Wazuh-Protokolle erfassen

Unterstützt in:

Übersicht

Dieser Wazuh-Parser nimmt SYSLOG- und JSON-formatierte Protokolle auf, normalisiert Felder in einem gemeinsamen Format und ergänzt sie mit Wazuh-spezifischen Metadaten. Anschließend werden mithilfe einer Reihe von bedingten Anweisungen, die auf den Feldern event_type und rule_id basieren, die Rohprotokolldaten dem entsprechenden UDM-Ereignistyp und den entsprechenden UDM-Feldern zugeordnet. Dabei werden verschiedene Protokollformate und Grenzfälle innerhalb des Wazuh-Systems berücksichtigt.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen eine aktive Wazuh-Instanz.
  • Sie benötigen Lese- und Schreibzugriff auf die Wazuh-Konfigurationsdateien.

Feed in Google SecOps für die Aufnahme von Wazuh-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Wazuh-Protokolle.
  4. Wählen Sie als Quelltyp Webhook aus.
  5. Wählen Sie Wazuh als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.

  2. Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Ersetzen Sie Folgendes:

  • ENDPOINT_URL: die URL des Feedendpunkts.
  • API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google Security Operations authentifizieren.
  • SECRET: den geheimen Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Wazuh Cloud-Webhook konfigurieren

Führen Sie die folgenden Schritte aus, um den Wazuh Cloud-Webhook zu konfigurieren:

  1. Melden Sie sich in Wazuh Cloud an.
  2. Klicken Sie im Menü auf der linken Seite unter Serververwaltung auf Einstellungen.
  3. Klicken Sie auf Konfiguration bearbeiten.

  4. Fügen Sie den folgenden Integrationsblock in den Abschnitt <integration> der Konfiguration ein.

    • Wenn der Abschnitt nicht vorhanden ist, kopieren Sie den gesamten Block mit <integration>, um einen zu erstellen.
    • Ersetzen Sie die Platzhalterwerte durch Ihre tatsächlichen Google SecOps-Details:
<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>
  • CHRONICLE_REGION: Ihre Google SecOps-Region (z. B. us, europe-west1).
  • GOOGLE_PROJECT_NUMBER: Ihre Google Cloud-Projektnummer.
  • LOCATION: Ihre Google SecOps-Region (z. B. us, europe-west1).
  • CUSTOMER_ID: Ihre Google SecOps-Kundennummer.
  • FEED_ID: Die ID Ihres Google SecOps-Feeds.
  • API_KEY: Der API-Schlüssel Ihrer Google Cloud-Umgebung, in der Google SecOps gehostet wird.
  • SECRET: Das Geheimnis Ihres Google SecOps-Feeds.
  • alert_format: Legen Sie json fest, um die Kompatibilität mit Google SecOps zu gewährleisten.
  • level: Gibt die Mindestwarnstufe an, die weitergeleitet werden soll. 0 sendet alle Benachrichtigungen.
  1. Klicken Sie auf Speichern.
  2. Klicken Sie auf Wazuh-Manager neu starten.

Wazuh-On-Premise-Webhook konfigurieren

Führen Sie die folgenden Schritte aus, um den Wazuh-On-Premise-Webhook zu konfigurieren:

  1. Rufen Sie Ihren On-Premise-Wazuh-Manager auf.
  2. Rufen Sie das Verzeichnis /var/ossec/etc/ auf.
  3. Öffnen Sie die Datei ossec.conf in einem Texteditor (z. B. nano oder vim).

