Esta página foi traduzida pela API Cloud Translation.

Recolha registos CIM do Splunk

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher registos do Common Information Model (CIM) do Splunk configurando o Splunk e um encaminhador do Google Security Operations. Este documento também lista os tipos de registos suportados e as versões do Splunk suportadas.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Vista geral

O diagrama de arquitetura de implementação seguinte mostra como os agentes do Splunk estão configurados para enviar registos para o Google Security Operations. Cada implementação do cliente pode ser diferente desta representação e pode ser mais complexa.

Arquitetura de implementação

O diagrama de arquitetura mostra os seguintes componentes:

Origem de dados: o sistema a ser monitorizado no qual o Splunk está instalado.
Splunk: recolhe informações da origem de dados e encaminha-as para o encaminhador do Google Security Operations.
Encaminhador do Google Security Operations: um componente de software simples implementado na rede do cliente para encaminhar os registos para o Google Security Operations.
Google Security Operations: retém e analisa os registos do servidor da frota.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento SPLUNK.

Antes de começar

Use a versão 5.0 do Splunk suportada pelo analisador do Google Security Operations.
Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.

Configure um agente Splunk e um encaminhador do Google Security Operations

Configure o Splunk Enterprise.
Instale um agente compatível com CIM a partir do Splunkbase.
Configure um encaminhador do Google Security Operations.

Configure o encaminhador do Google Security Operations para enviar os registos para o sistema do Google Security Operations. Segue-se um exemplo de uma configuração de encaminhador do Google Security Operations:

  - splunk:
      common:
        enabled: true
        data_type: SPLUNK
        batch_n_seconds: 10
        batch_n_bytes: 819200
      url: <SPLUNK_URL>
      query_cim: true
      is_ignore_cert: true
      query_string: datamodel Network_Traffic All_Traffic flat

Considerações para escrever consultas de pesquisa do Splunk

O Splunk tem a sua própria linguagem de pesquisa, que é semelhante à SQL. Certifique-se de que usa a sintaxe correta para a sua consulta de pesquisa. Considere as seguintes caraterísticas de pesquisa quando criar uma consulta:

Caráter de escape

Se um valor de string contiver um caráter de aspas duplas ", use carateres de barra invertida para escapar ao caráter de aspas. Caso contrário, a pesquisa interpreta incorretamente o fim do valor da string.

Por exemplo: para pesquisar uma string WHERE _raw="The user "vpatel" isn't authenticated.", tem de usar a sequência \" para pesquisar aspas literais.

Escreva a string de pesquisa no seguinte formato:

WHERE _raw="The user \"vpatel\" isn't authenticated."

Para escapar a um caráter de barra invertida \ , use a sequência \\ para pesquisar uma barra invertida.

Por exemplo, se existir uma string como C:\user\abc, tem de ser escrita como C:\\user\\abc.

Pesquisa sintaticamente incorreta

Se uma secção da consulta for inválida, toda a consulta não é avaliada e é apresentada uma mensagem de erro.

Considere o seguinte exemplo em que a opção de modo de pesquisa está em falta na consulta:

multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]

Neste exemplo, a opção de modo de pesquisa está em falta na consulta. Isto resulta no seguinte erro:

Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.

Suporte para vários modelos de dados

O Splunk suporta uma única consulta grande que abrange modelos de dados. A seguinte consulta de pesquisa extrai dados de vários modelos de dados:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Seguem-se os componentes desta consulta que abrange modelos de dados:

Multisearch: a consulta tem de começar com a palavra multisearch. Uma consulta para um modelo de dados tem de estar entre parênteses retos [ ] e começar com um caráter de barra vertical |.

Network_Traffic: o nome do modelo de dados.

All_Traffic: conjunto de dados do modelo de dados Network_Traffic.

flat: modo de pesquisa. As outras opções são search e acceleration_search.

Recomendamos que use a seguinte consulta Splunk para a pesquisa de vários modelos de dados:

multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]

Tipos de registos e modelos de dados suportados

Modelo de dados do Splunk	Suportado
Alertas	Sim
Estado da aplicação (descontinuado)	Não
Autenticação	Sim
Certificados	Sim
Alterar	Sim
Análise de alterações (descontinuada)	Não
Acesso aos dados	Sim
Bases de dados	Sim
Prevenção contra a perda de dados	Sim
Email	Sim
Ponto final	Sim
Assinaturas de eventos	Sim
Mensagens entre processos	Sim
Deteção de intrusão	Sim
Inventário	Sim
Máquinas virtuais Java (JVM)	Sim
Software malicioso	Sim
Resolução de rede (DNS)	Sim
Sessões de rede	Sim
Tráfego de rede	Sim
Desempenho	Sim
Registos de auditoria do Splunk	Sim
Gestão de pedidos	Sim
Atualizações	Sim
Vulnerabilidades	Sim
Web	Sim

Formatos de registos CIM do Splunk suportados

O analisador CIM do Splunk suporta registos no formato JSON.

