | about.labels.key/value (descontinuado) additional.fields |
| protocolo | about.labels.key/value (descontinuado) additional.fields |
| protocol_version | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| regra | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_interface | principal.labels.key/value (descontinuado) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| Ssid | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
| tcp_flag | about.labels.key/value (descontinuado) additional.fields |
| transport | network.ip_protocol |
| tos | about.labels.key/value (descontinuado) additional.fields |
| ttl | network.dns.additional.ttl |
| usuário | principal.user.userid |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| vlan | about.labels.key/value (descontinuado) additional.fields |
| Wi-Fi | about.labels.key/value (descontinuado) additional.fields |
All_Performance
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Performance:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_should_timesync | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| hypervisor_id | about.labels.key/value (descontinuado) additional.fields |
| resource_type | about.labels.key/value (descontinuado) additional.fields |
| tag | about.labels.key/value (descontinuado) additional.fields |
Banheiros
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes do conjunto de dados do Splunk Facilities:
| Campo de registro | Mapeamento de UDM |
|---|---|
| fan_speed | about.labels.key/value (descontinuado) additional.fields |
| power | about.labels.key/value (descontinuado) additional.fields |
| temperatura | about.labels.key/value (descontinuado) additional.fields |
Sincronização de tempo
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Timesync:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
Tempo de atividade
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o tempo de atividade do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| tempo de atividade | about.labels.key/value (descontinuado) additional.fields |
View_Activity
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk View_Activity:
| Campo de registro | Mapeamento de UDM |
|---|---|
| app | target.application |
| gasto | about.labels.key/value (descontinuado) additional.fields |
| uri | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| visualização | about.labels.key/value (descontinuado) additional.fields |
Datamodel_Acceleration
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Datamodel_Acceleration:
| Campo de registro | Mapeamento de UDM |
|---|---|
| access_count | about.labels.key/value (descontinuado) additional.fields |
| access_time | about.labels.key/value (descontinuado) additional.fields |
| app | target.application |
| buckets | about.labels.key/value (descontinuado) additional.fields |
| buckets_size | about.labels.key/value (descontinuado) additional.fields |
| concluído | about.labels.key/value (descontinuado) additional.fields |
| cron | about.labels.key/value (descontinuado) additional.fields |
| modelo de dados | about.labels.key/value (descontinuado) additional.fields |
| resumo | about.labels.key/value (descontinuado) additional.fields |
| mais antiga | about.labels.key/value (descontinuado) additional.fields |
| is_inprogress | about.labels.key/value (descontinuado) additional.fields |
| last_error | about.labels.key/value (descontinuado) additional.fields |
| last_sid | about.labels.key/value (descontinuado) additional.fields |
| mais recente | about.labels.key/value (descontinuado) additional.fields |
| mod_time | about.labels.key/value (descontinuado) additional.fields |
| e grupos | about.labels.key/value (descontinuado) additional.fields |
| tamanho | about.file.size |
| summary_id | about.labels.key/value (descontinuado) additional.fields |
Search_Activity
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Search_Activity:
| Campo de registro | Mapeamento de UDM |
|---|---|
| host | about.hostname |
| informações | about.labels.key/value (descontinuado) additional.fields |
| pesquisar | about.labels.key/value (descontinuado) additional.fields |
| search_et | about.labels.key/value (descontinuado) additional.fields |
| search_lt | about.labels.key/value (descontinuado) additional.fields |
| search_type | about.labels.key/value (descontinuado) additional.fields |
| source | principal.labels.key/value (descontinuado) additional.fields |
| tipo de origem | principal.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Scheduler_Activity:
| Campo de registro | Mapeamento de UDM |
|---|---|
| app | target.application |
| host | about.hostname |
| savedsearch_name | about.labels.key/value (descontinuado) additional.fields |
| sid | about.labels.key/value (descontinuado) additional.fields |
| source | principal.labels.key/value (descontinuado) additional.fields |
| tipo de origem | principal.labels.key/value (descontinuado) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| status | security_result.summary |
| usuário | principal.user.user_display_name |
Web_Service_Errors
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Web_Service_Errors:
| Campo de registro | Mapeamento de UDM |
|---|---|
| host | about.hostname |
| source | principal.labels.key/value (descontinuado) additional.fields |
| tipo de origem | principal.labels.key/value (descontinuado) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados Modular_Actions do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| action_mode | about.labels.key/value (descontinuado) additional.fields |
| action_status | about.labels.key/value (descontinuado) additional.fields |
| app | target.application |
| duration | network.session_duration |
| componente | about.labels.key/value (descontinuado) additional.fields |
| orig_rid | about.labels.key/value (descontinuado) additional.fields |
| orig_sid | about.labels.key/value (descontinuado) additional.fields |
| rid | about.labels.key/value (descontinuado) additional.fields |
| search_name | about.labels.key/value (descontinuado) additional.fields |
| action_name | security_result.action_details |
| signature | metadata.description |
| sid | about.labels.key/value (descontinuado) additional.fields |
| usuário | about.labels.key/value (descontinuado) additional.fields |
All_Ticket_Management
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk All_Ticket_Management:
| Campo de registro | Mapeamento de UDM |
|---|---|
| affect_dest | target.labels.key/value (descontinuado) additional.fields |
| comentários | about.labels.key/value (descontinuado) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| prioridade | security_result.priority_details |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| splunk_id | about.labels.key/value (descontinuado) additional.fields |
| splunk_realm | about.labels.key/value (descontinuado) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_user_category | principal.labels.key/value (descontinuado) additional.fields |