  4. Fügen Sie den folgenden Integrationsblock in den Abschnitt <integration> der Konfiguration ein.

    • Wenn der Abschnitt nicht vorhanden ist, kopieren Sie den gesamten Block mit <integration>, um einen zu erstellen.
    • Ersetzen Sie die Platzhalterwerte durch Ihre tatsächlichen Google SecOps-Details:
    <integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  <!-- Adjust the level as needed -->
</integration>
    • CHRONICLE_REGION: Ihre Google SecOps-Region (z. B. us, europe-west1).
    • GOOGLE_PROJECT_NUMBER: Ihre Google Cloud-Projektnummer.
    • LOCATION: Ihre Google SecOps-Region (z. B. us, europe-west1).
    • CUSTOMER_ID: Ihre Google SecOps-Kundennummer.
    • FEED_ID: Die ID Ihres Google SecOps-Feeds.
    • API_KEY: Der API-Schlüssel Ihrer Google Cloud-Umgebung, in der Google SecOps gehostet wird.
    • SECRET: Das Geheimnis Ihres Google SecOps-Feeds.
    • alert_format: Legen Sie json fest, um die Kompatibilität mit Google SecOps zu gewährleisten.
    • level: Gibt die Mindestwarnstufe an, die weitergeleitet werden soll. 0 sendet alle Benachrichtigungen.

  5. Starten Sie den Wazuh-Manager neu, um die Änderungen anzuwenden:

    sudo systemctl restart wazuh-manager

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Acct-Authentic event.idm.read_only_udm.security_result.authentication_mechanism Direkt aus dem Feld Acct-Authentic zugeordnet.
Acct-Status-Type event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld Acct-Status-Type zugeordnet. Der Schlüssel ist auf „Acct-Status-Type“ festgelegt.
agent.id event.idm.read_only_udm.intermediary.resource.id Direkt aus dem Feld agent.id zugeordnet.
agent.ip event.idm.read_only_udm.intermediary.ip, event.idm.read_only_udm.intermediary.asset.ip, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld agent.ip zugeordnet. Wird je nach Ereignistyp in einigen Fällen auch für die Haupt-/Ziel-IP verwendet.
agent.name event.idm.read_only_udm.security_result.about.hostname Direkt aus dem Feld agent.name zugeordnet.
application event.idm.read_only_udm.target.application Wird direkt aus dem Wazuh-Feld application zugeordnet.
audit-session-id event.idm.read_only_udm.network.session_id Direkt aus dem Feld audit-session-id zugeordnet.
ClientIP event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld ClientIP zugeordnet.
ClientPort event.idm.read_only_udm.principal.port Wird direkt aus dem Feld ClientPort zugeordnet und in eine Ganzzahl umgewandelt.
cmd event.idm.read_only_udm.target.process.command_line Direkt aus dem Feld cmd zugeordnet.
CommandLine event.idm.read_only_udm.target.process.command_line Direkt aus dem Feld CommandLine zugeordnet.
ConfigVersionId event.idm.read_only_udm.additional.fields[].value.number_value Direkt aus dem Feld ConfigVersionId zugeordnet. Der Schlüssel ist auf „Config Version Id“ gesetzt.
data.Account Number event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld data.Account Number für bestimmte Regel-IDs zugeordnet.
data.Control event.idm.read_only_udm.security_result.action_details Direkt aus dem Feld data.Control für bestimmte Regel-IDs zugeordnet.
data.Message event.idm.read_only_udm.security_result.description Direkt aus dem Feld data.Message für bestimmte Regel-IDs zugeordnet.
data.Profile event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld data.Profile für bestimmte Regel-IDs zugeordnet.
data.Region event.idm.read_only_udm.principal.location.name Direkt aus dem Feld data.Region für bestimmte Regel-IDs zugeordnet.
data.Status event.idm.read_only_udm.security_result.action Aus dem Feld data.Status zugeordnet. Wenn der Wert „Pass“ oder „AUDIT_SUCCESS“ ist, wird die Aktion auf „ALLOW“ gesetzt. Wenn der Wert „ERROR“, „AUDIT_FAILURE“ oder „FAIL“ ist, wird die Aktion auf „BLOCK“ gesetzt.
data.aws.awsRegion event.idm.read_only_udm.principal.location.name Direkt aus dem Feld data.aws.awsRegion für bestimmte Regel-IDs zugeordnet.
data.aws.eventID event.idm.read_only_udm.target.resource.attribute.labels[].value Direkt aus dem Feld data.aws.eventID zugeordnet. Der Schlüssel ist auf „Ereignis-ID“ festgelegt.
data.aws.eventName event.idm.read_only_udm.metadata.description Direkt aus dem Feld data.aws.eventName für bestimmte Regel-IDs zugeordnet.
data.aws.eventSource event.idm.read_only_udm.metadata.url_back_to_product Direkt aus dem Feld data.aws.eventSource für bestimmte Regel-IDs zugeordnet.
data.aws.eventType event.idm.read_only_udm.metadata.product_event_type Direkt aus dem Feld data.aws.eventType für bestimmte Regel-IDs zugeordnet.
data.aws.requestID event.idm.read_only_udm.target.resource.attribute.labels[].value Direkt aus dem Feld data.aws.requestID zugeordnet. Der Schlüssel ist auf „Request ID“ gesetzt.
data.aws.requestParameters.loadBalancerName event.idm.read_only_udm.target.resource.attribute.labels[].value Direkt aus dem Feld data.aws.requestParameters.loadBalancerName zugeordnet. Der Schlüssel ist auf „LoadBalancer Name“ (Load Balancer-Name) festgelegt.
data.aws.sourceIPAddress event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld data.aws.sourceIPAddress für bestimmte Regel-IDs zugeordnet.
data.aws.source_ip_address event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld data.aws.source_ip_address zugeordnet.
data.aws.userIdentity.accountId event.idm.read_only_udm.principal.user.product_object_id Direkt aus dem Feld data.aws.userIdentity.accountId für bestimmte Regel-IDs zugeordnet.
data.aws.userIdentity.principalId event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld data.aws.userIdentity.principalId für bestimmte Regel-IDs zugeordnet.
data.aws.userIdentity.sessionContext.sessionIssuer.arn event.idm.read_only_udm.target.resource.attribute.labels[].value Direkt aus dem Feld data.aws.userIdentity.sessionContext.sessionIssuer.arn zugeordnet. Der Schlüssel ist auf „ARN“ gesetzt.
data.aws.userIdentity.sessionContext.sessionIssuer.userName event.idm.read_only_udm.principal.user.user_display_name Direkt aus dem Feld data.aws.userIdentity.sessionContext.sessionIssuer.userName für bestimmte Regel-IDs zugeordnet.
data.command event.idm.read_only_udm.target.file.full_path Direkt aus dem Feld data.command zugeordnet.
data.docker.message event.idm.read_only_udm.security_result.description Wird für bestimmte Ereignistypen direkt aus dem Feld data.docker.message zugeordnet.