Registos de exemplo do CIM do Splunk suportados

JSON

{
  "Channel": "Microsoft-Windows-Sysmon/Operational",
  "Computer": "dhcp-ad01.testdhcp2.local",
  "EventChannel": "Microsoft-Windows-Sysmon/Operational",
  "EventCode": "5",
  "EventData_Xml": "<Data Name='RuleName'>-<\\/Data><Data Name='UtcTime'>2021-10-22 06:38:15.540<\\/Data><Data Name='ProcessGuid'>{8AE2CCCF-5C56-6172-84FE-000000001500}<\\/Data><Data Name='ProcessId'>5616<\\/Data><Data Name='Image'>C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe<\\/Data>",
  "EventDescription": "Process terminated",
  "EventID": "5",
  "EventRecordID": "157268",
  "Guid": "'{5770385F-C22A-43E0-BF4C-06F5698FFBD9}'",
  "Image": "C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe",
  "Keywords": "0x8000000000000000",
  "Level": "4",
  "Name": "'Microsoft-Windows-Sysmon'",
  "Opcode": "0",
  "ProcessGuid": "{8AE2CCCF-5C56-6172-84FE-000000001500}",
  "ProcessID": "'2888'",
  "ProcessId": "5616",
  "RecordID": "157268",
  "RecordNumber": "157268",
  "RuleName": "-",
  "SecurityID": "S-1-5-18",
  "SystemTime": "'2021-10-22T06:38:15.548776000Z'",
  "System_Props_Xml": "<Provider Name='Microsoft-Windows-Sysmon' Guid='{5770385F-C22A-43E0-BF4C-06F5698FFBD9}'/><EventID>5<\\/EventID><Version>3<\\/Version><Level>4<\\/Level><Task>5<\\/Task><Opcode>0<\\/Opcode><Keywords>0x8000000000000000<\\/Keywords><TimeCreated SystemTime='2021-10-22T06:38:15.548776000Z'/><EventRecordID>157268<\\/EventRecordID><Correlation/><Execution ProcessID='2888' ThreadID='3648'/><Channel>Microsoft-Windows-Sysmon/Operational<\\/Channel><Computer>dhcp-ad01.testdhcp2.local<\\/Computer><Security UserID='S-1-5-18'/>",
  "Task": "5",
  "ThreadID": "'3648'",
  "TimeCreated": "2021-10-22T06:38:15.548776000Z",
  "UserID": "'S-1-5-18'",
  "UtcTime": "2021-10-22 06:38:15.540",
  "Version": "3",
  "_raw": "<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Sysmon' Guid='{5770385F-C22A-43E0-BF4C-06F5698FFBD9}'/><EventID>5<\\/EventID><Version>3<\\/Version><Level>4<\\/Level><Task>5<\\/Task><Opcode>0<\\/Opcode><Keywords>0x8000000000000000<\\/Keywords><TimeCreated SystemTime='2021-10-22T06:38:15.548776000Z'/><EventRecordID>157268<\\/EventRecordID><Correlation/><Execution ProcessID='2888' ThreadID='3648'/><Channel>Microsoft-Windows-Sysmon/Operational<\\/Channel><Computer>dhcp-ad01.testdhcp2.local<\\/Computer><Security UserID='S-1-5-18'/><\\/System><EventData><Data Name='RuleName'>-<\\/Data><Data Name='UtcTime'>2021-10-22 06:38:15.540<\\/Data><Data Name='ProcessGuid'>{8AE2CCCF-5C56-6172-84FE-000000001500}<\\/Data><Data Name='ProcessId'>5616<\\/Data><Data Name='Image'>C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe<\\/Data><\\/EventData><\\/Event>",
  "_time": "2021-10-22T12:08:15.540+0530",
  "action": "blocked",
  "date_hour": "6",
  "date_mday": "22",
  "date_minute": "38",
  "date_month": "october",
  "date_second": "15",
  "date_wday": "friday",
  "date_year": "2021",
  "date_zone": "0",
  "dest": "dummy.domain.com",
  "dvc_nt_host": "DHCP-AD01",
  "event_id": "157268",
  "eventtype": [
    "endpoint_services_processes",
    "ms-sysmon-process",
    "windows_event_signature"
  ],
  "host": "DHCP-AD01",
  "id": "157268",
  "index": "main",
  "linecount": "1",
  "os": "Microsoft Windows",
  "process": "C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe",
  "process_exec": "splunk-optimize.exe",
  "process_guid": "{8AE2CCCF:5C56:6172:84FE-000000001500}",
  "process_id": "5616",
  "process_name": "splunk-optimize.exe",
  "process_path": "C:\\\\Program Files\\\\Splunk\\\\bin\\\\splunk-optimize.exe",
  "punct": "<_='://../////'><><_='--'_='{----}'/><><\\/><><\\/><><",
  "signature": "Process terminated",
  "signature_id": "5",
  "source": "XmlWinEventLog:Microsoft-Windows-Sysmon/Operational",
  "sourcetype": "XmlWinEventLog",
  "splunk_server": "dhcp-ad01",
  "tag": [
    "process",
    "report",
    "track_event_signatures"
  ],
  "tag2001:db8::eventtype": [
    "process",
    "report",
    "track_event_signatures"
  ],
  "timeendpos": "671",
  "timestartpos": "648",
  "user_id": "'dummy-user-id'",
  "vendor_product": "Microsoft Sysmon"
}

Referência de mapeamento de campos

Esta secção explica como o analisador do Google Security Operations mapeia os campos de registo do Splunk para os campos do modelo de dados unificado (UDM) do Google Security Operations para os conjuntos de dados. Para mais informações, consulte o documento do Splunk para a versão 5.0.1.

Alertas

A tabela seguinte apresenta os campos de registo e as mapeamentos da UDM correspondentes para os alertas do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
app	observer.application
descrição	security_result.description
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_type	target.resource.resource_type
id	metadata.product_log_id
mitre_technique_id	security_result.detection_fields.labels.key/value
gravidade	security_result.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	security_result.rule_name
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_type	principal.resource.resource_type
etiqueta	about.labels.key/value (descontinuado) additional.fields
escrever	security_result.alert_state
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_name	principal.user.userid
user_priority	principal.user.attribute.label.key/value
vendor_account	about.labels.key/value (descontinuado) additional.fields
vendor_region	about.location.country_or_region

Autenticação

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados de autenticação do Splunk:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
app	target.application
authentication_method	about.labels.key/value (descontinuado) additional.fields
authentication_service	extension.auth.auth_details
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_nt_domain	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
motivo	security_result.summary
response_time	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_nt_domain	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value (descontinuado) additional.fields
src_user_category	principal.labels.key/value (descontinuado) additional.fields
src_user_id	principal.user.userid
src_user_priority	principal.labels.key/value (descontinuado) additional.fields
src_user_role	principal.user.attribute.roles.name (repeated)
src_user_type	principal.user.attribute.roles.type
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_agent	network.http.user_agent
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_id	principal.user.userid
user_priority	principal.user.attribute.label.key/value
user_role	principal.user.attribute.roles.name (repeated)
user_type	principal.user.attribute.roles.type
vendor_account	about.labels.key/value (descontinuado) additional.fields

All_Certificates

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk All_Certificates:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_port	target.port
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
response_time	about.labels.key/value (descontinuado) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_port	principal.port
src_priority	principal.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields
transportes	network.ip_protocol

SSL

A tabela seguinte indica os campos de registo e as associações da UDM correspondentes para o SSL do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
ssl_end_time	network.tls.server.certificate.not_after
ssl_engine	about.labels.key/value (descontinuado) additional.fields
ssl_hash	about.labels.key/value (descontinuado) additional.fields
ssl_is_valid	about.labels.key/value (descontinuado) additional.fields
ssl_issuer	network.tls.server.certificate.issuer
ssl_issuer_common_name	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_email	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_email_domain	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_locality	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_organization	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_state	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_street	about.labels.key/value (descontinuado) additional.fields
ssl_issuer_unit	about.labels.key/value (descontinuado) additional.fields
ssl_name	about.labels.key/value (descontinuado) additional.fields
ssl_policies	about.labels.key/value (descontinuado) additional.fields
ssl_publickey	about.labels.key/value (descontinuado) additional.fields
ssl_publickey_algorithm	about.labels.key/value (descontinuado) additional.fields
ssl_serial	network.tls.server.certificate.serial
ssl_session_id	network.session_id
ssl_signature_algorithm	about.labels.key/value (descontinuado) additional.fields
ssl_start_time	network.tls.server.certificate.not_before
ssl_subject	network.tls.server.certificate.subject
ssl_subject_common_name	about.labels.key/value (descontinuado) additional.fields
ssl_subject_email	about.labels.key/value (descontinuado) additional.fields
ssl_subject_email_domain	about.labels.key/value (descontinuado) additional.fields
ssl_subject_locality	about.labels.key/value (descontinuado) additional.fields
ssl_subject_organization	about.labels.key/value (descontinuado) additional.fields
ssl_subject_state	about.labels.key/value (descontinuado) additional.fields
ssl_subject_street	about.labels.key/value (descontinuado) additional.fields
ssl_subject_unit	about.labels.key/value (descontinuado) additional.fields
ssl_validity_window	about.labels.key/value (descontinuado) additional.fields
ssl_version	network.tls.server.certificate.version