| src_user_priority | principal.labels.key/value (descontinuado) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Mudar
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a Mudança do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| alterar | about.labels.key/value (descontinuado) additional.fields |
Incidente
A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o incidente do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| incidente | about.labels.key/value (descontinuado) additional.fields |
Problema
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o problema do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| problema | about.labels.key/value (descontinuado) additional.fields |
Atualizações
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as atualizações do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_should_update | target.labels.key/value (descontinuado) additional.fields |
| DVD | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (descontinuado) additional.fields |
| gravidade, | security_result.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| status | security_result.summary |
| tag | about.labels.key/value (descontinuado) additional.fields |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Vulnerabilidades
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para as vulnerabilidades do conjunto de dados do Splunk:
| Campo de registro | Mapeamento de UDM |
|---|---|
| Bugtraq | about.labels.key/value (descontinuado) additional.fields |
| categoria | security_result.category_details |
| cert | about.labels.key/value (descontinuado) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| DVD | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (descontinuado) additional.fields |
| dvc_category | about.labels.key/value (descontinuado) additional.fields |
| dvc_priority | about.labels.key/value (descontinuado) additional.fields |
| msft | about.labels.key/value (descontinuado) additional.fields |
| mskb | about.labels.key/value (descontinuado) additional.fields |
| gravidade, | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (descontinuado) additional.fields |
| signature | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (descontinuado) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| usuário | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
| ref.x | about.labels.key/value (descontinuado) additional.fields |
Web
A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o conjunto de dados do Splunk Web:
| Campo de registro | Mapeamento de UDM |
|---|---|
| ação | security_result.action_details security_result.action |
| app | target.application |
| bytes | about.labels.key/value (descontinuado) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| em cache | about.labels.key/value (descontinuado) additional.fields |
| categoria | security_result.category_details |
| biscoito | about.labels.key/value (descontinuado) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (descontinuado) |
| dest_bunit | target.labels.key/value (descontinuado) additional.fields |
| dest_category | target.labels.key/value (descontinuado) additional.fields |
| dest_priority | target.labels.key/value (descontinuado) additional.fields |
| dest_port | target.port |
| duration | network.session_duration |
| http_content_type | about.labels.key/value (descontinuado) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (descontinuado) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (descontinuado) additional.fields |
| response_time | about.labels.key/value (descontinuado) additional.fields |
| site | about.labels.key/value (descontinuado) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (descontinuado) |
| src_bunit | principal.labels.key/value (descontinuado) additional.fields |
| src_category | principal.labels.key/value (descontinuado) additional.fields |
| src_priority | principal.labels.key/value (descontinuado) additional.fields |
| status | network.http.response_code |
| tag | about.labels.key/value (descontinuado) additional.fields |
| uri_path | about.labels.key/value (descontinuado) additional.fields |
| uri_query | about.labels.key/value (descontinuado) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (descontinuado) additional.fields |
| usuário | principal.user.user_display_name |
| user_bunit | about.labels.key/value (descontinuado) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (descontinuado) additional.fields |
Tipos de evento de UDM
A tabela a seguir lista as tags do Splunk e os tipos de evento de UDM correspondentes:
| Modelo de dados | Tags do Splunk | Tipo de evento de UDM |
|---|---|---|
| Alertas | alerta | STATUS_UPDATE |
| Authentication | authentication | USER_UNCATEGORIZED |
| Certificado | certificado | NETWORK_UNCATEGORIZED |
| Alterar | alterar | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Acesso aos dados | dados, acessar | USER_RESOURCE_ACCESS |
| Bancos de dados | database | USER_RESOURCE_ACCESS |
| Bancos de dados | banco de dados, instância, estatísticas | STATUS_UPDATE |
| Bancos de dados | banco de dados, instância, status | STATUS_UPDATE |
| Bancos de dados | banco de dados, instância, bloqueio | STATUS_UPDATE |
| Bancos de dados | banco de dados, consulta | STATUS_UPDATE |
| Bancos de dados | banco de dados, consulta, tablespace | STATUS_UPDATE |
| Bancos de dados | banco de dados, consulta, estatísticas | STATUS_UPDATE |
| Prevenção contra perda de dados | dlp, incidente | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| e-mail, entrega | EMAIL_TRANSACTION | |
| Endpoint | escuta, porta | SERVICE_UNSPECIFIED |
| Endpoint | processo, relatório | PROCESS_UNCATEGORIZED |
| Endpoint | serviço, relatório | SERVICE_UNSPECIFIED |
| Endpoint | endpoint, sistema de arquivos | FILE_UNCATEGORIZED |
| Endpoint | endpoint, registro | REGISTRY_UNCATEGORIZED |
| Assinatura do evento | track_event_signature | STATUS_UPDATE |
| Mensagens entre processos | envio de mensagem | STATUS_UPDATE |
| Detecção de instruções | IDs, ataque | SERVICE_UNSPECIFIED |
| Inventário | inventário | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Máquina virtual Java (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | malware | STATUS_UPDATE |
| Resolução de rede(DNS) | rede, resolução, dns | NETWORK_DNS |
| Sessões de rede | rede, sessão | NETWORK_CONNECTION |
| Sessões de rede | rede, sessão, dhcp | NETWORK_DHCP |
| Tráfego de rede | rede, se comunicar | NETWORK_CONNECTION |
| Desempenho | desempenho | SERVICE_UNSPECIFIED |
| Registros de auditoria do Splunk | modificação | STATUS_UPDATE |
| Gerenciamento de tíquetes | venda de ingressos | STATUS_UPDATE |
| Gerenciamento de tíquetes | venda de ingressos, alterar | STATUS_UPDATE |
| Atualizações | update | STATUS_UPDATE |
| Vulnerabilidades | relatório, vulnerabilidades | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |