Raccogliere i log di Wazuh
Panoramica
Questo parser Wazuh importa i log formattati in SYSLOG e JSON, normalizza i campi in un formato comune e li arricchisce con metadati specifici di Wazuh. Utilizza poi una serie di istruzioni condizionali basate sui campi event_type e rule_id per mappare i dati non elaborati dei log ai tipi di eventi e ai campi UDM appropriati, gestendo vari formati di log e casi limite all'interno dell'ecosistema Wazuh.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di avere un'istanza Wazuh attiva.
- Assicurati di disporre dell'accesso privilegiato ai file di configurazione di Wazuh.
Configura un feed in Google SecOps per importare i log di Wazuh
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Wazuh).
- Seleziona Webhook come Tipo di origine.
- Seleziona Wazuh come Tipo di log.
- Fai clic su Avanti.
- (Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
\n
. - Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
- Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
- Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
- Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL endpoint nell'applicazione client.
- Fai clic su Fine.
Crea una chiave API per il feed webhook
Vai alla console Google Cloud > Credenziali.
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso alla chiave API all'API Google Security Operations.
Specifica l'URL dell'endpoint
- Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Consiglio: specifica la chiave API come intestazione anziché nell'URL. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Sostituisci quanto segue:
ENDPOINT_URL
: l'URL dell'endpoint del feed.API_KEY
: la chiave API per l'autenticazione in Google Security Operations.SECRET
: la chiave segreta che hai generato per autenticare il feed.
Configurare il webhook Wazuh Cloud
Completa i seguenti passaggi per configurare l'webhook Wazuh Cloud:
- Accedi a Wazuh Cloud.
- Vai a Impostazioni nel menu del riquadro a sinistra in Gestione del server.
- Fai clic su Modifica configurazione.
Aggiungi il seguente blocco di integrazione nella sezione
<integration>
della configurazione.- Se la sezione non esiste, copia l'intero blocco con
<integration>
per crearne una. - Sostituisci i valori segnaposto con i dettagli effettivi di Google SecOps:
- Se la sezione non esiste, copia l'intero blocco con
<integration>
<name>google-chronicle</name>
<hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
<alert_format>json</alert_format>
<level>0</level> <!-- Adjust the level as needed -->
</integration>
CHRONICLE_REGION
: la regione di Google SecOps (ad esempious
,europe-west1
).GOOGLE_PROJECT_NUMBER
: il numero del tuo progetto Google Cloud.LOCATION
: la regione di Google SecOps (ad esempious
,europe-west1
).CUSTOMER_ID
: il tuo ID cliente Google SecOps.FEED_ID
: l'ID del feed di Google SecOps.API_KEY
: la chiave API del tuo account Google Cloud che ospita Google SecOps.SECRET
: il segreto del tuo feed Google SecOps.alert_format
: impostato sujson
per la compatibilità con Google SecOps.level
: specifica il livello di avviso minimo da inoltrare.0
invia tutti gli avvisi.
- Fai clic sul pulsante Salva.
- Fai clic su Riavvia wazuh-manager.
Configurare il webhook Wazuh on-premise
Completa i seguenti passaggi per configurare l'webhook Wazuh on-premise:
- Accedi al tuo Wazuh Manager on-premise.
- Vai alla directory
/var/ossec/etc/
. - Apri il file
ossec.conf
utilizzando un editor di testo (ad esempionano
,vim
). Aggiungi il seguente blocco di integrazione nella sezione
<integration>
della configurazione.- Se la sezione non esiste, copia l'intero blocco con
<integration>
per crearne una. - Sostituisci i valori segnaposto con i dettagli effettivi di Google SecOps:
<integration> <name>google-chronicle</name> <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url> <alert_format>json</alert_format> <level>0</level> <!-- Adjust the level as needed --> </integration>
CHRONICLE_REGION
: la regione di Google SecOps (ad esempious
,europe-west1
).GOOGLE_PROJECT_NUMBER
: il numero del tuo progetto Google Cloud.LOCATION
: la regione di Google SecOps (ad esempious
,europe-west1
).CUSTOMER_ID
: il tuo ID cliente Google SecOps.FEED_ID
: l'ID del feed di Google SecOps.API_KEY
: la chiave API del tuo account Google Cloud che ospita Google SecOps.SECRET
: il segreto del tuo feed Google SecOps.alert_format
: impostato sujson
per la compatibilità con Google SecOps.level
: specifica il livello di avviso minimo da inoltrare.0
invia tutti gli avvisi.