All_Changes

A tabela seguinte lista os campos de registo e as associações da UDM correspondentes para o conjunto de dados do Splunk All_Changes:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
change_type	security_result.category_details
comando	principal.process.command_line
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
objeto	target.resource.name
object_attrs	about.labels.key/value (descontinuado) additional.fields
object_category	about.labels.key/value (descontinuado) additional.fields
object_id	target.user.product_object_id
object_path	target.file.full_path
result	metadata.description
result_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	target.user.userid
user_agent	network.http.user_agent
user_name	principal.user.user_display_name, target.labels.key/value
user_type	principal.user.attribute.roles.type, target.user.attribute.roles.type
vendor_account	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields
vendor_region	about.location.country_or_region

Account_Management

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados Account_Management do Splunk:

Campo de registo	Mapeamento do UDM
dest_nt_domain	target.administrative_domain
src_nt_domain	principal.administrative_domain
src_user	principal.user.userid
src_user_bunit	principal.labels.key/value (descontinuado) additional.fields
src_user_category	principal.labels.key/value (descontinuado) additional.fields
src_user_priority	principal.labels.key/value (descontinuado) additional.fields
src_user_name	principal.labels.key/value (descontinuado) additional.fields
src_user_type	principal.user.attribute.roles.type

Instance_Changes

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Instance_Changes:

Campo de registo	Mapeamento do UDM
image_id	principal.asset_id
instance_type	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

image_id

principal.asset_id

instance_type

about.labels.key/value (descontinuado)

additional.fields

network_Changes

A tabela seguinte lista os campos de registo e as associações da UDM correspondentes para o conjunto de dados network_Changes do Splunk:

Campo de registo	Mapeamento do UDM
dest_ip_range	target.labels.key/value (descontinuado) additional.fields
dest_port_range	target.labels.key/value (descontinuado) additional.fields
direção	network.direction
protocolo	network.ip_protocol
rule_action	security_result.action_details security_result.action
src_ip_range	principal.labels.key/value (descontinuado) additional.fields
src_port_range	principal.labels.key/value (descontinuado) additional.fields

Data_Access

A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o conjunto de dados do Splunk Data_Access:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
app	target.application
app_id	metadata.product_log_id
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_name	target.administrative_domain
dest_url	target.url
dvc	principal.asset.hostname, principal.asset.ip
email	principal.user.email_addresses
objeto	target.resource.name
object_category	about.labels.key/value (descontinuado) additional.fields
object_id	target.user.product_object_id
object_path	target.file.full_path
object_size	target.file.size
proprietário	about.labels.key/value (descontinuado) additional.fields
owner_email	about.labels.key/value (descontinuado) additional.fields
owner_id	principal.user.userid
parent_object	target.resource.parent
parent_object_id	about.labels.key/value (descontinuado) additional.fields
parent_object_category	about.labels.key/value (descontinuado) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
tenant_id	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_agent	network.http.user_agent
user_group	principal.user.group_identifiers(repeated)
user_role	principal.user.attribute.roles.name (repeated)
vendor_product	about.labels.key/value (descontinuado) additional.fields
vendor_product_id	about.labels.key/value (descontinuado) additional.fields

All_Databases

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk All_Databases:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
objeto	target.resource.name
response_time	about.labels.key/value (descontinuado) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

Database_Instance

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Database_Instance:

Campo de registo	Mapeamento do UDM
instance_name	target.resource.attributes.key/value
instance_version	target.resource.attributes.key/value
process_limit	about.labels.key/value (descontinuado) additional.fields
session_limit	about.labels.key/value (descontinuado) additional.fields

Database_Query

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados Database_Query do Splunk:

Campo de registo	Mapeamento do UDM
consulta	about.labels.key/value (descontinuado) additional.fields
query_id	about.labels.key/value (descontinuado) additional.fields
query_time	about.labels.key/value (descontinuado) additional.fields
records_affected	about.labels.key/value (descontinuado) additional.fields

Instance_Stats

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Instance_Stats:

Campo de registo	Mapeamento do UDM
disponibilidade	about.labels.key/value (descontinuado) additional.fields
avg_executions	about.labels.key/value (descontinuado) additional.fields
dump_area_used	about.labels.key/value (descontinuado) additional.fields
instance_reads	about.labels.key/value (descontinuado) additional.fields
instance_writes	about.labels.key/value (descontinuado) additional.fields
number_of_users	about.labels.key/value (descontinuado) additional.fields
processos	about.labels.key/value (descontinuado) additional.fields
sessões	about.labels.key/value (descontinuado) additional.fields
sga_buffer_cache_size	about.labels.key/value (descontinuado) additional.fields
sga_buffer_hit_limit	about.labels.key/value (descontinuado) additional.fields
sga_data_dict_hit_ratio	about.labels.key/value (descontinuado) additional.fields
sga_fixed_area_size	about.labels.key/value (descontinuado) additional.fields
sga_free_memory	about.labels.key/value (descontinuado) additional.fields
sga_library_cache_size	about.labels.key/value (descontinuado) additional.fields
sga_redo_log_buffer_size	about.labels.key/value (descontinuado) additional.fields
sga_shared_pool_size	about.labels.key/value (descontinuado) additional.fields
sga_sql_area_size	about.labels.key/value (descontinuado) additional.fields
start_time	about.labels.key/value (descontinuado) additional.fields
tablespace_used	about.labels.key/value (descontinuado) additional.fields

Session_Info

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados Session_Info do Splunk:

Campo de registo	Mapeamento do UDM
buffer_cache_hit_ratio	about.labels.key/value (descontinuado) additional.fields
consolidações	about.labels.key/value (descontinuado) additional.fields
cpu_used	about.labels.key/value (descontinuado) additional.fields
cursor	about.labels.key/value (descontinuado) additional.fields
elapsed_time	about.labels.key/value (descontinuado) additional.fields
logical_reads	about.labels.key/value (descontinuado) additional.fields
máquina	about.hostname
memory_sorts	about.labels.key/value (descontinuado) additional.fields
physical_reads	about.labels.key/value (descontinuado) additional.fields
seconds_in_wait	about.labels.key/value (descontinuado) additional.fields
session_id	network.session_id
session_status	about.labels.key/value (descontinuado) additional.fields
table_scans	about.labels.key/value (descontinuado) additional.fields
wait_state	about.labels.key/value (descontinuado) additional.fields
wait_time	about.labels.key/value (descontinuado) additional.fields

Lock_Info

A tabela seguinte lista os campos de registo e as associações da UDM correspondentes para o conjunto de dados Lock_Info do Splunk:

Campo de registo	Mapeamento do UDM
last_call_minute	about.labels.key/value (descontinuado) additional.fields
lock_mode	about.labels.key/value (descontinuado) additional.fields
lock_session_id	about.labels.key/value (descontinuado) additional.fields
logon_time	about.labels.key/value (descontinuado) additional.fields
obj_name	about.labels.key/value (descontinuado) additional.fields
os_pid	target.process.pid
serial_num	target.resource.product_object_id

Tablespace

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o espaço de tabelas do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
free_bytes	about.file.size
tablespace_name	about.resource.name
tablespace_reads	about.labels.key/value (descontinuado) additional.fields
tablespace_status	about.labels.key/value (descontinuado) additional.fields
tablespace_writes	about.labels.key/value (descontinuado) additional.fields

Query_Stats

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Query_Stats:

