Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Wazuh

Didukung di:

Google SecOps SIEM

Ringkasan

Parser Wazuh ini menyerap log berformat SYSLOG dan JSON, menormalisasi kolom ke dalam format umum, dan memperkayanya dengan metadata khusus Wazuh. Kemudian, Wazuh menggunakan serangkaian pernyataan kondisional berdasarkan kolom event_type dan rule_id untuk memetakan data log mentah ke jenis dan kolom peristiwa UDM yang sesuai, yang menangani berbagai format log dan kasus ekstrem dalam ekosistem Wazuh.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki instance Wazuh yang aktif.
Pastikan Anda memiliki akses dengan hak istimewa ke file konfigurasi Wazuh.

Mengonfigurasi feed di Google SecOps untuk menyerap log Wazuh

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Feed name, masukkan nama untuk feed (misalnya, Wazuh Logs).
Pilih Webhook sebagai Jenis sumber.
Pilih Wazuh sebagai Jenis log.
Klik Berikutnya.
Opsional: tentukan nilai untuk parameter input berikut:
- Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
Di tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.
Klik Selesai.

Membuat kunci API untuk feed webhook

Buka Konsol Google Cloud > Kredensial.

Buka Kredensial
Klik Create credentials, lalu pilih API key.
Batasi akses kunci API ke Google Security Operations API.

Menentukan URL endpoint

Di aplikasi klien, tentukan URL endpoint HTTPS yang diberikan di feed webhook.
Aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Ganti kode berikut:

ENDPOINT_URL: URL endpoint feed.
API_KEY: kunci API untuk mengautentikasi ke Google Security Operations.
SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Mengonfigurasi Webhook Cloud Wazuh

Selesaikan langkah-langkah berikut untuk mengonfigurasi Webhook Cloud Wazuh:

Login ke Wazuh Cloud Anda.
Buka Setelan, yang terletak di menu panel kiri pada bagian Pengelolaan server.
Klik Edit configuration.
Tambahkan blok integrasi berikut dalam bagian <integration> konfigurasi.
- Jika bagian tersebut tidak ada, salin seluruh blok dengan <integration> untuk membuatnya.
- Ganti nilai placeholder dengan detail Google SecOps Anda yang sebenarnya:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: Region Google SecOps Anda (misalnya, us, europe-west1).
GOOGLE_PROJECT_NUMBER: Nomor project Google Cloud Anda.
LOCATION: Region Google SecOps Anda (misalnya, us, europe-west1).
CUSTOMER_ID: ID pelanggan Google SecOps Anda.
FEED_ID: ID feed Google SecOps Anda.
API_KEY: Kunci API Google Cloud Anda yang menghosting Google SecOps.
SECRET: Secret feed Google SecOps Anda.
alert_format: Tetapkan ke json untuk kompatibilitas Google SecOps.
level: Menentukan tingkat pemberitahuan minimum yang akan diteruskan. 0 mengirim semua pemberitahuan.

Klik tombol Simpan.
Klik Mulai ulang wazuh-manager.

Mengonfigurasi Webhook Wazuh Lokal

Selesaikan langkah-langkah berikut untuk mengonfigurasi Webhook Wazuh On-Premise:

Akses pengelola Wazuh lokal Anda.
Buka direktori /var/ossec/etc/.
Buka file ossec.conf menggunakan editor teks (misalnya, nano, vim).
Tambahkan blok integrasi berikut dalam bagian <integration> konfigurasi.
- Jika bagian tersebut tidak ada, salin seluruh blok dengan <integration> untuk membuatnya.
- Ganti nilai placeholder dengan detail Google SecOps Anda yang sebenarnya:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: Region Google SecOps Anda (misalnya, us, europe-west1).
- GOOGLE_PROJECT_NUMBER: Nomor project Google Cloud Anda.
- LOCATION: Region Google SecOps Anda (misalnya, us, europe-west1).
- CUSTOMER_ID: ID pelanggan Google SecOps Anda.
- FEED_ID: ID feed Google SecOps Anda.
- API_KEY: Kunci API Google Cloud Anda yang menghosting Google SecOps.
- SECRET: Secret feed Google SecOps Anda.
- alert_format: Tetapkan ke json untuk kompatibilitas Google SecOps.
- level: Menentukan tingkat pemberitahuan minimum yang akan diteruskan. 0 mengirim semua pemberitahuan.
Mulai ulang pengelola Wazuh untuk menerapkan perubahan:
```
sudo systemctl restart wazuh-manager
```

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Dipetakan langsung dari kolom `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `Acct-Status-Type`. Kunci ditetapkan ke "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Dipetakan langsung dari kolom `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `agent.ip`. Juga digunakan untuk IP utama/target dalam beberapa kasus berdasarkan jenis peristiwa.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Dipetakan langsung dari kolom `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Dipetakan langsung dari kolom `application` Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kolom `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `ClientPort` dan dikonversi menjadi bilangan bulat.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Dipetakan langsung dari kolom `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Dipetakan langsung dari kolom `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Dipetakan langsung dari kolom `ConfigVersionId`. Kunci ditetapkan ke "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `data.Account Number` untuk ID aturan tertentu.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Dipetakan langsung dari kolom `data.Control` untuk ID aturan tertentu.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `data.Message` untuk ID aturan tertentu.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `data.Profile` untuk ID aturan tertentu.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Dipetakan langsung dari kolom `data.Region` untuk ID aturan tertentu.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Dipetakan dari kolom `data.Status`. Jika nilainya adalah "Pass" atau "AUDIT_SUCCESS", tindakan akan ditetapkan ke "ALLOW". Jika nilainya adalah "ERROR", "AUDIT_FAILURE", atau "FAIL", tindakan akan ditetapkan ke "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Dipetakan langsung dari kolom `data.aws.awsRegion` untuk ID aturan tertentu.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `data.aws.eventID`. Kunci ditetapkan ke "ID Peristiwa".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `data.aws.eventName` untuk ID aturan tertentu.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Dipetakan langsung dari kolom `data.aws.eventSource` untuk ID aturan tertentu.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan langsung dari kolom `data.aws.eventType` untuk ID aturan tertentu.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `data.aws.requestID`. Kunci ditetapkan ke "ID Permintaan".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `data.aws.requestParameters.loadBalancerName`. Kunci ditetapkan ke "Nama LoadBalancer".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `data.aws.sourceIPAddress` untuk ID aturan tertentu.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Dipetakan langsung dari kolom `data.aws.userIdentity.accountId` untuk ID aturan tertentu.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `data.aws.userIdentity.principalId` untuk ID aturan tertentu.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. Kunci ditetapkan ke "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Dipetakan langsung dari kolom `data.aws.userIdentity.sessionContext.sessionIssuer.userName` untuk ID aturan tertentu.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung dari kolom `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `data.docker.message` untuk jenis peristiwa tertentu.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Dipetakan langsung dari kolom `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung dari kolom `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Dipetakan langsung dari kolom `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Dipetakan langsung dari kolom `data.subject.account_domain` untuk ID aturan tertentu.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Dipetakan langsung dari kolom `data.subject.account_name` untuk ID aturan tertentu.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Dipetakan langsung dari kolom `data.subject.security_id` untuk ID aturan tertentu.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Dipetakan langsung dari kolom `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Dipetakan langsung dari kolom `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Dipetakan langsung dari kolom `decoder.name`. Juga digunakan untuk aplikasi target dalam beberapa kasus.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Dipetakan langsung dari kolom `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Diurai untuk mengekstrak IP dan port target.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `DestinationPort` dan dikonversi menjadi bilangan bulat.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan langsung dari kolom `feature`, terkadang digabungkan dengan `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung dari kolom `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Diurai untuk mengekstrak nomor port, deskripsi hasil keamanan, dan ID login subjek.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Diurai untuk mengekstrak hash SHA256 dan MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Dipetakan langsung dari kolom `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `IntegrityLevel`. Kunci ditetapkan ke "Integrity Level".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Diurai untuk mengekstrak berbagai kolom yang terkait dengan pembuatan proses, hash file, dan deskripsi.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Diurai untuk mengekstrak Tingkat Peringatan.
`location`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung dari kolom `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `LogonGuid` setelah menghapus tanda kurung kurawal. Kunci ditetapkan ke "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Digunakan untuk ID login subjek dalam peristiwa logout dan dipetakan langsung untuk peristiwa lainnya. Kunci ditetapkan ke "ID login".
`log_description`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Diurai untuk mengekstrak jalur dan deskripsi log.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `manager.name`. Juga digunakan untuk ID pengguna utama dalam beberapa kasus.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Dipetakan langsung dari kolom `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Diurai menggunakan grok untuk mengekstrak berbagai kolom bergantung pada format log.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Diurai untuk mengekstrak data pesan, alamat IP, port, byte yang dikirim/diterima, dan jenis peristiwa.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `message_type`, terkadang digabungkan dengan `feature`. Juga digunakan untuk deskripsi dalam beberapa kasus.
`method`	`event.idm.read_only_udm.network.http.method`	Dipetakan langsung dari kolom `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Dipetakan langsung dari kolom `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Dipetakan langsung dari kolom `NAS-Port` dan dikonversi menjadi bilangan bulat.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `NAS-Port-Type`. Kunci ditetapkan ke "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Dipetakan langsung dari kolom `NetworkDeviceName` setelah menghapus garis miring terbalik.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Dipetakan langsung dari kolom `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Dipetakan langsung dari kolom `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Dipetakan langsung dari kolom `ParentProcessGuid` setelah menghapus tanda kurung kurawal dan menambahkan "ID:" di awal.
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Dipetakan langsung dari kolom `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Dipetakan langsung dari kolom `ProcessGuid` setelah menghapus tanda kurung kurawal dan menambahkan "ID:" di awal.
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Dipetakan langsung dari kolom `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan langsung dari kolom `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Dipetakan langsung dari kolom `response_code` dan dikonversi menjadi bilangan bulat.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Digunakan untuk menentukan jenis peristiwa dan dipetakan langsung ke ringkasan hasil keamanan.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Dipetakan langsung dari kolom `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Dipetakan langsung dari kolom `rule.info`.
`rule.level`	`event.idm.is_alert`, `event.idm.is_significant`, `event.idm.read_only_udm.security_result.severity_details`	Digunakan untuk menentukan apakah peristiwa tersebut merupakan pemberitahuan atau signifikan dan untuk menetapkan detail tingkat keparahan.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Digunakan untuk menentukan jenis peristiwa.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan langsung dari kolom `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `ServerPort` dan dikonversi menjadi bilangan bulat.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Dipetakan langsung dari kolom `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Diurai untuk mengekstrak IP dan port utama.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Digunakan untuk menentukan jenis peristiwa dan dipetakan langsung ke deskripsi hasil keamanan.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Dipetakan langsung dari kolom `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Dipetakan langsung dari kolom `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung dari kolom `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Dipetakan langsung dari kolom `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Dipetakan langsung dari kolom `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Dipetakan langsung dari kolom `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Dipetakan langsung dari kolom `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Dipetakan langsung dari kolom `syscheck.size_after` dan dikonversi menjadi bilangan bulat tanpa tanda tangan.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Dipetakan langsung dari kolom `syscheck.size_before` dan dikonversi menjadi bilangan bulat tanpa tanda tangan.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Dipetakan langsung dari kolom `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Dipetakan langsung dari kolom `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Dipetakan langsung dari kolom `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Dipetakan langsung dari kolom `Total_bytes_recv` dan dikonversi menjadi bilangan bulat tanpa tanda tangan.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Dipetakan langsung dari kolom `Total_bytes_send` dan dikonversi menjadi bilangan bulat tanpa tanda tangan.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Dipetakan langsung dari kolom `User-Name` jika bukan alamat MAC. Jika tidak, akan diuraikan sebagai alamat MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Dipetakan langsung dari kolom `UserName` jika bukan alamat MAC. Jika tidak, akan diuraikan sebagai alamat MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `VserverServicePort` dan dikonversi menjadi bilangan bulat.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `win.system.channel`. Kunci ditetapkan ke "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `win.system.computer`. Kunci ditetapkan ke "computer".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Dipetakan langsung dari kolom `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `win.system.providerGuid`. Kunci ditetapkan ke "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `win.system.providerName`. Kunci ditetapkan ke "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Dipetakan langsung dari kolom `win.system.severityValue` jika merupakan nilai tingkat keparahan yang valid.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `win.system.systemTime`. Kunci ditetapkan ke "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `win.system.threadID`. Kunci ditetapkan ke "threadID".
T/A	`event.idm.read_only_udm.metadata.event_type`	Tetapkan ke "GENERIC_EVENT" sebagai nilai default, yang diganti oleh logika tertentu untuk berbagai jenis peristiwa.
T/A	`event.idm.read_only_udm.extensions.auth.mechanism`	Tetapkan ke "REMOTE" untuk peristiwa login.
T/A	`event.idm.read_only_udm.extensions.auth.type`	Ditetapkan ke "PASSWORD" untuk peristiwa login/logout, diganti menjadi "MACHINE" untuk beberapa peristiwa.
T/A	`event.idm.read_only_udm.network.ip_protocol`	Tetapkan ke "TCP" untuk koneksi jaringan TCP.
T/A	`event.idm.read_only_udm.security_result.action`	Tetapkan ke "ALLOW" untuk login dan peristiwa yang berhasil, "BLOCK" untuk peristiwa yang gagal.
T/A	`event.idm.is_alert`	Tetapkan ke `true` jika `rule.level` kurang dari atau sama dengan 12.
T/A	`event.idm.is_significant`	Tetapkan ke `true` jika `rule.level` lebih besar dari 12, `false` jika tidak.
T/A	`event.idm.read_only_udm.metadata.log_type`	Tetapkan ke "WAZUH".
T/A	`event.idm.read_only_udm.metadata.product_name`	Tetapkan ke "Wazuh".

Perubahan

2024-03-04

Menambahkan dukungan untuk log syslog SVROSSEC.
Memetakan "file_path" ke "target.file.full_path".
Memetakan "registry_key" ke "target.registry.registry_key".
Memetakan "user_name" ke "principal.user.userid".
Memetakan "log_description" ke "metadata.description".
Memetakan "action_data" ke "security_result.action_details".
Memetakan "src_host" ke "principal.hostname".
Memetakan "rule_id" ke "security_result.rule_id".
Memetakan "classification" ke "security_result.detection_fields".
Memetakan "rule_summary" ke "security_result.summary".
Pemetaan yang diselaraskan untuk "principal.hostname" dan "principal.asset.hostname".
Pemetaan yang diselaraskan untuk "principal.ip" dan "principal.asset.ip".
Pemetaan yang diselaraskan untuk "target.ip" dan "target.asset.ip".

2023-07-17

Menambahkan pola Grok untuk mengurai log syslog yang tidak diuraikan.
Menambahkan pemeriksaan null untuk "predecoder.hostname".

2022-10-14

Peningkatan persentase penguraian.
Menambahkan dukungan untuk mengurai pola syslog.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.