- Se la sezione non esiste, copia l'intero blocco con
Riavvia Wazuh Manager per applicare le modifiche:
sudo systemctl restart wazuh-manager
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
Acct-Authentic |
event.idm.read_only_udm.security_result.authentication_mechanism |
Mappato direttamente dal campo Acct-Authentic . |
Acct-Status-Type |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo Acct-Status-Type . La chiave è impostata su "Acct-Status-Type". |
agent.id |
event.idm.read_only_udm.intermediary.resource.id |
Mappato direttamente dal campo agent.id . |
agent.ip |
event.idm.read_only_udm.intermediary.ip , event.idm.read_only_udm.intermediary.asset.ip , event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo agent.ip . In alcuni casi, viene utilizzato anche per l'IP principale/target in base al tipo di evento. |
agent.name |
event.idm.read_only_udm.security_result.about.hostname |
Mappato direttamente dal campo agent.name . |
application |
event.idm.read_only_udm.target.application |
Mappato direttamente dal campo application di Wazuh. |
audit-session-id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo audit-session-id . |
ClientIP |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo ClientIP . |
ClientPort |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo ClientPort e convertito in numero intero. |
cmd |
event.idm.read_only_udm.target.process.command_line |
Mappato direttamente dal campo cmd . |
CommandLine |
event.idm.read_only_udm.target.process.command_line |
Mappato direttamente dal campo CommandLine . |
ConfigVersionId |
event.idm.read_only_udm.additional.fields[].value.number_value |
Mappato direttamente dal campo ConfigVersionId . La chiave è impostata su "Config Version Id". |
data.Account Number |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo data.Account Number per ID regola specifici. |
data.Control |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente dal campo data.Control per ID regola specifici. |
data.Message |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo data.Message per ID regola specifici. |
data.Profile |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo data.Profile per ID regola specifici. |
data.Region |
event.idm.read_only_udm.principal.location.name |
Mappato direttamente dal campo data.Region per ID regola specifici. |
data.Status |
event.idm.read_only_udm.security_result.action |
Mappato dal campo data.Status . Se il valore è "Pass" o "AUDIT_SUCCESS", l'azione viene impostata su "ALLOW". Se il valore è "ERROR", "AUDIT_FAILURE" o "FAIL", l'azione viene impostata su "BLOCK". |
data.aws.awsRegion |
event.idm.read_only_udm.principal.location.name |
Mappato direttamente dal campo data.aws.awsRegion per ID regola specifici. |
data.aws.eventID |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappato direttamente dal campo data.aws.eventID . La chiave è impostata su "Event ID". |
data.aws.eventName |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo data.aws.eventName per ID regola specifici. |
data.aws.eventSource |
event.idm.read_only_udm.metadata.url_back_to_product |
Mappato direttamente dal campo data.aws.eventSource per ID regola specifici. |
data.aws.eventType |
event.idm.read_only_udm.metadata.product_event_type |
Mappato direttamente dal campo data.aws.eventType per ID regola specifici. |
data.aws.requestID |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappato direttamente dal campo data.aws.requestID . La chiave è impostata su "ID richiesta". |
data.aws.requestParameters.loadBalancerName |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappato direttamente dal campo data.aws.requestParameters.loadBalancerName . La chiave è impostata su "Nome bilanciatore del carico". |
data.aws.sourceIPAddress |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo data.aws.sourceIPAddress per ID regola specifici. |
data.aws.source_ip_address |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo data.aws.source_ip_address . |
data.aws.userIdentity.accountId |
event.idm.read_only_udm.principal.user.product_object_id |
Mappato direttamente dal campo data.aws.userIdentity.accountId per ID regola specifici. |
data.aws.userIdentity.principalId |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo data.aws.userIdentity.principalId per ID regola specifici. |
data.aws.userIdentity.sessionContext.sessionIssuer.arn |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappato direttamente dal campo data.aws.userIdentity.sessionContext.sessionIssuer.arn . La chiave è impostata su "ARN". |
data.aws.userIdentity.sessionContext.sessionIssuer.userName |
event.idm.read_only_udm.principal.user.user_display_name |
Mappato direttamente dal campo data.aws.userIdentity.sessionContext.sessionIssuer.userName per ID regola specifici. |
data.command |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente dal campo data.command . |
data.docker.message |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo data.docker.message per tipi di eventi specifici. |
data.dstuser |
event.idm.read_only_udm.target.user.userid |
Mappato direttamente dal campo data.dstuser . |
data.file |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente dal campo data.file . |
data.package |
event.idm.read_only_udm.target.asset.software[].name |
Mappato direttamente dal campo data.package . |
data.srcip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo data.srcip . |
data.srcuser |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo data.srcuser . |
data.subject.account_domain |
event.idm.read_only_udm.target.administrative_domain |
Mappato direttamente dal campo data.subject.account_domain per ID regola specifici. |
data.subject.account_name |
event.idm.read_only_udm.target.user.user_display_name |
Mappato direttamente dal campo data.subject.account_name per ID regola specifici. |
data.subject.security_id |
event.idm.read_only_udm.target.user.windows_sid |
Mappato direttamente dal campo data.subject.security_id per ID regola specifici. |
data.title |
event.idm.read_only_udm.target.resource.name |
Mappato direttamente dal campo data.title . |
data.version |
event.idm.read_only_udm.target.asset.software[].version |
Mappato direttamente dal campo data.version . |
decoder.name |
event.idm.read_only_udm.about.resource.name , event.idm.read_only_udm.target.application |
Mappato direttamente dal campo decoder.name . In alcuni casi viene utilizzato anche per l'applicazione di destinazione. |
decoder.parent |
event.idm.read_only_udm.about.resource.parent |
Mappato direttamente dal campo decoder.parent . |
Description |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo Description . |
Destination |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.target.port |
Analizzata per estrarre l'IP e la porta di destinazione. |
DestinationIPAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo DestinationIPAddress . |
DestinationPort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo DestinationPort e convertito in numero intero. |
device_ip_address |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo device_ip_address . |
feature |
event.idm.read_only_udm.metadata.product_event_type |
Mappato direttamente dal campo feature , a volte combinato con message_type . |
file_path |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente dal campo file_path . |
Framed-IP-Address |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo Framed-IP-Address . |
full_log |
event.idm.read_only_udm.principal.port , event.idm.read_only_udm.security_result.description , event.idm.read_only_udm.about.labels[].value |
Analizzati per estrarre il numero di porta, la descrizione del risultato di sicurezza e l'ID di accesso dell'oggetto. |
Hashes |
event.idm.read_only_udm.target.process.file.sha256 , event.idm.read_only_udm.target.process.file.md5 |
Analizzati per estrarre gli hash SHA256 e MD5. |
hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo hostname . |
Image |
event.idm.read_only_udm.target.process.file.full_path |
Mappato direttamente dal campo Image . |
IntegrityLevel |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo IntegrityLevel . La chiave è impostata su "Livello di integrità". |
kv_data |
event.idm.read_only_udm.target.process.file.full_path , event.idm.read_only_udm.target.process.pid , event.idm.read_only_udm.target.process.parent_process.file.full_path , event.idm.read_only_udm.target.process.parent_process.command_line , event.idm.read_only_udm.target.process.parent_process.product_specific_process_id , event.idm.read_only_udm.target.process.product_specific_process_id , event.idm.read_only_udm.metadata.description , event.idm.read_only_udm.additional.fields[].value.string_value |
Analizzati per estrarre vari campi relativi alla creazione del processo, agli hash dei file e alla descrizione. |
kv_log_data |
event.idm.read_only_udm.security_result.severity_details |
Analizzata per estrarre il livello di avviso. |
location |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente dal campo location . |
LogonGuid |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo LogonGuid dopo aver rimosso le parentesi graffe. La chiave è impostata su "Logon Guid". |
LogonId |
event.idm.read_only_udm.about.labels[].value , event.idm.read_only_udm.additional.fields[].value.string_value |
Utilizzato per l'ID di accesso dell'oggetto negli eventi di disconnessione e mappato direttamente per altri eventi. La chiave è impostata su "Logon id". |
log_description |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo log_description . |
log_message |
event.idm.read_only_udm.target.file.full_path , event.idm.read_only_udm.metadata.description |
Analizzati per estrarre il percorso e la descrizione del log. |
manager.name |
event.idm.read_only_udm.about.user.userid , event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo manager.name . In alcuni casi viene utilizzato anche per l'ID utente principale. |
md5 |
event.idm.read_only_udm.target.process.file.md5 |
Mappato direttamente dal campo md5 . |
message |
event.idm.read_only_udm.metadata.product_event_type , event.idm.read_only_udm.metadata.description , event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.process.command_line , event.idm.read_only_udm.network.http.method , event.idm.read_only_udm.network.http.response_code , event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.mac , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.target.port , event.idm.read_only_udm.principal.nat_ip , event.idm.read_only_udm.principal.nat_port , event.idm.read_only_udm.security_result.severity , event.idm.read_only_udm.network.session_id , event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.additional.fields[].value.number_value , event.idm.read_only_udm.target.url , event.idm.read_only_udm.target.application , event.idm.read_only_udm.principal.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.rule_type , event.idm.read_only_udm.security_result.description , event.idm.read_only_udm.network.http.user_agent , event.idm.read_only_udm.principal.process.pid , event.idm.read_only_udm.principal.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.severity_details |
Analizzati utilizzando grok per estrarre vari campi a seconda del formato del log. |
message_data |
event.idm.read_only_udm.metadata.description , event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.principal.port , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.target.port , event.idm.read_only_udm.network.sent_bytes , event.idm.read_only_udm.network.received_bytes , event.idm.read_only_udm.network.ip_protocol , event.idm.read_only_udm.metadata.event_type |
Analizzati per estrarre i dati dei messaggi, gli indirizzi IP, le porte, i byte inviati/ricevuti e il tipo di evento. |
message_type |
event.idm.read_only_udm.metadata.product_event_type , event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo message_type , a volte combinato con feature . In alcuni casi viene utilizzato anche per la descrizione. |
method |
event.idm.read_only_udm.network.http.method |
Mappato direttamente dal campo method . |
NAS-IP-Address |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo NAS-IP-Address . |
NAS-Port |
event.idm.read_only_udm.principal.nat_port |
Mappato direttamente dal campo NAS-Port e convertito in numero intero. |
NAS-Port-Type |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
Mappato direttamente dal campo NAS-Port-Type . La chiave è impostata su "nas_port_type". |
NetworkDeviceName |
event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo NetworkDeviceName dopo la rimozione delle barre oblique. |
ParentCommandLine |
event.idm.read_only_udm.target.process.parent_process.command_line |
Mappato direttamente dal campo ParentCommandLine . |
ParentImage |
event.idm.read_only_udm.target.process.parent_process.file.full_path |
Mappato direttamente dal campo ParentImage . |
ParentProcessGuid |
event.idm.read_only_udm.target.process.parent_process.product_specific_process_id |
Mappato direttamente dal campo ParentProcessGuid dopo aver rimosso le parentesi graffe e anteposto "ID:". |
ParentProcessId |
event.idm.read_only_udm.target.process.parent_process.pid |
Mappato direttamente dal campo ParentProcessId . |
predecoder.hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo predecoder.hostname . |
ProcessGuid |
event.idm.read_only_udm.target.process.product_specific_process_id |
Mappato direttamente dal campo ProcessGuid dopo aver rimosso le parentesi graffe e anteposto "ID:". |
ProcessId |
event.idm.read_only_udm.target.process.pid |
Mappato direttamente dal campo ProcessId . |
product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Mappato direttamente dal campo product_event_type . |
response_code |
event.idm.read_only_udm.network.http.response_code |
Mappato direttamente dal campo response_code e convertito in numero intero. |
rule.description |
event.idm.read_only_udm.metadata.event_type , event.idm.read_only_udm.security_result.summary |
Utilizzato per determinare il tipo di evento e mappato direttamente al riepilogo dei risultati di sicurezza. |
rule.id |
event.idm.read_only_udm.metadata.product_log_id , event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo rule.id . |
rule.info |
event.idm.read_only_udm.target.url |
Mappato direttamente dal campo rule.info . |
rule.level |
event.idm.is_alert , event.idm.is_significant , event.idm.read_only_udm.security_result.severity_details |
Utilizzato per determinare se l'evento è un avviso o significativo e per impostare i dettagli della gravità. |
r_cat_name |
event.idm.read_only_udm.metadata.event_type |
Utilizzato per determinare il tipo di evento. |
r_msg_id |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo r_msg_id . |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
Mappato direttamente dal campo security_result.severity . |
ServerIP |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo ServerIP . |
ServerPort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo ServerPort e convertito in numero intero. |
sha256 |
event.idm.read_only_udm.target.process.file.sha256 |
Mappato direttamente dal campo sha256 . |
Source |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.principal.port |
Analizzati per estrarre l'IP e la porta principali. |
src_ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo src_ip . |
sr_description |
event.idm.read_only_udm.metadata.event_type , event.idm.read_only_udm.security_result.description |
Utilizzato per determinare il tipo di evento e mappato direttamente alla descrizione del risultato di sicurezza. |
syscheck.md5_after |
event.idm.read_only_udm.target.process.file.md5 |
Mappato direttamente dal campo syscheck.md5_after . |
syscheck.md5_before |
event.idm.read_only_udm.src.process.file.md5 |
Mappato direttamente dal campo syscheck.md5_before . |
syscheck.path |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente dal campo syscheck.path . |
syscheck.sha1_after |
event.idm.read_only_udm.target.process.file.sha1 |
Mappato direttamente dal campo syscheck.sha1_after . |
syscheck.sha1_before |
event.idm.read_only_udm.src.process.file.sha1 |
Mappato direttamente dal campo syscheck.sha1_before . |
syscheck.sha256_after |
event.idm.read_only_udm.target.process.file.sha256 |
Mappato direttamente dal campo syscheck.sha256_after . |
syscheck.sha256_before |
event.idm.read_only_udm.src.process.file.sha256 |
Mappato direttamente dal campo syscheck.sha256_before . |
syscheck.size_after |
event.idm.read_only_udm.target.process.file.size |
Mappato direttamente dal campo syscheck.size_after e convertito in numero intero non firmato. |
syscheck.size_before |
event.idm.read_only_udm.src.process.file.size |
Mappato direttamente dal campo syscheck.size_before e convertito in numero intero non firmato. |
syscheck.uname_after |
event.idm.read_only_udm.principal.user.user_display_name |
Mappato direttamente dal campo syscheck.uname_after . |
target_url |
event.idm.read_only_udm.target.url |
Mappato direttamente dal campo target_url . |
timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Mappato direttamente dal campo timestamp . |
Total_bytes_recv |
event.idm.read_only_udm.network.received_bytes |
Mappato direttamente dal campo Total_bytes_recv e convertito in numero intero non firmato. |
Total_bytes_send |
event.idm.read_only_udm.network.sent_bytes |
Mappato direttamente dal campo Total_bytes_send e convertito in numero intero non firmato. |
User-Name |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.mac |
Mappato direttamente dal campo User-Name se non si tratta di un indirizzo MAC. In caso contrario, viene analizzato come indirizzo MAC. |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo user_agent . |
user_id |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo user_id . |
UserName |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.mac |
Mappato direttamente dal campo UserName se non si tratta di un indirizzo MAC. In caso contrario, viene analizzato come indirizzo MAC. |
VserverServiceIP |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo VserverServiceIP . |
VserverServicePort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo VserverServicePort e convertito in numero intero. |
win.system.channel |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo win.system.channel . La chiave è impostata su "channel". |
win.system.computer |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
Mappato direttamente dal campo win.system.computer . La chiave è impostata su "computer". |
win.system.eventID |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo win.system.eventID . |
win.system.message_description |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo win.system.message_description . |
win.system.processID |
event.idm.read_only_udm.principal.process.pid |
Mappato direttamente dal campo win.system.processID . |
win.system.providerGuid |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
Mappato direttamente dal campo win.system.providerGuid . La chiave è impostata su "providerGuid". |
win.system.providerName |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
Mappato direttamente dal campo win.system.providerName . La chiave è impostata su "providerName". |
win.system.severityValue |
event.idm.read_only_udm.security_result.severity , event.idm.read_only_udm.security_result.severity_details |
Mappato direttamente dal campo win.system.severityValue se si tratta di un valore di gravità valido. |
win.system.systemTime |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo win.system.systemTime . La chiave è impostata su "systemTime". |
win.system.threadID |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo win.system.threadID . La chiave è impostata su "threadID". |
N/D | event.idm.read_only_udm.metadata.event_type |
Impostato su "GENERIC_EVENT" come valore predefinito, sostituito da una logica specifica per diversi tipi di eventi. |
N/D | event.idm.read_only_udm.extensions.auth.mechanism |
Imposta su "REMOTE" per gli eventi di accesso. |
N/D | event.idm.read_only_udm.extensions.auth.type |
Impostato su "PASSWORD" per gli eventi di accesso/uscita, sostituito da "MACCHINA" per alcuni eventi. |
N/D | event.idm.read_only_udm.network.ip_protocol |
Imposta su "TCP" per le connessioni di rete TCP. |
N/D | event.idm.read_only_udm.security_result.action |
Imposta su "ALLOW" per gli eventi di accesso e riusciti, su "BLOCK" per gli eventi non riusciti. |
N/D | event.idm.is_alert |
Imposta true se rule.level è minore o uguale a 12. |
N/D | event.idm.is_significant |
Imposta true se rule.level è maggiore di 12, false in caso contrario. |
N/D | event.idm.read_only_udm.metadata.log_type |
Imposta su "WAZUH". |
N/D | event.idm.read_only_udm.metadata.product_name |
Imposta su "Wazuh". |
Modifiche
2024-03-04
- È stato aggiunto il supporto per i log syslog SVROSSEC.
- "file_path" è stato mappato a "target.file.full_path".
- "registry_key" è stato mappato a "target.registry.registry_key".
- "user_name" è stato mappato a "principal.user.userid".
- "log_description" è stato mappato a "metadata.description".
- "action_data" è stato mappato a "security_result.action_details".
- "src_host" è stato mappato a "principal.hostname".
- "rule_id" è stato mappato a "security_result.rule_id".
- "classificazione" è stato mappato a "security_result.detection_fields".
- "rule_summary" è stato mappato a "security_result.summary".
- Mappature allineate per "principal.hostname" e "principal.asset.hostname".
- Mappature allineate per "principal.ip" e "principal.asset.ip".
- Mappature allineate per "target.ip" e "target.asset.ip".
2023-07-17
- È stato aggiunto un pattern Grok per analizzare i log syslog non analizzati.
- È stato aggiunto il controllo null per "predecoder.hostname".
2022-10-14
- Aumento della percentuale di analisi.
- È stato aggiunto il supporto per l'analisi del pattern syslog.