Campo de registo	Mapeamento do UDM
indexes_hit	about.labels.key/value (descontinuado) additional.fields
query_plan_hit	about.labels.key/value (descontinuado) additional.fields
stored_procedures_called	about.labels.key/value (descontinuado) additional.fields
tables_hit	about.labels.key/value (descontinuado) additional.fields

DLP_Incidents

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados DLP_Incidents do Splunk:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
app	target.application
categoria	security_result.category_details
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_zone	target.location.country_or_origin
dlp_type	about.labels.key/value (descontinuado) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (descontinuado) additional.fields
dvc_category	about.labels.key/value (descontinuado) additional.fields
dvc_priority	about.labels.key/value (descontinuado) additional.fields
dvc_zone	principal.asset.location.country_or_region
objeto	target.resource.name
object_category	about.labels.key/value (descontinuado) additional.fields
object_path	target.file.full_path
gravidade	security_result.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value (descontinuado) additional.fields
src_user_category	principal.labels.key/value (descontinuado) additional.fields
src_user_priority	principal.labels.key/value (descontinuado) additional.fields
src_zone	principal.location.country_or_origin
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

All_Email

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk All_Email:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
atraso	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
file_hash	about.file.sha256, about.file.md5, about.file.sha1
file_name	about.labels.key/value (descontinuado) additional.fields
file_size	about.file.size
internal_message_id	metadata.product_log_id
message_id	network.email.mail_id
message_info	about.labels.key/value (descontinuado) additional.fields
orig_dest	target.labels.key/value (descontinuado) additional.fields
orig_recipient	about.labels.key/value (descontinuado) additional.fields
orig_src	network.email.from
processar	principal.process.command_line
process_id	principal.process.pid
protocolo	network.application_protocol
destinatário	network.email.to
recipient_count	about.labels.key/value (descontinuado) additional.fields
recipient_domain	about.labels.key/value (descontinuado) additional.fields
recipient_status	about.labels.key/value (descontinuado) additional.fields
response_time	about.labels.key/value (descontinuado) additional.fields
tentativas	about.labels.key/value (descontinuado) additional.fields
return_addr	about.labels.key/value (descontinuado) additional.fields
tamanho	about.labels.key/value (descontinuado) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_user	principal.user.email_addresses
src_user_bunit	principal.labels.key/value (descontinuado) additional.fields
src_user_category	principal.labels.key/value (descontinuado) additional.fields
src_user_domain	principal.administrative_domain
src_user_priority	principal.labels.key/value (descontinuado) additional.fields
status_code	about.labels.key/value (descontinuado) additional.fields
assunto	network.email.subject(repeated)
etiqueta	about.labels.key/value (descontinuado) additional.fields
url	about.url
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields
xdelay	about.labels.key/value (descontinuado) additional.fields
xref	about.labels.key/value (descontinuado) additional.fields

Filtragem

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para a filtragem do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
filter_action	about.labels.key/value (descontinuado) additional.fields
filter_score	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_extra	about.labels.key/value (descontinuado) additional.fields
signature_id	metadata.product_event_type

Portas

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Ports:

Campo de registo	Mapeamento do UDM
creation_time	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_port	target.port
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
dest_should_timesync	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_port	principal.port
src_requires_av	principal.labels.key/value (descontinuado) additional.fields
src_should_timesync	principal.labels.key/value (descontinuado) additional.fields
src_should_update	principal.labels.key/value (descontinuado) additional.fields
estado	about.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields
transportes	network.ip_protocol
transport_dest_port	target.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Processos

A tabela seguinte apresenta os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Processes:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
cpu_load_percent	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_is_expected	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
dest_should_timesync	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
mem_used	about.labels.key/value (descontinuado) additional.fields
original_file_name	src.file.full_path
os	principal.asset.platform_software.platform_version
parent_process	about.labels.key/value (descontinuado) additional.fields
parent_process_exec	about.labels.key/value (descontinuado) additional.fields
parent_process_id	principal.process.parent_process.parent_pid
parent_process_guid	principal.process.parent_process.product_specific_process_id
parent_process_name	about.labels.key/value (descontinuado) additional.fields
parent_process_path	principal.process.parent_process.command_line
processar	about.labels.key/value (descontinuado) additional.fields
process_current_directory	about.labels.key/value (descontinuado) additional.fields
process_exec	about.labels.key/value (descontinuado) additional.fields
process_hash	principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
process_integrity_level	security_result.severity
process_name	principal.process.command_line
process_path	principal.process.file.full_path
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_id	principal.user.userid
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

Serviços

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para os serviços do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
descrição	security_result.description
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_is_expected	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
dest_should_timesync	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
serviço	target.application
service_dll	about.labels.key/value (descontinuado) additional.fields
service_dll_path	about.file.full_path
service_dll_hash	about.labels.key/value (descontinuado) additional.fields
service_dll_signature_exists	about.labels.key/value (descontinuado) additional.fields
service_dll_signature_verified	about.labels.key/value (descontinuado) additional.fields
service_exec	target.process.file.full_path
service_hash	about.labels.key/value (descontinuado) additional.fields
service_id	about.labels.key/value (descontinuado) additional.fields
service_name	about.labels.key/value (descontinuado) additional.fields
service_path	about.labels.key/value (descontinuado) additional.fields
service_signature_exists	about.labels.key/value (descontinuado) additional.fields
service_signature_verified	about.labels.key/value (descontinuado) additional.fields
start_mode	about.labels.key/value (descontinuado) additional.fields
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

Sistema de ficheiros

A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o conjunto de dados do sistema de ficheiros do Splunk:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
dest_should_timesync	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
file_access_time	about.labels.key/value (descontinuado) additional.fields
file_create_time	target.asset.attribute.creation_time
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_modify_time	about.labels.key/value (descontinuado) additional.fields
file_name	about.labels.key/value (descontinuado) additional.fields
file_path	target.file.full_path
file_acl	about.labels.key/value (descontinuado) additional.fields
file_size	target.file.size
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

Registo

A tabela seguinte apresenta os campos de registo e os mapeamentos da UDM correspondentes para o registo do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
dest_should_timesync	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
process_guid	principal.process.product_specific_process_id
process_id	principal.process.pid
registry_hive	about.labels.key/value (descontinuado) additional.fields
registry_path	about.labels.key/value (descontinuado) additional.fields
registry_key_name	target.registry.registry_key
registry_value_data	target.registry.registry_value_data
registry_value_name	target.registry.registry_value_name
registry_value_text	about.labels.key/value (descontinuado) additional.fields
registry_value_type	about.labels.key/value (descontinuado) additional.fields
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

Assinaturas

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Signatures:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
etiqueta	about.labels.key/value (descontinuado) additional.fields

Signatures_vendor_product

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Signatures_vendor_product:

Campo de registo	Mapeamento do UDM
vendor_product	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

vendor_product

about.labels.key/value (descontinuado)

additional.fields

All_Interprocess_Messaging

A tabela seguinte apresenta os campos de registo e as correspondentes associações da UDM para o conjunto de dados do Splunk All_Interprocess_Messaging:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
ponto final	about.labels.key/value (descontinuado) additional.fields
endpoint_version	about.labels.key/value (descontinuado) additional.fields
mensagem	about.labels.key/value (descontinuado) additional.fields
message_consumed_time	about.labels.key/value (descontinuado) additional.fields
message_correlation_id	about.labels.key/value (descontinuado) additional.fields
message_delivered_time	about.labels.key/value (descontinuado) additional.fields
message_delivery_mode	about.labels.key/value (descontinuado) additional.fields
message_expiration_time	about.labels.key/value (descontinuado) additional.fields
message_id	metadata.product.log_id
message_priority	about.labels.key/value (descontinuado) additional.fields
message_properties	about.labels.key/value (descontinuado) additional.fields
message_received_time	about.labels.key/value (descontinuado) additional.fields
message_redelivered	about.labels.key/value (descontinuado) additional.fields
message_reply_dest	target.labels.key/value (descontinuado) additional.fields
message_type	about.labels.key/value (descontinuado) additional.fields
parâmetros	about.labels.key/value (descontinuado) additional.fields
payload	about.labels.key/value (descontinuado) additional.fields
payload_type	about.labels.key/value (descontinuado) additional.fields
request_payload	about.labels.key/value (descontinuado) additional.fields
request_payload_type	about.labels.key/value (descontinuado) additional.fields
request_sent_time	about.labels.key/value (descontinuado) additional.fields
response_code	network.http.response_code
response_payload_type	about.labels.key/value (descontinuado) additional.fields
response_received_time	about.labels.key/value (descontinuado) additional.fields
response_time	about.labels.key/value (descontinuado) additional.fields
return_message	about.labels.key/value (descontinuado) additional.fields
rpc_protocol	network.application_protocol
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields

IDS_Attacks

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk IDS_Attacks:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
categoria	security_result.category_details
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (descontinuado) additional.fields
dvc_category	about.labels.key/value (descontinuado) additional.fields
dvc_priority	about.labels.key/value (descontinuado) additional.fields
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value (descontinuado) additional.fields
file_path	target.file.full_path
ids_type	about.labels.key/value (descontinuado) additional.fields
gravidade	security_result.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_port	principal.port
etiqueta	about.labels.key/value (descontinuado) additional.fields
transportes	network.ip_protocol
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

DS_Attacks

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados DS_Attacks do Splunk:

Campo de registo	Mapeamento do UDM
dest_port	target.port

All_Inventory

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados All_Inventory do Splunk:

Campo de registo	Mapeamento do UDM
descrição	security_result.description
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
ativada	about.labels.key/value (descontinuado) additional.fields
família	about.labels.key/value (descontinuado) additional.fields
hypervisor_id	about.labels.key/value (descontinuado) additional.fields
número de série	principal.asset.hardware.serial_number
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields
versão	about.labels.key/value (descontinuado) additional.fields

CPU

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados da CPU do Splunk:

Campo de registo	Mapeamento do UDM
cpu_cores	principal.asset.hardware.cpu_number_cores
cpu_count	about.labels.key/value (descontinuado) additional.fields
cpu_mhz	principal.asset.hardware.cpu_clock_speed
cpu_load_mhz	principal.asset.hardware.cpu_clock_speed
cpu_load_percent	about.labels.key/value (descontinuado) additional.fields
cpu_time	about.labels.key/value (descontinuado) additional.fields
cpu_user_percent	about.labels.key/value (descontinuado) additional.fields

Memória

A tabela seguinte apresenta os campos de registo e as associações da UDM correspondentes para o conjunto de dados do Splunk Memory:

Campo de registo	Mapeamento do UDM
mem	principal.asset.hardware.ram
heap_committed	about.labels.key/value (descontinuado) additional.fields
heap_initial	about.labels.key/value (descontinuado) additional.fields
heap_max	about.labels.key/value (descontinuado) additional.fields
heap_used	about.labels.key/value (descontinuado) additional.fields
non_heap_committed	about.labels.key/value (descontinuado) additional.fields
non_heap_initial	about.labels.key/value (descontinuado) additional.fields
non_heap_max	about.labels.key/value (descontinuado) additional.fields
non_heap_used	about.labels.key/value (descontinuado) additional.fields
objects_pending	about.labels.key/value (descontinuado) additional.fields
mem	principal.asset.hardware.ram
mem_committed	about.labels.key/value (descontinuado) additional.fields
mem_free	about.labels.key/value (descontinuado) additional.fields
mem_used	about.labels.key/value (descontinuado) additional.fields
trocar	about.labels.key/value (descontinuado) additional.fields
swap_free	about.labels.key/value (descontinuado) additional.fields
swap_used	about.labels.key/value (descontinuado) additional.fields

rede

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para a rede de conjuntos de dados do Splunk:

Campo de registo	Mapeamento do UDM
dest_ip	target.ip
dns	about.labels.key/value (descontinuado) additional.fields
inline_nat	about.labels.key/value (descontinuado) additional.fields
interface	about.labels.key/value (descontinuado) additional.fields
ip	principal.asset.ip
lb_method	about.labels.key/value (descontinuado) additional.fields
mac	principal.asset.mac
nome	principal.resource.name
nó	about.labels.key/value (descontinuado) additional.fields
node_port	target.port
src_ip	principal.ip
vip_port	about.labels.key/value (descontinuado) additional.fields
taxa de transferência	about.labels.key/value (descontinuado) additional.fields
thruput_max	about.labels.key/value (descontinuado) additional.fields

SO

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o SO do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
os	principal.asset.platform_software.platform_version
committed_memory	about.labels.key/value (descontinuado) additional.fields
cpu_time	about.labels.key/value (descontinuado) additional.fields
free_physical_memory	about.labels.key/value (descontinuado) additional.fields
free_swap	about.labels.key/value (descontinuado) additional.fields
max_file_descriptors	about.labels.key/value (descontinuado) additional.fields
open_file_descriptors	about.labels.key/value (descontinuado) additional.fields
os	principal.asset.platform_software.platform_version
os_architecture	about.labels.key/value (descontinuado) additional.fields
os_version	about.labels.key/value (descontinuado) additional.fields
physical_memory	about.labels.key/value (descontinuado) additional.fields
swap_space	about.labels.key/value (descontinuado) additional.fields
system_load	about.labels.key/value (descontinuado) additional.fields
total_processors	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type

Armazenamento

A tabela seguinte apresenta os campos de registo e as correspondentes associações da UDM para o armazenamento do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
matriz	about.labels.key/value (descontinuado) additional.fields
blocksize	about.labels.key/value (descontinuado) additional.fields
cluster	about.resource.resource_type = "CLUSTER"
fd_max	about.labels.key/value (descontinuado) additional.fields
latência	about.labels.key/value (descontinuado) additional.fields
montar	principal.resource.attribute.labels.key/value
pai ou mãe	principal.resource.parent
read_blocks	about.labels.key/value (descontinuado) additional.fields
read_latency	about.labels.key/value (descontinuado) additional.fields
read_ops	about.labels.key/value (descontinuado) additional.fields
armazenamento	about.labels.key/value (descontinuado) additional.fields
write_blocks	about.labels.key/value (descontinuado) additional.fields
write_latency	about.labels.key/value (descontinuado) additional.fields
write_ops	about.labels.key/value (descontinuado) additional.fields
matriz	about.labels.key/value (descontinuado) additional.fields
blocksize	about.labels.key/value (descontinuado) additional.fields
cluster	about.resource.resource_type = "CLUSTER"
fd_max	about.labels.key/value (descontinuado) additional.fields
fd_used	about.labels.key/value (descontinuado) additional.fields
latência	about.labels.key/value (descontinuado) additional.fields
montar	about.labels.key/value (descontinuado) additional.fields
pai ou mãe	principal.resource.parent
read_blocks	about.labels.key/value (descontinuado) additional.fields
read_latency	about.labels.key/value (descontinuado) additional.fields
read_ops	about.labels.key/value (descontinuado) additional.fields
armazenamento	about.labels.key/value (descontinuado) additional.fields
storage_free	about.labels.key/value (descontinuado) additional.fields
storage_free_percent	about.labels.key/value (descontinuado) additional.fields
storage_used	about.labels.key/value (descontinuado) additional.fields
storage_used_percent	about.labels.key/value (descontinuado) additional.fields
write_blocks	about.labels.key/value (descontinuado) additional.fields
write_latency	about.labels.key/value (descontinuado) additional.fields
write_ops	about.labels.key/value (descontinuado) additional.fields
error_code	security_result.description
operação	about.labels.key/value (descontinuado) additional.fields
storage_name	about.resource.name

Utilizador

A tabela seguinte lista os campos de registo e as correspondentes associações de UDM para o conjunto de dados do Splunk User:

Campo de registo	Mapeamento do UDM
interativo	about.labels.key/value (descontinuado) additional.fields
palavra-passe	about.labels.key/value (descontinuado) additional.fields
shell	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_id	principal.user.userid
user_priority	principal.user.attribute.label.key/value

Virtual_OS

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Virtual_OS:

Campo de registo	Mapeamento do UDM
hipervisor	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

hipervisor

about.labels.key/value (descontinuado)

additional.fields

Instantâneo

A tabela seguinte lista os campos de registo e as correspondentes associações da UDM para o resumo do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
tamanho	about.file.size
instantâneo	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

tamanho

about.file.size

instantâneo

about.labels.key/value (descontinuado)

additional.fields

tempo

about.labels.key/value (descontinuado)

additional.fields

JVM

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados JVM do Splunk:

Campo de registo	Mapeamento do UDM
jvm_description	security_result.description
etiqueta	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

jvm_description

security_result.description

etiqueta

about.labels.key/value (descontinuado)

additional.fields

Depilação com linha

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados Splunk Threading:

Campo de registo	Mapeamento do UDM
cm_enabled	about.labels.key/value (descontinuado) additional.fields
cm_supported	about.labels.key/value (descontinuado) additional.fields
cpu_time_enabled	about.labels.key/value (descontinuado) additional.fields
cpu_time_supported	about.labels.key/value (descontinuado) additional.fields
current_cpu_time	about.labels.key/value (descontinuado) additional.fields
current_user_time	about.labels.key/value (descontinuado) additional.fields
daemon_thread_count	about.labels.key/value (descontinuado) additional.fields
omu_supported	about.labels.key/value (descontinuado) additional.fields
peak_thread_count	about.labels.key/value (descontinuado) additional.fields
synch_supported	about.labels.key/value (descontinuado) additional.fields
thread_count	about.labels.key/value (descontinuado) additional.fields
threads_started	about.labels.key/value (descontinuado) additional.fields

Tempo de execução

A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o conjunto de dados do Splunk Runtime:

Campo de registo	Mapeamento do UDM
process_name	principal.process.command_line
start_time	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields
versão	about.labels.key/value (descontinuado) additional.fields

Compilação

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para a compilação do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
compilation_time	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

compilation_time

about.labels.key/value (descontinuado)

additional.fields

Carregamento de classes

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Classloading:

Campo de registo	Mapeamento do UDM
current_loaded	about.labels.key/value (descontinuado) additional.fields
total_loaded	about.labels.key/value (descontinuado) additional.fields
total_unloaded	about.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

current_loaded

about.labels.key/value (descontinuado)

additional.fields

total_loaded

about.labels.key/value (descontinuado)

additional.fields

total_unloaded

about.labels.key/value (descontinuado)

additional.fields

Malware_Attacks

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Malware_Attacks:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
categoria	security_result.category_details
data	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_nt_domain	target.administrative_domain
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value (descontinuado) additional.fields
file_path	target.file.full_path
gravidade	security_result.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_user	principal.user.user_display_name
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
url	about.url
vendor_product	about.labels.key/value (descontinuado) additional.fields

Malware_Operations

A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o conjunto de dados do Splunk Malware_Operations:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_nt_domain	target.labels.key/value (descontinuado) additional.fields
dest_nt_domain	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_requires_av	target.labels.key/value (descontinuado) additional.fields
product_version	about.labels.key/value (descontinuado) additional.fields
signature_version	security_result.rule_version
etiqueta	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields

Malware_Operations

A tabela seguinte indica os campos de registo e as associações UDM correspondentes para o conjunto de dados do Splunk Malware_Operations:

Campo de registo	Mapeamento do UDM
dest_category	target.labels.key/value (descontinuado) additional.fields

Campo de registo

Mapeamento do UDM

dest_category

target.labels.key/value (descontinuado)

additional.fields

DNS

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o DNS do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
additional_answer_count	about.labels.key/value (descontinuado) additional.fields
resposta	network.dns.answer.data
answer_count	about.labels.key/value (descontinuado) additional.fields
authority_answer_count	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_port	target.port
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
message_type	about.labels.key/value (descontinuado) additional.fields
nome	about.labels.key/value (descontinuado) additional.fields
consulta	network.dns.questions.name
query_count	about.labels.key/value (descontinuado) additional.fields
query_type	network.dns.questions.type
record_type	network.dns.answer.type(uint32)
reply_code	about.labels.key/value (descontinuado) additional.fields
reply_code_id	network.dns.response_code
response_time	about.labels.key/value (descontinuado) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_port	principal.port
src_priority	principal.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields
transaction_id	network.dns.id
transportes	network.ip_protocol
ttl	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields

All_Sessions

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk All_Sessions:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_dns	target.labels.key/value (descontinuado) additional.fields
dest_ip	network.dhcp.ciaddr
dest_mac	network.dhcp.chaddr
dest_nt_host	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
duração	network.session_duration
response_time	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_dns	principal.labels.key/value (descontinuado) additional.fields
src_ip	principal.ip
src_mac	principal.mac
src_nt_host	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

DHCP

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados DHCP do Splunk:

Campo de registo

Mapeamento do UDM

lease_duration

network.dhcp.lease_time_second

lease_scope

about.labels.key/value (descontinuado)

additional.fields

All_Traffic

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk All_Traffic:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
app	network.application_protocol
bytes	about.labels.key/value (descontinuado) additional.fields
bytes_in	network.received_bytes
bytes_out	network.sent_bytes
canal	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_interface	target.labels.key/value (descontinuado) additional.fields
dest_ip	target.ip
dest_mac	target.mac
dest_port	target.port
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_translated_ip	target.nat_ip
dest_translated_port	target.nat_port
dest_zone	target.location.country_or_origin
direção	network.direction
duração	network.session_duration
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (descontinuado) additional.fields
dvc_category	about.labels.key/value (descontinuado) additional.fields
dvc_ip	about.labels.key/value (descontinuado) additional.fields
dvc_mac	principal.asset.mac
dvc_priority	about.labels.key/value (descontinuado) additional.fields
dvc_zone	principal.asset.location.country_or_region
flow_id	about.labels.key/value (descontinuado) additional.fields
icmp_code	about.labels.key/value (descontinuado) additional.fields
icmp_type	about.labels.key/value (descontinuado) additional.fields
pacotes	about.labels.key/value (descontinuado) additional.fields
packets_in	about.labels.key/value (descontinuado) additional.fields
packets_out	about.labels.key/value (descontinuado) additional.fields
protocolo	about.labels.key/value (descontinuado) additional.fields
protocol_version	about.labels.key/value (descontinuado) additional.fields
response_time	about.labels.key/value (descontinuado) additional.fields
regra	security_result.rule_id
session_id	network.session_id
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_interface	principal.labels.key/value (descontinuado) additional.fields
src_ip	principal.ip
src_mac	principal.mac
src_port	principal.port
src_priority	principal.labels.key/value (descontinuado) additional.fields
src_translated_ip	principal.nat_ip
src_translated_port	principal.nat_port
src_zone	principal.location.country_or_origin
ssid	about.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields
tcp_flag	about.labels.key/value (descontinuado) additional.fields
transportes	network.ip_protocol
tos	about.labels.key/value (descontinuado) additional.fields
ttl	network.dns.additional.ttl
utilizador	principal.user.userid
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_account	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields
vlan	about.labels.key/value (descontinuado) additional.fields
Wi-Fi	about.labels.key/value (descontinuado) additional.fields

All_Performance

A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o conjunto de dados do Splunk All_Performance:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_should_timesync	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
hypervisor_id	about.labels.key/value (descontinuado) additional.fields
resource_type	about.labels.key/value (descontinuado) additional.fields
etiqueta	about.labels.key/value (descontinuado) additional.fields

Instalações

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados de instalações do Splunk:

Campo de registo

Mapeamento do UDM

fan_speed

about.labels.key/value (descontinuado)

additional.fields

energia

about.labels.key/value (descontinuado)

additional.fields

temperatura

about.labels.key/value (descontinuado)

additional.fields

Timesync

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Timesync:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action

Tempo de atividade

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Uptime:

Campo de registo

Mapeamento do UDM

tempo de atividade

about.labels.key/value (descontinuado)

additional.fields

View_Activity

A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o conjunto de dados do Splunk View_Activity:

Campo de registo	Mapeamento do UDM
app	target.application
gastos	about.labels.key/value (descontinuado) additional.fields
uri	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
ver	about.labels.key/value (descontinuado) additional.fields

Datamodel_Acceleration

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Datamodel_Acceleration:

Campo de registo	Mapeamento do UDM
access_count	about.labels.key/value (descontinuado) additional.fields
access_time	about.labels.key/value (descontinuado) additional.fields
app	target.application
contentores	about.labels.key/value (descontinuado) additional.fields
buckets_size	about.labels.key/value (descontinuado) additional.fields
concluído	about.labels.key/value (descontinuado) additional.fields
cron	about.labels.key/value (descontinuado) additional.fields
datamodel	about.labels.key/value (descontinuado) additional.fields
resumo	about.labels.key/value (descontinuado) additional.fields
mais antigos	about.labels.key/value (descontinuado) additional.fields
is_inprogress	about.labels.key/value (descontinuado) additional.fields
last_error	about.labels.key/value (descontinuado) additional.fields
last_sid	about.labels.key/value (descontinuado) additional.fields
mais recentes	about.labels.key/value (descontinuado) additional.fields
mod_time	about.labels.key/value (descontinuado) additional.fields
retenção	about.labels.key/value (descontinuado) additional.fields
tamanho	about.file.size
summary_id	about.labels.key/value (descontinuado) additional.fields

Search_Activity

A tabela seguinte lista os campos de registo e os mapeamentos UDM correspondentes para o conjunto de dados Splunk Search_Activity:

Campo de registo	Mapeamento do UDM
anfitrião	about.hostname
informação	about.labels.key/value (descontinuado) additional.fields
pesquisa	about.labels.key/value (descontinuado) additional.fields
search_et	about.labels.key/value (descontinuado) additional.fields
search_lt	about.labels.key/value (descontinuado) additional.fields
search_type	about.labels.key/value (descontinuado) additional.fields
fonte	principal.labels.key/value (descontinuado) additional.fields
sourcetype	principal.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Scheduler_Activity

A tabela seguinte indica os campos de registo e os mapeamentos UDM correspondentes para o conjunto de dados Splunk Scheduler_Activity:

Campo de registo	Mapeamento do UDM
app	target.application
anfitrião	about.hostname
savedsearch_name	about.labels.key/value (descontinuado) additional.fields
sid	about.labels.key/value (descontinuado) additional.fields
fonte	principal.labels.key/value (descontinuado) additional.fields
sourcetype	principal.labels.key/value (descontinuado) additional.fields
splunk_server	principal.ip, principal.hostname
estado	security_result.summary
utilizador	principal.user.user_display_name

Web_Service_Errors

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados Web_Service_Errors do Splunk:

Campo de registo	Mapeamento do UDM
anfitrião	about.hostname
fonte	principal.labels.key/value (descontinuado) additional.fields
sourcetype	principal.labels.key/value (descontinuado) additional.fields
event_id	security_result.rule_name

Modular_Actions

A tabela seguinte apresenta os campos de registo e as associações da UDM correspondentes para o conjunto de dados Modular_Actions do Splunk:

Campo de registo	Mapeamento do UDM
action_mode	about.labels.key/value (descontinuado) additional.fields
action_status	about.labels.key/value (descontinuado) additional.fields
app	target.application
duração	network.session_duration
componente	about.labels.key/value (descontinuado) additional.fields
orig_rid	about.labels.key/value (descontinuado) additional.fields
orig_sid	about.labels.key/value (descontinuado) additional.fields
livrar	about.labels.key/value (descontinuado) additional.fields
search_name	about.labels.key/value (descontinuado) additional.fields
action_name	security_result.action_details
assinatura	metadata.description
sid	about.labels.key/value (descontinuado) additional.fields
utilizador	about.labels.key/value (descontinuado) additional.fields

All_Ticket_Management

A tabela seguinte lista os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk All_Ticket_Management:

Campo de registo	Mapeamento do UDM
affect_dest	target.labels.key/value (descontinuado) additional.fields
comentários	about.labels.key/value (descontinuado) additional.fields
descrição	security_result.description
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
prioridade	security_result.priority_details
gravidade	security_result.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
splunk_id	about.labels.key/value (descontinuado) additional.fields
splunk_realm	about.labels.key/value (descontinuado) additional.fields
src_user	principal.user.user_display_name
src_user_bunit	principal.labels.key/value (descontinuado) additional.fields
src_user_category	principal.labels.key/value (descontinuado) additional.fields
src_user_priority	principal.labels.key/value (descontinuado) additional.fields
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields
ticket_id	target.user.attribute.label.ley/value
time_submitted	principal.user.attribute.creation_time
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value

Alterar

A tabela seguinte lista os campos de registo e as associações da UDM correspondentes para o conjunto de dados do Splunk Change:

Campo de registo

Mapeamento do UDM

alterar

about.labels.key/value (descontinuado)

additional.fields

Incidente

A tabela seguinte apresenta os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados do Splunk Incident:

Campo de registo

Mapeamento do UDM

incidente

about.labels.key/value (descontinuado)

additional.fields

Problema

A tabela seguinte indica os campos de registo e as associações da UDM correspondentes para o conjunto de dados do Splunk Problem:

Campo de registo

Mapeamento do UDM

problema

about.labels.key/value (descontinuado)

additional.fields

Atualizações

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para as atualizações do conjunto de dados do Splunk:

Campo de registo	Mapeamento do UDM
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_should_update	target.labels.key/value (descontinuado) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
file_hash	target.file.sha256, target.file.md5, target.file.sha1
file_name	about.labels.key/value (descontinuado) additional.fields
gravidade	security_result.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
estado	security_result.summary
etiqueta	about.labels.key/value (descontinuado) additional.fields
vendor_product	about.labels.key/value (descontinuado) additional.fields

Vulnerabilidades

A tabela seguinte indica os campos de registo e os mapeamentos da UDM correspondentes para o conjunto de dados Vulnerabilidades do Splunk:

Campo de registo	Mapeamento do UDM
bugtraq	about.labels.key/value (descontinuado) additional.fields
categoria	security_result.category_details
cert	about.labels.key/value (descontinuado) additional.fields
cve	vulnerabilites.cve_description
cvss	vulnerabilites.cvss_base_score
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dvc	principal.asset.hostname, principal.asset.ip
dvc_bunit	about.labels.key/value (descontinuado) additional.fields
dvc_category	about.labels.key/value (descontinuado) additional.fields
dvc_priority	about.labels.key/value (descontinuado) additional.fields
msft	about.labels.key/value (descontinuado) additional.fields
mskb	about.labels.key/value (descontinuado) additional.fields
gravidade	extensions.vulns.vulnerabilites.severity
severity_id	about.labels.key/value (descontinuado) additional.fields
assinatura	metadata.description
signature_id	metadata.product_event_type
etiqueta	about.labels.key/value (descontinuado) additional.fields
url	extensions.vulns.vulnerabilites.about.url
utilizador	extensions.vulns.vulnerabilites.about.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields
xref	about.labels.key/value (descontinuado) additional.fields

Web

A tabela seguinte apresenta os campos de registo e as associações da UDM correspondentes para o conjunto de dados da Web do Splunk:

Campo de registo	Mapeamento do UDM
ação	security_result.action_details security_result.action
app	target.application
bytes	about.labels.key/value (descontinuado) additional.fields
bytes_in	network.received_bytes
bytes_out	network.sent_bytes
em cache	about.labels.key/value (descontinuado) additional.fields
categoria	security_result.category_details
bolacha	about.labels.key/value (descontinuado) additional.fields
dest	target.ip target.hostname target.labels.key/value (descontinuado)
dest_bunit	target.labels.key/value (descontinuado) additional.fields
dest_category	target.labels.key/value (descontinuado) additional.fields
dest_priority	target.labels.key/value (descontinuado) additional.fields
dest_port	target.port
duração	network.session_duration
http_content_type	about.labels.key/value (descontinuado) additional.fields
http_method	network.http.method
http_referrer	network.http.referral_url
http_referrer_domain	about.labels.key/value (descontinuado) additional.fields
http_user_agent	network.http.user_agent
http_user_agent_length	about.labels.key/value (descontinuado) additional.fields
response_time	about.labels.key/value (descontinuado) additional.fields
site	about.labels.key/value (descontinuado) additional.fields
src	principal.ip principal.hostname principal.labels.key/value (descontinuado)
src_bunit	principal.labels.key/value (descontinuado) additional.fields
src_category	principal.labels.key/value (descontinuado) additional.fields
src_priority	principal.labels.key/value (descontinuado) additional.fields
estado	network.http.response_code
etiqueta	about.labels.key/value (descontinuado) additional.fields
uri_path	about.labels.key/value (descontinuado) additional.fields
uri_query	about.labels.key/value (descontinuado) additional.fields
url	about.url
url_domain	about.asset.network_domain
url_length	about.labels.key/value (descontinuado) additional.fields
utilizador	principal.user.user_display_name
user_bunit	about.labels.key/value (descontinuado) additional.fields
user_category	principal.user.attribute.labels.key/value
user_priority	principal.user.attribute.label.key/value
vendor_product	about.labels.key/value (descontinuado) additional.fields

Tipos de eventos da UDM

A tabela seguinte lista as etiquetas do Splunk e os tipos de eventos do UDM correspondentes:

Modelo de dados	Etiquetas Splunk	Tipo de evento UDM
Alertas	alerta	STATUS_UPDATE
Autenticação	autenticação	USER_UNCATEGORIZED
Certificado	certificado	NETWORK_UNCATEGORIZED
Alterar	alterar	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Acesso aos dados	dados, acesso	USER_RESOURCE_ACCESS
Bases de dados	base de dados	USER_RESOURCE_ACCESS
Bases de dados	base de dados, instância, estatísticas	STATUS_UPDATE
Bases de dados	base de dados, instância, estado	STATUS_UPDATE
Bases de dados	base de dados, instância, bloqueio	STATUS_UPDATE
Bases de dados	base de dados, consulta	STATUS_UPDATE
Bases de dados	base de dados, consulta, espaço de tabelas	STATUS_UPDATE
Bases de dados	base de dados, consulta, estatísticas	STATUS_UPDATE
Prevenção contra a perda de dados	dlp, incident	SCAN_UNCATEGORIZED
Email	email	EMAIL_UNCATEGORIZED
Email	email, entrega	EMAIL_TRANSACTION
Ponto final	listening, port	SERVICE_UNSPECIFIED
Ponto final	processar, comunicar	PROCESS_UNCATEGORIZED
Ponto final	serviço, relatório	SERVICE_UNSPECIFIED
Ponto final	ponto final, sistema de ficheiros	FILE_UNCATEGORIZED
Ponto final	ponto final, registo	REGISTRY_UNCATEGORIZED
Assinatura do evento	track_event_signature	STATUS_UPDATE
Mensagens entre processos	mensagens	STATUS_UPDATE
Deteção de intrusão	ids, attack	SERVICE_UNSPECIFIED
Inventário	inventário	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Máquina virtual Java (JVM)	jvm	SYSTEM_AUDIT_LOG_UNCATEGORIZED
Software malicioso	programas maliciosos	STATUS_UPDATE
Resolução de rede(DNS)	rede, resolução, dns	NETWORK_DNS
Sessões de rede	rede, sessão	NETWORK_CONNECTION
Sessões de rede	network, session, dhcp	NETWORK_DHCP
Tráfego de rede	rede, comunicar	NETWORK_CONNECTION
Desempenho	desempenho	SERVICE_UNSPECIFIED
Registos de auditoria do Splunk	modaction	STATUS_UPDATE
Gestão de pedidos	venda de bilhetes	STATUS_UPDATE
Gestão de pedidos	venda de bilhetes, alteração	STATUS_UPDATE
Atualizações	Atualizar	STATUS_UPDATE
Vulnerabilidades	relatório, vulnerabilidades	SCAN_UNCATEGORIZED
Web	Web	NETWORK_UNCATEGORIZED

O que se segue?

Carregamento de dados para o Google Security Operations

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.