Collecter les journaux Wazuh

Compatible avec:

Présentation

Cet analyseur Wazuh ingère les journaux au format SYSLOG et JSON, normalise les champs dans un format commun et les enrichit de métadonnées spécifiques à Wazuh. Il utilise ensuite une série d'instructions conditionnelles basées sur les champs event_type et rule_id pour mapper les données de journal brutes sur le type et les champs d'événement UDM appropriés, en gérant différents formats de journal et cas particuliers dans l'écosystème Wazuh.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'une instance Wazuh active.
  • Assurez-vous de disposer d'un accès privilégié aux fichiers de configuration Wazuh.

Configurer un flux dans Google SecOps pour ingérer les journaux Wazuh

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Wazuh Logs).
  4. Sélectionnez Webhook comme type de source.
  5. Sélectionnez Wazuh comme type de journal.
  6. Cliquez sur Suivant.
  7. Facultatif: spécifiez des valeurs pour les paramètres d'entrée suivants :
    • Délimiteur de fractionnement: délimiteur utilisé pour séparer les lignes de journal, par exemple \n.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.
  10. Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
  11. Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais cette action rend l'ancienne clé secrète obsolète.
  12. Dans l'onglet Détails, copiez l'URL du point de terminaison du flux dans le champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
  13. Cliquez sur OK.

Créer une clé API pour le flux webhook

  1. Accédez à la console Google Cloud > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants, puis sélectionnez Clé API.

  3. Limitez l'accès de la clé API à l'API Google Security Operations.

Spécifier l'URL du point de terminaison

  1. Dans votre application cliente, spécifiez l'URL du point de terminaison HTTPS fournie dans le flux de webhook.

  2. Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recommandation: Spécifiez la clé API en tant qu'en-tête plutôt que dans l'URL. Si votre client webhook n'est pas compatible avec les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Remplacez les éléments suivants :

  • ENDPOINT_URL: URL du point de terminaison du flux.
  • API_KEY: clé API permettant de s'authentifier auprès de Google Security Operations.
  • SECRET: clé secrète que vous avez générée pour authentifier le flux.

Configurer le webhook Wazuh Cloud

Pour configurer le webhook Wazuh Cloud, procédez comme suit:

  1. Connectez-vous à votre Wazuh Cloud.
  2. Accédez à Paramètres, dans le menu du volet de gauche sous Gestion du serveur.
  3. Cliquez sur Modifier la configuration.

  4. Ajoutez le bloc d'intégration suivant dans la section <integration> de la configuration.

    • Si la section n'existe pas, copiez l'intégralité du bloc avec <integration> pour en créer une.
    • Remplacez les valeurs des espaces réservés par vos informations Google SecOps réelles:
<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>
  • CHRONICLE_REGION: région Google SecOps (par exemple, us, europe-west1).
  • GOOGLE_PROJECT_NUMBER: numéro de votre projet Google Cloud.
  • LOCATION: région Google SecOps (par exemple, us, europe-west1).
  • CUSTOMER_ID: votre numéro client Google SecOps.
  • FEED_ID: ID de votre flux Google SecOps.
  • API_KEY: clé API de votre environnement Google Cloud qui héberge Google SecOps.
  • SECRET: secret de votre flux Google SecOps.
  • alert_format: définissez cette valeur sur json pour la compatibilité avec Google SecOps.
  • level: spécifie le niveau d'alerte minimal à transférer. 0 envoie toutes les alertes.
  1. Cliquez sur le bouton Enregistrer.
  2. Cliquez sur Restart wazuh-manager (Redémarrer wazuh-manager).

Configurer le webhook Wazuh sur site

Pour configurer le webhook Wazuh sur site:

  1. Accédez à votre gestionnaire Wazuh sur site.
  2. Accédez au répertoire /var/ossec/etc/.
  3. Ouvrez le fichier ossec.conf à l'aide d'un éditeur de texte (par exemple, nano, vim).

  4. Ajoutez le bloc d'intégration suivant dans la section <integration> de la configuration.

    • Si la section n'existe pas, copiez l'intégralité du bloc avec <integration> pour en créer une.
    • Remplacez les valeurs des espaces réservés par vos informations Google SecOps réelles:
    <integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  <!-- Adjust the level as needed -->
</integration>
    • CHRONICLE_REGION: région Google SecOps (par exemple, us, europe-west1).
    • GOOGLE_PROJECT_NUMBER: numéro de votre projet Google Cloud.
    • LOCATION: région Google SecOps (par exemple, us, europe-west1).
    • CUSTOMER_ID: votre numéro client Google SecOps.
    • FEED_ID: ID de votre flux Google SecOps.
    • API_KEY: clé API de votre environnement Google Cloud qui héberge Google SecOps.
    • SECRET: secret de votre flux Google SecOps.
    • alert_format: définissez cette valeur sur json pour la compatibilité avec Google SecOps.
    • level: spécifie le niveau d'alerte minimal à transférer. 0 envoie toutes les alertes.

  5. Redémarrez le gestionnaire Wazuh pour appliquer les modifications:

    sudo systemctl restart wazuh-manager

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
Acct-Authentic event.idm.read_only_udm.security_result.authentication_mechanism Mappé directement à partir du champ Acct-Authentic.
Acct-Status-Type event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ Acct-Status-Type. La clé est définie sur "Acct-Status-Type".
agent.id event.idm.read_only_udm.intermediary.resource.id Mappé directement à partir du champ agent.id.
agent.ip event.idm.read_only_udm.intermediary.ip, event.idm.read_only_udm.intermediary.asset.ip, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ agent.ip. Utilisé également pour l'adresse IP principale/cible dans certains cas, en fonction du type d'événement.
agent.name event.idm.read_only_udm.security_result.about.hostname Mappé directement à partir du champ agent.name.
application event.idm.read_only_udm.target.application Mappé directement à partir du champ application Wazuh.
audit-session-id event.idm.read_only_udm.network.session_id Mappé directement à partir du champ audit-session-id.
ClientIP event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ ClientIP.
ClientPort event.idm.read_only_udm.principal.port Mappé directement à partir du champ ClientPort et converti en entier.
cmd event.idm.read_only_udm.target.process.command_line Mappé directement à partir du champ cmd.
CommandLine event.idm.read_only_udm.target.process.command_line Mappé directement à partir du champ CommandLine.
ConfigVersionId event.idm.read_only_udm.additional.fields[].value.number_value Mappé directement à partir du champ ConfigVersionId. La clé est définie sur "ID de version de configuration".
data.Account Number event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ data.Account Number pour des ID de règle spécifiques.
data.Control event.idm.read_only_udm.security_result.action_details Mappé directement à partir du champ data.Control pour des ID de règle spécifiques.
data.Message event.idm.read_only_udm.security_result.description Mappé directement à partir du champ data.Message pour des ID de règle spécifiques.
data.Profile event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ data.Profile pour des ID de règle spécifiques.
data.Region event.idm.read_only_udm.principal.location.name Mappé directement à partir du champ data.Region pour des ID de règle spécifiques.
data.Status event.idm.read_only_udm.security_result.action Mappé à partir du champ data.Status. Si la valeur est "Pass" ou "AUDIT_SUCCESS", l'action est définie sur "ALLOW". Si la valeur est "ERROR", "AUDIT_FAILURE" ou "FAIL", l'action est définie sur "BLOCK".
data.aws.awsRegion event.idm.read_only_udm.principal.location.name Mappé directement à partir du champ data.aws.awsRegion pour des ID de règle spécifiques.
data.aws.eventID event.idm.read_only_udm.target.resource.attribute.labels[].value Mappé directement à partir du champ data.aws.eventID. La clé est définie sur "ID de l'événement".
data.aws.eventName event.idm.read_only_udm.metadata.description Mappé directement à partir du champ data.aws.eventName pour des ID de règle spécifiques.
data.aws.eventSource event.idm.read_only_udm.metadata.url_back_to_product Mappé directement à partir du champ data.aws.eventSource pour des ID de règle spécifiques.
data.aws.eventType event.idm.read_only_udm.metadata.product_event_type Mappé directement à partir du champ data.aws.eventType pour des ID de règle spécifiques.