data.dstuser event.idm.read_only_udm.target.user.userid Direkt aus dem Feld data.dstuser zugeordnet.
data.file event.idm.read_only_udm.target.file.full_path Direkt aus dem Feld data.file zugeordnet.
data.package event.idm.read_only_udm.target.asset.software[].name Direkt aus dem Feld data.package zugeordnet.
data.srcip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld data.srcip zugeordnet.
data.srcuser event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld data.srcuser zugeordnet.
data.subject.account_domain event.idm.read_only_udm.target.administrative_domain Direkt aus dem Feld data.subject.account_domain für bestimmte Regel-IDs zugeordnet.
data.subject.account_name event.idm.read_only_udm.target.user.user_display_name Direkt aus dem Feld data.subject.account_name für bestimmte Regel-IDs zugeordnet.
data.subject.security_id event.idm.read_only_udm.target.user.windows_sid Direkt aus dem Feld data.subject.security_id für bestimmte Regel-IDs zugeordnet.
data.title event.idm.read_only_udm.target.resource.name Direkt aus dem Feld data.title zugeordnet.
data.version event.idm.read_only_udm.target.asset.software[].version Direkt aus dem Feld data.version zugeordnet.
decoder.name event.idm.read_only_udm.about.resource.name, event.idm.read_only_udm.target.application Direkt aus dem Feld decoder.name zugeordnet. Wird in einigen Fällen auch für die Zielanwendung verwendet.
decoder.parent event.idm.read_only_udm.about.resource.parent Direkt aus dem Feld decoder.parent zugeordnet.
Description event.idm.read_only_udm.metadata.description Direkt aus dem Feld Description zugeordnet.
Destination event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port Wird geparst, um Ziel-IP und -Port zu extrahieren.
DestinationIPAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld DestinationIPAddress zugeordnet.
DestinationPort event.idm.read_only_udm.target.port Wird direkt aus dem Feld DestinationPort zugeordnet und in eine Ganzzahl umgewandelt.
device_ip_address event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld device_ip_address zugeordnet.
feature event.idm.read_only_udm.metadata.product_event_type Wird direkt aus dem Feld feature zugeordnet, manchmal mit message_type kombiniert.
file_path event.idm.read_only_udm.target.file.full_path Direkt aus dem Feld file_path zugeordnet.
Framed-IP-Address event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld Framed-IP-Address zugeordnet.
full_log event.idm.read_only_udm.principal.port, event.idm.read_only_udm.security_result.description, event.idm.read_only_udm.about.labels[].value Es wird analysiert, um die Portnummer, die Beschreibung des Sicherheitsergebnisses und die Anmelde-ID des Subjekts zu extrahieren.
Hashes event.idm.read_only_udm.target.process.file.sha256, event.idm.read_only_udm.target.process.file.md5 Es wird geparst, um SHA256- und MD5-Hashes zu extrahieren.
hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld hostname zugeordnet.
Image event.idm.read_only_udm.target.process.file.full_path Direkt aus dem Feld Image zugeordnet.
IntegrityLevel event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld IntegrityLevel zugeordnet. Der Schlüssel ist auf „Integritätsebene“ gesetzt.
kv_data event.idm.read_only_udm.target.process.file.full_path, event.idm.read_only_udm.target.process.pid, event.idm.read_only_udm.target.process.parent_process.file.full_path, event.idm.read_only_udm.target.process.parent_process.command_line, event.idm.read_only_udm.target.process.parent_process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id, event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.additional.fields[].value.string_value Es werden verschiedene Felder zum Erstellen von Prozessen, Datei-Hashes und zur Beschreibung extrahiert.
kv_log_data event.idm.read_only_udm.security_result.severity_details Geparst, um die Alarmstufe zu extrahieren.
location event.idm.read_only_udm.target.file.full_path Direkt aus dem Feld location zugeordnet.
LogonGuid event.idm.read_only_udm.additional.fields[].value.string_value Wird direkt aus dem Feld LogonGuid zugeordnet, nachdem geschweifte Klammern entfernt wurden. Der Schlüssel ist auf „Logon Guid“ gesetzt.
LogonId event.idm.read_only_udm.about.labels[].value, event.idm.read_only_udm.additional.fields[].value.string_value Wird für die Anmelde-ID des Subjekts in Abmeldeereignissen verwendet und direkt anderen Ereignissen zugeordnet. Der Schlüssel ist auf „Logon-ID“ gesetzt.
log_description event.idm.read_only_udm.metadata.description Direkt aus dem Feld log_description zugeordnet.
log_message event.idm.read_only_udm.target.file.full_path, event.idm.read_only_udm.metadata.description Wird geparst, um den Pfad und die Protokollbeschreibung zu extrahieren.
manager.name event.idm.read_only_udm.about.user.userid, event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld manager.name zugeordnet. Wird in einigen Fällen auch für die Hauptnutzer-ID verwendet.
md5 event.idm.read_only_udm.target.process.file.md5 Direkt aus dem Feld md5 zugeordnet.
message event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.process.command_line, event.idm.read_only_udm.network.http.method, event.idm.read_only_udm.network.http.response_code, event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.principal.nat_ip, event.idm.read_only_udm.principal.nat_port, event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.network.session_id, event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.additional.fields[].value.number_value, event.idm.read_only_udm.target.url, event.idm.read_only_udm.target.application, event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.rule_type, event.idm.read_only_udm.security_result.description, event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.principal.process.pid, event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.severity_details Mit Grok werden je nach Logformat verschiedene Felder extrahiert.
message_data event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.network.sent_bytes, event.idm.read_only_udm.network.received_bytes, event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.metadata.event_type Geparst, um Nachrichtendaten, IP-Adressen, Ports, gesendete/empfangene Byte und Ereignistyp zu extrahieren.
message_type event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.description Wird direkt aus dem Feld message_type zugeordnet, manchmal mit feature kombiniert. Wird in einigen Fällen auch für die Beschreibung verwendet.
method event.idm.read_only_udm.network.http.method Direkt aus dem Feld method zugeordnet.
NAS-IP-Address event.idm.read_only_udm.principal.nat_ip Direkt aus dem Feld NAS-IP-Address zugeordnet.
NAS-Port event.idm.read_only_udm.principal.nat_port Wird direkt aus dem Feld NAS-Port zugeordnet und in eine Ganzzahl umgewandelt.
NAS-Port-Type event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt aus dem Feld NAS-Port-Type zugeordnet. Der Schlüssel ist auf „nas_port_type“ festgelegt.
NetworkDeviceName event.idm.read_only_udm.intermediary.hostname Wird direkt aus dem Feld NetworkDeviceName zugeordnet, nachdem Backslashes entfernt wurden.
ParentCommandLine event.idm.read_only_udm.target.process.parent_process.command_line Direkt aus dem Feld ParentCommandLine zugeordnet.
ParentImage event.idm.read_only_udm.target.process.parent_process.file.full_path Direkt aus dem Feld ParentImage zugeordnet.
ParentProcessGuid event.idm.read_only_udm.target.process.parent_process.product_specific_process_id Wird direkt aus dem Feld ParentProcessGuid zugeordnet, nachdem die geschweiften Klammern entfernt und „ID:“ vorangestellt wurde.
ParentProcessId event.idm.read_only_udm.target.process.parent_process.pid Direkt aus dem Feld ParentProcessId zugeordnet.
predecoder.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld predecoder.hostname zugeordnet.
ProcessGuid event.idm.read_only_udm.target.process.product_specific_process_id Wird direkt aus dem Feld ProcessGuid zugeordnet, nachdem die geschweiften Klammern entfernt und „ID:“ vorangestellt wurde.
ProcessId event.idm.read_only_udm.target.process.pid Direkt aus dem Feld ProcessId zugeordnet.
product_event_type event.idm.read_only_udm.metadata.product_event_type Direkt aus dem Feld product_event_type zugeordnet.
response_code event.idm.read_only_udm.network.http.response_code Wird direkt aus dem Feld response_code zugeordnet und in eine Ganzzahl umgewandelt.
rule.description event.idm.read_only_udm.metadata.event_type, event.idm.read_only_udm.security_result.summary Wird verwendet, um den Ereignistyp zu bestimmen, und wird direkt der Zusammenfassung der Sicherheitsergebnisse zugeordnet.
rule.id event.idm.read_only_udm.metadata.product_log_id, event.idm.read_only_udm.security_result.rule_id Direkt aus dem Feld rule.id zugeordnet.
rule.info event.idm.read_only_udm.target.url Direkt aus dem Feld rule.info zugeordnet.
rule.level event.idm.is_alert, event.idm.is_significant, event.idm.read_only_udm.security_result.severity_details Damit wird festgelegt, ob es sich um eine Benachrichtigung oder ein wichtiges Ereignis handelt, und die Details zum Schweregrad festgelegt.
r_cat_name event.idm.read_only_udm.metadata.event_type Wird verwendet, um den Ereignistyp zu bestimmen.
r_msg_id event.idm.read_only_udm.metadata.product_log_id Direkt aus dem Feld r_msg_id zugeordnet.
security_result.severity event.idm.read_only_udm.security_result.severity Direkt aus dem Feld security_result.severity zugeordnet.
ServerIP event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld ServerIP zugeordnet.
ServerPort event.idm.read_only_udm.target.port Wird direkt aus dem Feld ServerPort zugeordnet und in eine Ganzzahl umgewandelt.
sha256 event.idm.read_only_udm.target.process.file.sha256 Direkt aus dem Feld sha256 zugeordnet.
Source event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port Wird geparst, um die Haupt-IP-Adresse und den Haupt-Port zu extrahieren.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld src_ip zugeordnet.
sr_description event.idm.read_only_udm.metadata.event_type, event.idm.read_only_udm.security_result.description Wird verwendet, um den Ereignistyp zu bestimmen, und ist direkt der Beschreibung des Sicherheitsergebnisses zugeordnet.
syscheck.md5_after event.idm.read_only_udm.target.process.file.md5 Direkt aus dem Feld syscheck.md5_after zugeordnet.
syscheck.md5_before event.idm.read_only_udm.src.process.file.md5 Direkt aus dem Feld syscheck.md5_before zugeordnet.
syscheck.path event.idm.read_only_udm.target.file.full_path Direkt aus dem Feld syscheck.path zugeordnet.
syscheck.sha1_after event.idm.read_only_udm.target.process.file.sha1 Direkt aus dem Feld syscheck.sha1_after zugeordnet.
syscheck.sha1_before event.idm.read_only_udm.src.process.file.sha1 Direkt aus dem Feld syscheck.sha1_before zugeordnet.
syscheck.sha256_after event.idm.read_only_udm.target.process.file.sha256 Direkt aus dem Feld syscheck.sha256_after zugeordnet.
syscheck.sha256_before event.idm.read_only_udm.src.process.file.sha256 Direkt aus dem Feld syscheck.sha256_before zugeordnet.
syscheck.size_after event.idm.read_only_udm.target.process.file.size Wird direkt aus dem Feld syscheck.size_after zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt.
syscheck.size_before event.idm.read_only_udm.src.process.file.size Wird direkt aus dem Feld syscheck.size_before zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt.
syscheck.uname_after event.idm.read_only_udm.principal.user.user_display_name Direkt aus dem Feld syscheck.uname_after zugeordnet.
target_url event.idm.read_only_udm.target.url Direkt aus dem Feld target_url zugeordnet.
timestamp event.idm.read_only_udm.metadata.event_timestamp Direkt aus dem Feld timestamp zugeordnet.
Total_bytes_recv event.idm.read_only_udm.network.received_bytes Wird direkt aus dem Feld Total_bytes_recv zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt.
Total_bytes_send event.idm.read_only_udm.network.sent_bytes Wird direkt aus dem Feld Total_bytes_send zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt.
User-Name event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac Wird direkt aus dem Feld User-Name zugeordnet, wenn es sich nicht um eine MAC-Adresse handelt. Andernfalls wird er als MAC-Adresse geparst.
user_agent event.idm.read_only_udm.network.http.user_agent Direkt aus dem Feld user_agent zugeordnet.
user_id event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld user_id zugeordnet.
UserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac Wird direkt aus dem Feld UserName zugeordnet, wenn es sich nicht um eine MAC-Adresse handelt. Andernfalls wird er als MAC-Adresse geparst.
VserverServiceIP event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld VserverServiceIP zugeordnet.
VserverServicePort event.idm.read_only_udm.target.port Wird direkt aus dem Feld VserverServicePort zugeordnet und in eine Ganzzahl umgewandelt.
win.system.channel event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld win.system.channel zugeordnet. Der Schlüssel ist auf „channel“ gesetzt.
win.system.computer event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt aus dem Feld win.system.computer zugeordnet. Der Schlüssel ist auf „computer“ gesetzt.
win.system.eventID event.idm.read_only_udm.metadata.product_log_id Direkt aus dem Feld win.system.eventID zugeordnet.
win.system.message_description event.idm.read_only_udm.metadata.description Direkt aus dem Feld win.system.message_description zugeordnet.
win.system.processID event.idm.read_only_udm.principal.process.pid Direkt aus dem Feld win.system.processID zugeordnet.
win.system.providerGuid event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt aus dem Feld win.system.providerGuid zugeordnet. Der Schlüssel ist auf „providerGuid“ festgelegt.
win.system.providerName event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt aus dem Feld win.system.providerName zugeordnet. Der Schlüssel ist auf „providerName“ festgelegt.
win.system.severityValue event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.security_result.severity_details Wird direkt aus dem Feld win.system.severityValue zugeordnet, wenn es sich um einen gültigen Schweregradwert handelt.
win.system.systemTime event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld win.system.systemTime zugeordnet. Der Schlüssel ist auf „systemTime“ gesetzt.
win.system.threadID event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld win.system.threadID zugeordnet. Der Schlüssel ist auf „threadID“ gesetzt.
event.idm.read_only_udm.metadata.event_type Als Standardwert wird „GENERIC_EVENT“ festgelegt, der für verschiedene Ereignistypen durch eine bestimmte Logik überschrieben wird.
event.idm.read_only_udm.extensions.auth.mechanism Legen Sie für Anmeldeereignisse „REMOTE“ fest.
event.idm.read_only_udm.extensions.auth.type Für Anmelde-/Abmeldeereignisse auf „PASSWORD“ festgelegt, für einige Ereignisse auf „MACHINE“ überschrieben.
event.idm.read_only_udm.network.ip_protocol Legen Sie für TCP-Netzwerkverbindungen „TCP“ fest.
event.idm.read_only_udm.security_result.action Legen Sie „ALLOW“ (Zulassen) für Anmelde- und erfolgreiche Ereignisse und „BLOCK“ (Blockieren) für fehlgeschlagene Ereignisse fest.
event.idm.is_alert Legen Sie true fest, wenn rule.level kleiner oder gleich 12 ist.
event.idm.is_significant Wird auf true gesetzt, wenn rule.level größer als 12 ist, auf false andernfalls.
event.idm.read_only_udm.metadata.log_type Legen Sie diesen Wert auf „WAZUH“ fest.
event.idm.read_only_udm.metadata.product_name Legen Sie diesen Wert auf „Wazuh“ fest.