data.aws.requestID event.idm.read_only_udm.target.resource.attribute.labels[].value Mappé directement à partir du champ data.aws.requestID. La clé est définie sur "ID de requête".
data.aws.requestParameters.loadBalancerName event.idm.read_only_udm.target.resource.attribute.labels[].value Mappé directement à partir du champ data.aws.requestParameters.loadBalancerName. La clé est définie sur "Nom de l'équilibreur de charge".
data.aws.sourceIPAddress event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ data.aws.sourceIPAddress pour des ID de règle spécifiques.
data.aws.source_ip_address event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ data.aws.source_ip_address.
data.aws.userIdentity.accountId event.idm.read_only_udm.principal.user.product_object_id Mappé directement à partir du champ data.aws.userIdentity.accountId pour des ID de règle spécifiques.
data.aws.userIdentity.principalId event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ data.aws.userIdentity.principalId pour des ID de règle spécifiques.
data.aws.userIdentity.sessionContext.sessionIssuer.arn event.idm.read_only_udm.target.resource.attribute.labels[].value Mappé directement à partir du champ data.aws.userIdentity.sessionContext.sessionIssuer.arn. La clé est définie sur "ARN".
data.aws.userIdentity.sessionContext.sessionIssuer.userName event.idm.read_only_udm.principal.user.user_display_name Mappé directement à partir du champ data.aws.userIdentity.sessionContext.sessionIssuer.userName pour des ID de règle spécifiques.
data.command event.idm.read_only_udm.target.file.full_path Mappé directement à partir du champ data.command.
data.docker.message event.idm.read_only_udm.security_result.description Mappé directement à partir du champ data.docker.message pour des types d'événements spécifiques.
data.dstuser event.idm.read_only_udm.target.user.userid Mappé directement à partir du champ data.dstuser.
data.file event.idm.read_only_udm.target.file.full_path Mappé directement à partir du champ data.file.
data.package event.idm.read_only_udm.target.asset.software[].name Mappé directement à partir du champ data.package.
data.srcip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ data.srcip.
data.srcuser event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ data.srcuser.
data.subject.account_domain event.idm.read_only_udm.target.administrative_domain Mappé directement à partir du champ data.subject.account_domain pour des ID de règle spécifiques.
data.subject.account_name event.idm.read_only_udm.target.user.user_display_name Mappé directement à partir du champ data.subject.account_name pour des ID de règle spécifiques.
data.subject.security_id event.idm.read_only_udm.target.user.windows_sid Mappé directement à partir du champ data.subject.security_id pour des ID de règle spécifiques.
data.title event.idm.read_only_udm.target.resource.name Mappé directement à partir du champ data.title.
data.version event.idm.read_only_udm.target.asset.software[].version Mappé directement à partir du champ data.version.
decoder.name event.idm.read_only_udm.about.resource.name, event.idm.read_only_udm.target.application Mappé directement à partir du champ decoder.name. Utilisé également pour l'application cible dans certains cas.
decoder.parent event.idm.read_only_udm.about.resource.parent Mappé directement à partir du champ decoder.parent.
Description event.idm.read_only_udm.metadata.description Mappé directement à partir du champ Description.
Destination event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port Analyse pour extraire l'adresse IP et le port cibles.
DestinationIPAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ DestinationIPAddress.
DestinationPort event.idm.read_only_udm.target.port Mappé directement à partir du champ DestinationPort et converti en entier.
device_ip_address event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ device_ip_address.
feature event.idm.read_only_udm.metadata.product_event_type Mappé directement à partir du champ feature, parfois combiné à message_type.
file_path event.idm.read_only_udm.target.file.full_path Mappé directement à partir du champ file_path.
Framed-IP-Address event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ Framed-IP-Address.
full_log event.idm.read_only_udm.principal.port, event.idm.read_only_udm.security_result.description, event.idm.read_only_udm.about.labels[].value Analyse pour extraire le numéro de port, la description du résultat de sécurité et l'ID de connexion de l'objet.
Hashes event.idm.read_only_udm.target.process.file.sha256, event.idm.read_only_udm.target.process.file.md5 Analysé pour extraire les hachages SHA256 et MD5.
hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ hostname.
Image event.idm.read_only_udm.target.process.file.full_path Mappé directement à partir du champ Image.
IntegrityLevel event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ IntegrityLevel. La clé est définie sur "Niveau d'intégrité".
kv_data event.idm.read_only_udm.target.process.file.full_path, event.idm.read_only_udm.target.process.pid, event.idm.read_only_udm.target.process.parent_process.file.full_path, event.idm.read_only_udm.target.process.parent_process.command_line, event.idm.read_only_udm.target.process.parent_process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id, event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.additional.fields[].value.string_value Analyse pour extraire divers champs liés à la création de processus, aux hachages de fichiers et à la description.
kv_log_data event.idm.read_only_udm.security_result.severity_details Analyse pour extraire le niveau d'alerte.
location event.idm.read_only_udm.target.file.full_path Mappé directement à partir du champ location.
LogonGuid event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ LogonGuid après suppression des accolades. La clé est définie sur "Logon Guid".
LogonId event.idm.read_only_udm.about.labels[].value, event.idm.read_only_udm.additional.fields[].value.string_value Utilisé pour l'ID de connexion de l'objet dans les événements de déconnexion et mappé directement pour d'autres événements. La clé est définie sur "ID de connexion".
log_description event.idm.read_only_udm.metadata.description Mappé directement à partir du champ log_description.
log_message event.idm.read_only_udm.target.file.full_path, event.idm.read_only_udm.metadata.description Analyse pour extraire le chemin d'accès et la description du journal.
manager.name event.idm.read_only_udm.about.user.userid, event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ manager.name. Utilisé également pour l'ID utilisateur principal dans certains cas.
md5 event.idm.read_only_udm.target.process.file.md5 Mappé directement à partir du champ md5.
message event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.process.command_line, event.idm.read_only_udm.network.http.method, event.idm.read_only_udm.network.http.response_code, event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.principal.nat_ip, event.idm.read_only_udm.principal.nat_port, event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.network.session_id, event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.additional.fields[].value.number_value, event.idm.read_only_udm.target.url, event.idm.read_only_udm.target.application, event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.rule_type, event.idm.read_only_udm.security_result.description, event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.principal.process.pid, event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.severity_details Analyse avec grok pour extraire différents champs en fonction du format de journal.
message_data event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.network.sent_bytes, event.idm.read_only_udm.network.received_bytes, event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.metadata.event_type Analyse pour extraire les données de message, les adresses IP, les ports, les octets envoyés/reçus et le type d'événement.
message_type event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.description Mappé directement à partir du champ message_type, parfois combiné à feature. Utilisé également pour la description dans certains cas.
method event.idm.read_only_udm.network.http.method Mappé directement à partir du champ method.
NAS-IP-Address event.idm.read_only_udm.principal.nat_ip Mappé directement à partir du champ NAS-IP-Address.
NAS-Port event.idm.read_only_udm.principal.nat_port Mappé directement à partir du champ NAS-Port et converti en entier.
NAS-Port-Type event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappé directement à partir du champ NAS-Port-Type. La clé est définie sur "nas_port_type".
NetworkDeviceName event.idm.read_only_udm.intermediary.hostname Mappé directement à partir du champ NetworkDeviceName après suppression des barres obliques arrière.
ParentCommandLine event.idm.read_only_udm.target.process.parent_process.command_line Mappé directement à partir du champ ParentCommandLine.
ParentImage event.idm.read_only_udm.target.process.parent_process.file.full_path Mappé directement à partir du champ ParentImage.
ParentProcessGuid event.idm.read_only_udm.target.process.parent_process.product_specific_process_id Mappé directement à partir du champ ParentProcessGuid après avoir supprimé les accolades et ajouté "ID:".
ParentProcessId event.idm.read_only_udm.target.process.parent_process.pid Mappé directement à partir du champ ParentProcessId.
predecoder.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ predecoder.hostname.
ProcessGuid event.idm.read_only_udm.target.process.product_specific_process_id Mappé directement à partir du champ ProcessGuid après avoir supprimé les accolades et ajouté "ID:".
ProcessId event.idm.read_only_udm.target.process.pid Mappé directement à partir du champ ProcessId.
product_event_type event.idm.read_only_udm.metadata.product_event_type Mappé directement à partir du champ product_event_type.
response_code event.idm.read_only_udm.network.http.response_code Mappé directement à partir du champ response_code et converti en entier.
rule.description event.idm.read_only_udm.metadata.event_type, event.idm.read_only_udm.security_result.summary Permet de déterminer le type d'événement et est mappé directement au résumé des résultats de sécurité.
rule.id event.idm.read_only_udm.metadata.product_log_id, event.idm.read_only_udm.security_result.rule_id Mappé directement à partir du champ rule.id.
rule.info event.idm.read_only_udm.target.url Mappé directement à partir du champ rule.info.
rule.level event.idm.is_alert, event.idm.is_significant, event.idm.read_only_udm.security_result.severity_details Permet de déterminer si l'événement est une alerte ou s'il est important, et de définir les détails de gravité.
r_cat_name event.idm.read_only_udm.metadata.event_type Permet de déterminer le type d'événement.
r_msg_id event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ r_msg_id.
security_result.severity event.idm.read_only_udm.security_result.severity Mappé directement à partir du champ security_result.severity.
ServerIP event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ ServerIP.
ServerPort event.idm.read_only_udm.target.port Mappé directement à partir du champ ServerPort et converti en entier.
sha256 event.idm.read_only_udm.target.process.file.sha256 Mappé directement à partir du champ sha256.
Source event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port Analyse pour extraire l'adresse IP et le port principaux.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ src_ip.
sr_description event.idm.read_only_udm.metadata.event_type, event.idm.read_only_udm.security_result.description Permet de déterminer le type d'événement et est mappé directement à la description du résultat de sécurité.
syscheck.md5_after event.idm.read_only_udm.target.process.file.md5 Mappé directement à partir du champ syscheck.md5_after.
syscheck.md5_before event.idm.read_only_udm.src.process.file.md5 Mappé directement à partir du champ syscheck.md5_before.
syscheck.path event.idm.read_only_udm.target.file.full_path Mappé directement à partir du champ syscheck.path.
syscheck.sha1_after event.idm.read_only_udm.target.process.file.sha1 Mappé directement à partir du champ syscheck.sha1_after.
syscheck.sha1_before event.idm.read_only_udm.src.process.file.sha1 Mappé directement à partir du champ syscheck.sha1_before.
syscheck.sha256_after event.idm.read_only_udm.target.process.file.sha256 Mappé directement à partir du champ syscheck.sha256_after.
syscheck.sha256_before event.idm.read_only_udm.src.process.file.sha256 Mappé directement à partir du champ syscheck.sha256_before.
syscheck.size_after event.idm.read_only_udm.target.process.file.size Mappé directement à partir du champ syscheck.size_after et converti en entier non signé.
syscheck.size_before event.idm.read_only_udm.src.process.file.size Mappé directement à partir du champ syscheck.size_before et converti en entier non signé.
syscheck.uname_after event.idm.read_only_udm.principal.user.user_display_name Mappé directement à partir du champ syscheck.uname_after.
target_url event.idm.read_only_udm.target.url Mappé directement à partir du champ target_url.
timestamp event.idm.read_only_udm.metadata.event_timestamp Mappé directement à partir du champ timestamp.
Total_bytes_recv event.idm.read_only_udm.network.received_bytes Mappé directement à partir du champ Total_bytes_recv et converti en entier non signé.
Total_bytes_send event.idm.read_only_udm.network.sent_bytes Mappé directement à partir du champ Total_bytes_send et converti en entier non signé.
User-Name event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac Mappé directement à partir du champ User-Name s'il ne s'agit pas d'une adresse MAC. Sinon, il est analysé en tant qu'adresse MAC.
user_agent event.idm.read_only_udm.network.http.user_agent Mappé directement à partir du champ user_agent.
user_id event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ user_id.
UserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac Mappé directement à partir du champ UserName s'il ne s'agit pas d'une adresse MAC. Sinon, il est analysé en tant qu'adresse MAC.
VserverServiceIP event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ VserverServiceIP.
VserverServicePort event.idm.read_only_udm.target.port Mappé directement à partir du champ VserverServicePort et converti en entier.
win.system.channel event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ win.system.channel. La clé est définie sur "channel".
win.system.computer event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappé directement à partir du champ win.system.computer. La clé est définie sur "computer".
win.system.eventID event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ win.system.eventID.
win.system.message_description event.idm.read_only_udm.metadata.description Mappé directement à partir du champ win.system.message_description.
win.system.processID event.idm.read_only_udm.principal.process.pid Mappé directement à partir du champ win.system.processID.
win.system.providerGuid event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappé directement à partir du champ win.system.providerGuid. La clé est définie sur "providerGuid".
win.system.providerName event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappé directement à partir du champ win.system.providerName. La clé est définie sur "providerName".
win.system.severityValue event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.security_result.severity_details Mappé directement à partir du champ win.system.severityValue s'il s'agit d'une valeur de gravité valide.
win.system.systemTime event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ win.system.systemTime. La clé est définie sur "systemTime".
win.system.threadID event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ win.system.threadID. La clé est définie sur "threadID".
N/A event.idm.read_only_udm.metadata.event_type La valeur par défaut est "GENERIC_EVENT", mais elle est remplacée par une logique spécifique pour différents types d'événements.
N/A event.idm.read_only_udm.extensions.auth.mechanism Définissez cette valeur sur "REMOTE" pour les événements de connexion.
N/A event.idm.read_only_udm.extensions.auth.type Défini sur "PASSWORD" pour les événements de connexion/déconnexion, remplacé par "MACHINE" pour certains événements.
N/A event.idm.read_only_udm.network.ip_protocol Définissez cette valeur sur "TCP" pour les connexions réseau TCP.
N/A event.idm.read_only_udm.security_result.action Définissez cette valeur sur "ALLOW" pour les événements de connexion et de réussite, et sur "BLOCK" pour les événements d'échec.
N/A event.idm.is_alert Définissez la valeur sur true si rule.level est inférieur ou égal à 12.
N/A event.idm.is_significant Définissez cette valeur sur true si rule.level est supérieur à 12, et sur false dans le cas contraire.
N/A event.idm.read_only_udm.metadata.log_type Définissez-le sur "WAZUH".
N/A event.idm.read_only_udm.metadata.product_name Définissez-le sur "Wazuh".

Modifications

2024-03-04

  • Ajout de la compatibilité avec les journaux syslog SVROSSEC.
  • "file_path" a été mappé sur "target.file.full_path".
  • "registry_key" a été mappé sur "target.registry.registry_key".
  • "user_name" a été mappé sur "principal.user.userid".
  • "log_description" a été mappé sur "metadata.description".
  • "action_data" a été mappé sur "security_result.action_details".
  • "src_host" a été mappé sur "principal.hostname".
  • Mappage de "rule_id" sur "security_result.rule_id".
  • Mappage de "classification" sur "security_result.detection_fields".
  • Mappage de "rule_summary" sur "security_result.summary".
  • Mise en correspondance alignée pour "principal.hostname" et "principal.asset.hostname".
  • Mise en correspondance alignée pour "principal.ip" et "principal.asset.ip".
  • Mise en correspondance alignée pour "target.ip" et "target.asset.ip".

2023-07-17

  • Ajout d'un modèle Grok pour analyser les journaux syslog non analysés.
  • Ajout d'une vérification de valeur nulle pour "predecoder.hostname".

2022-10-14

  • Augmentation du pourcentage d'analyse.
  • Ajout de la possibilité d'analyser le format syslog.