Änderungen

2024-03-04

  • Unterstützung für SVROSSEC-Syslog-Protokolle hinzugefügt.
  • „file_path“ wurde auf „target.file.full_path“ zugeordnet.
  • „registry_key“ wurde auf „target.registry.registry_key“ zugeordnet.
  • „user_name“ wurde „principal.user.userid“ zugeordnet.
  • „log_description“ wurde „metadata.description“ zugeordnet.
  • „action_data“ wurde „security_result.action_details“ zugeordnet.
  • „src_host“ wurde „principal.hostname“ zugeordnet.
  • „rule_id“ wurde in „security_result.rule_id“ umgewandelt.
  • „classification“ wurde in „security_result.detection_fields“ geändert.
  • „rule_summary“ wurde in „security_result.summary“ geändert.
  • Die Zuordnungen für „principal.hostname“ und „principal.asset.hostname“ wurden angeglichen.
  • Übereinstimmende Zuordnungen für „principal.ip“ und „principal.asset.ip“.
  • Die Zuordnungen für „target.ip“ und „target.asset.ip“ wurden angeglichen.

2023-07-17

  • Es wurde ein Grok-Muster hinzugefügt, um nicht geparste syslog-Protokolle zu parsen.
  • Null-Prüfung für „predecoder.hostname“ hinzugefügt.

2022-10-14

  • Der Prozentsatz der geparsten Daten wurde erhöht.
  • Unterstützung für das Parsen von syslog-Mustern hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten