Raccogliere i log di Wazuh

Supportato in:

Panoramica

Questo parser Wazuh importa i log formattati in SYSLOG e JSON, normalizza i campi in un formato comune e li arricchisce con metadati specifici di Wazuh. Utilizza poi una serie di istruzioni condizionali basate sui campi event_type e rule_id per mappare i dati non elaborati dei log ai tipi di eventi e ai campi UDM appropriati, gestendo vari formati di log e casi limite all'interno dell'ecosistema Wazuh.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di avere un'istanza Wazuh attiva.
  • Assicurati di disporre dell'accesso privilegiato ai file di configurazione di Wazuh.

Configura un feed in Google SecOps per importare i log di Wazuh

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Wazuh).
  4. Seleziona Webhook come Tipo di origine.
  5. Seleziona Wazuh come Tipo di log.
  6. Fai clic su Avanti.
  7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
  10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  11. Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  12. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL endpoint nell'applicazione client.
  13. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla console Google Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso alla chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

  1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    Consiglio: specifica la chiave API come intestazione anziché nell'URL. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

Sostituisci quanto segue:

  • ENDPOINT_URL: l'URL dell'endpoint del feed.
  • API_KEY: la chiave API per l'autenticazione in Google Security Operations.
  • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configurare il webhook Wazuh Cloud

Completa i seguenti passaggi per configurare l'webhook Wazuh Cloud:

  1. Accedi a Wazuh Cloud.
  2. Vai a Impostazioni nel menu del riquadro a sinistra in Gestione del server.
  3. Fai clic su Modifica configurazione.
  4. Aggiungi il seguente blocco di integrazione nella sezione <integration> della configurazione.

    • Se la sezione non esiste, copia l'intero blocco con <integration> per crearne una.
    • Sostituisci i valori segnaposto con i dettagli effettivi di Google SecOps:
<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>
  • CHRONICLE_REGION: la regione di Google SecOps (ad esempio us, europe-west1).
  • GOOGLE_PROJECT_NUMBER: il numero del tuo progetto Google Cloud.
  • LOCATION: la regione di Google SecOps (ad esempio us, europe-west1).
  • CUSTOMER_ID: il tuo ID cliente Google SecOps.
  • FEED_ID: l'ID del feed di Google SecOps.
  • API_KEY: la chiave API del tuo account Google Cloud che ospita Google SecOps.
  • SECRET: il segreto del tuo feed Google SecOps.
  • alert_format: impostato su json per la compatibilità con Google SecOps.
  • level: specifica il livello di avviso minimo da inoltrare. 0 invia tutti gli avvisi.
  1. Fai clic sul pulsante Salva.
  2. Fai clic su Riavvia wazuh-manager.

Configurare il webhook Wazuh on-premise

Completa i seguenti passaggi per configurare l'webhook Wazuh on-premise:

  1. Accedi al tuo Wazuh Manager on-premise.
  2. Vai alla directory /var/ossec/etc/.
  3. Apri il file ossec.conf utilizzando un editor di testo (ad esempio nano, vim).
  4. Aggiungi il seguente blocco di integrazione nella sezione <integration> della configurazione.

    • Se la sezione non esiste, copia l'intero blocco con <integration> per crearne una.
    • Sostituisci i valori segnaposto con i dettagli effettivi di Google SecOps:
    <integration>
       <name>google-chronicle</name>
       <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
       <alert_format>json</alert_format>
       <level>0</level>  <!-- Adjust the level as needed -->
    </integration>
    
    • CHRONICLE_REGION: la regione di Google SecOps (ad esempio us, europe-west1).
    • GOOGLE_PROJECT_NUMBER: il numero del tuo progetto Google Cloud.
    • LOCATION: la regione di Google SecOps (ad esempio us, europe-west1).
    • CUSTOMER_ID: il tuo ID cliente Google SecOps.
    • FEED_ID: l'ID del feed di Google SecOps.
    • API_KEY: la chiave API del tuo account Google Cloud che ospita Google SecOps.
    • SECRET: il segreto del tuo feed Google SecOps.
    • alert_format: impostato su json per la compatibilità con Google SecOps.
    • level: specifica il livello di avviso minimo da inoltrare. 0 invia tutti gli avvisi.
  5. Riavvia Wazuh Manager per applicare le modifiche:

    sudo systemctl restart wazuh-manager
    

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
Acct-Authentic event.idm.read_only_udm.security_result.authentication_mechanism Mappato direttamente dal campo Acct-Authentic.
Acct-Status-Type event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo Acct-Status-Type. La chiave è impostata su "Acct-Status-Type".
agent.id event.idm.read_only_udm.intermediary.resource.id Mappato direttamente dal campo agent.id.
agent.ip event.idm.read_only_udm.intermediary.ip, event.idm.read_only_udm.intermediary.asset.ip, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo agent.ip. In alcuni casi, viene utilizzato anche per l'IP principale/target in base al tipo di evento.
agent.name event.idm.read_only_udm.security_result.about.hostname Mappato direttamente dal campo agent.name.
application event.idm.read_only_udm.target.application Mappato direttamente dal campo application di Wazuh.
audit-session-id event.idm.read_only_udm.network.session_id Mappato direttamente dal campo audit-session-id.
ClientIP event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo ClientIP.
ClientPort event.idm.read_only_udm.principal.port Mappato direttamente dal campo ClientPort e convertito in numero intero.
cmd event.idm.read_only_udm.target.process.command_line Mappato direttamente dal campo cmd.
CommandLine event.idm.read_only_udm.target.process.command_line Mappato direttamente dal campo CommandLine.
ConfigVersionId event.idm.read_only_udm.additional.fields[].value.number_value Mappato direttamente dal campo ConfigVersionId. La chiave è impostata su "Config Version Id".
data.Account Number event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo data.Account Number per ID regola specifici.
data.Control event.idm.read_only_udm.security_result.action_details Mappato direttamente dal campo data.Control per ID regola specifici.
data.Message event.idm.read_only_udm.security_result.description Mappato direttamente dal campo data.Message per ID regola specifici.
data.Profile event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo data.Profile per ID regola specifici.
data.Region event.idm.read_only_udm.principal.location.name Mappato direttamente dal campo data.Region per ID regola specifici.
data.Status event.idm.read_only_udm.security_result.action Mappato dal campo data.Status. Se il valore è "Pass" o "AUDIT_SUCCESS", l'azione viene impostata su "ALLOW". Se il valore è "ERROR", "AUDIT_FAILURE" o "FAIL", l'azione viene impostata su "BLOCK".
data.aws.awsRegion event.idm.read_only_udm.principal.location.name Mappato direttamente dal campo data.aws.awsRegion per ID regola specifici.
data.aws.eventID event.idm.read_only_udm.target.resource.attribute.labels[].value Mappato direttamente dal campo data.aws.eventID. La chiave è impostata su "Event ID".
data.aws.eventName event.idm.read_only_udm.metadata.description Mappato direttamente dal campo data.aws.eventName per ID regola specifici.
data.aws.eventSource event.idm.read_only_udm.metadata.url_back_to_product Mappato direttamente dal campo data.aws.eventSource per ID regola specifici.
data.aws.eventType event.idm.read_only_udm.metadata.product_event_type Mappato direttamente dal campo data.aws.eventType per ID regola specifici.
data.aws.requestID event.idm.read_only_udm.target.resource.attribute.labels[].value Mappato direttamente dal campo data.aws.requestID. La chiave è impostata su "ID richiesta".
data.aws.requestParameters.loadBalancerName event.idm.read_only_udm.target.resource.attribute.labels[].value Mappato direttamente dal campo data.aws.requestParameters.loadBalancerName. La chiave è impostata su "Nome bilanciatore del carico".
data.aws.sourceIPAddress event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo data.aws.sourceIPAddress per ID regola specifici.
data.aws.source_ip_address event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo data.aws.source_ip_address.
data.aws.userIdentity.accountId event.idm.read_only_udm.principal.user.product_object_id Mappato direttamente dal campo data.aws.userIdentity.accountId per ID regola specifici.
data.aws.userIdentity.principalId event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo data.aws.userIdentity.principalId per ID regola specifici.
data.aws.userIdentity.sessionContext.sessionIssuer.arn event.idm.read_only_udm.target.resource.attribute.labels[].value Mappato direttamente dal campo data.aws.userIdentity.sessionContext.sessionIssuer.arn. La chiave è impostata su "ARN".
data.aws.userIdentity.sessionContext.sessionIssuer.userName event.idm.read_only_udm.principal.user.user_display_name Mappato direttamente dal campo data.aws.userIdentity.sessionContext.sessionIssuer.userName per ID regola specifici.
data.command event.idm.read_only_udm.target.file.full_path Mappato direttamente dal campo data.command.
data.docker.message event.idm.read_only_udm.security_result.description Mappato direttamente dal campo data.docker.message per tipi di eventi specifici.
data.dstuser event.idm.read_only_udm.target.user.userid Mappato direttamente dal campo data.dstuser.
data.file event.idm.read_only_udm.target.file.full_path Mappato direttamente dal campo data.file.
data.package event.idm.read_only_udm.target.asset.software[].name Mappato direttamente dal campo data.package.
data.srcip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo data.srcip.
data.srcuser event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo data.srcuser.
data.subject.account_domain event.idm.read_only_udm.target.administrative_domain Mappato direttamente dal campo data.subject.account_domain per ID regola specifici.
data.subject.account_name event.idm.read_only_udm.target.user.user_display_name Mappato direttamente dal campo data.subject.account_name per ID regola specifici.
data.subject.security_id event.idm.read_only_udm.target.user.windows_sid Mappato direttamente dal campo data.subject.security_id per ID regola specifici.
data.title event.idm.read_only_udm.target.resource.name Mappato direttamente dal campo data.title.
data.version event.idm.read_only_udm.target.asset.software[].version Mappato direttamente dal campo data.version.
decoder.name event.idm.read_only_udm.about.resource.name, event.idm.read_only_udm.target.application Mappato direttamente dal campo decoder.name. In alcuni casi viene utilizzato anche per l'applicazione di destinazione.
decoder.parent event.idm.read_only_udm.about.resource.parent Mappato direttamente dal campo decoder.parent.
Description event.idm.read_only_udm.metadata.description Mappato direttamente dal campo Description.
Destination event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port Analizzata per estrarre l'IP e la porta di destinazione.
DestinationIPAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo DestinationIPAddress.
DestinationPort event.idm.read_only_udm.target.port Mappato direttamente dal campo DestinationPort e convertito in numero intero.
device_ip_address event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo device_ip_address.
feature event.idm.read_only_udm.metadata.product_event_type Mappato direttamente dal campo feature, a volte combinato con message_type.
file_path event.idm.read_only_udm.target.file.full_path Mappato direttamente dal campo file_path.
Framed-IP-Address event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo Framed-IP-Address.
full_log event.idm.read_only_udm.principal.port, event.idm.read_only_udm.security_result.description, event.idm.read_only_udm.about.labels[].value Analizzati per estrarre il numero di porta, la descrizione del risultato di sicurezza e l'ID di accesso dell'oggetto.
Hashes event.idm.read_only_udm.target.process.file.sha256, event.idm.read_only_udm.target.process.file.md5 Analizzati per estrarre gli hash SHA256 e MD5.
hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo hostname.
Image event.idm.read_only_udm.target.process.file.full_path Mappato direttamente dal campo Image.
IntegrityLevel event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo IntegrityLevel. La chiave è impostata su "Livello di integrità".
kv_data event.idm.read_only_udm.target.process.file.full_path, event.idm.read_only_udm.target.process.pid, event.idm.read_only_udm.target.process.parent_process.file.full_path, event.idm.read_only_udm.target.process.parent_process.command_line, event.idm.read_only_udm.target.process.parent_process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id, event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.additional.fields[].value.string_value Analizzati per estrarre vari campi relativi alla creazione del processo, agli hash dei file e alla descrizione.
kv_log_data event.idm.read_only_udm.security_result.severity_details Analizzata per estrarre il livello di avviso.
location event.idm.read_only_udm.target.file.full_path Mappato direttamente dal campo location.
LogonGuid event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo LogonGuid dopo aver rimosso le parentesi graffe. La chiave è impostata su "Logon Guid".
LogonId event.idm.read_only_udm.about.labels[].value, event.idm.read_only_udm.additional.fields[].value.string_value Utilizzato per l'ID di accesso dell'oggetto negli eventi di disconnessione e mappato direttamente per altri eventi. La chiave è impostata su "Logon id".
log_description event.idm.read_only_udm.metadata.description Mappato direttamente dal campo log_description.
log_message event.idm.read_only_udm.target.file.full_path, event.idm.read_only_udm.metadata.description Analizzati per estrarre il percorso e la descrizione del log.
manager.name event.idm.read_only_udm.about.user.userid, event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo manager.name. In alcuni casi viene utilizzato anche per l'ID utente principale.
md5 event.idm.read_only_udm.target.process.file.md5 Mappato direttamente dal campo md5.
message event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.process.command_line, event.idm.read_only_udm.network.http.method, event.idm.read_only_udm.network.http.response_code, event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.principal.nat_ip, event.idm.read_only_udm.principal.nat_port, event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.network.session_id, event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.additional.fields[].value.number_value, event.idm.read_only_udm.target.url, event.idm.read_only_udm.target.application, event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.rule_type, event.idm.read_only_udm.security_result.description, event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.principal.process.pid, event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.severity_details Analizzati utilizzando grok per estrarre vari campi a seconda del formato del log.
message_data event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.target.port, event.idm.read_only_udm.network.sent_bytes, event.idm.read_only_udm.network.received_bytes, event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.metadata.event_type Analizzati per estrarre i dati dei messaggi, gli indirizzi IP, le porte, i byte inviati/ricevuti e il tipo di evento.
message_type event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.description Mappato direttamente dal campo message_type, a volte combinato con feature. In alcuni casi viene utilizzato anche per la descrizione.
method event.idm.read_only_udm.network.http.method Mappato direttamente dal campo method.
NAS-IP-Address event.idm.read_only_udm.principal.nat_ip Mappato direttamente dal campo NAS-IP-Address.
NAS-Port event.idm.read_only_udm.principal.nat_port Mappato direttamente dal campo NAS-Port e convertito in numero intero.
NAS-Port-Type event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappato direttamente dal campo NAS-Port-Type. La chiave è impostata su "nas_port_type".
NetworkDeviceName event.idm.read_only_udm.intermediary.hostname Mappato direttamente dal campo NetworkDeviceName dopo la rimozione delle barre oblique.
ParentCommandLine event.idm.read_only_udm.target.process.parent_process.command_line Mappato direttamente dal campo ParentCommandLine.
ParentImage event.idm.read_only_udm.target.process.parent_process.file.full_path Mappato direttamente dal campo ParentImage.
ParentProcessGuid event.idm.read_only_udm.target.process.parent_process.product_specific_process_id Mappato direttamente dal campo ParentProcessGuid dopo aver rimosso le parentesi graffe e anteposto "ID:".
ParentProcessId event.idm.read_only_udm.target.process.parent_process.pid Mappato direttamente dal campo ParentProcessId.
predecoder.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo predecoder.hostname.
ProcessGuid event.idm.read_only_udm.target.process.product_specific_process_id Mappato direttamente dal campo ProcessGuid dopo aver rimosso le parentesi graffe e anteposto "ID:".
ProcessId event.idm.read_only_udm.target.process.pid Mappato direttamente dal campo ProcessId.
product_event_type event.idm.read_only_udm.metadata.product_event_type Mappato direttamente dal campo product_event_type.
response_code event.idm.read_only_udm.network.http.response_code Mappato direttamente dal campo response_code e convertito in numero intero.
rule.description event.idm.read_only_udm.metadata.event_type, event.idm.read_only_udm.security_result.summary Utilizzato per determinare il tipo di evento e mappato direttamente al riepilogo dei risultati di sicurezza.
rule.id event.idm.read_only_udm.metadata.product_log_id, event.idm.read_only_udm.security_result.rule_id Mappato direttamente dal campo rule.id.
rule.info event.idm.read_only_udm.target.url Mappato direttamente dal campo rule.info.
rule.level event.idm.is_alert, event.idm.is_significant, event.idm.read_only_udm.security_result.severity_details Utilizzato per determinare se l'evento è un avviso o significativo e per impostare i dettagli della gravità.
r_cat_name event.idm.read_only_udm.metadata.event_type Utilizzato per determinare il tipo di evento.
r_msg_id event.idm.read_only_udm.metadata.product_log_id Mappato direttamente dal campo r_msg_id.
security_result.severity event.idm.read_only_udm.security_result.severity Mappato direttamente dal campo security_result.severity.
ServerIP event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo ServerIP.
ServerPort event.idm.read_only_udm.target.port Mappato direttamente dal campo ServerPort e convertito in numero intero.
sha256 event.idm.read_only_udm.target.process.file.sha256 Mappato direttamente dal campo sha256.
Source event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.principal.port Analizzati per estrarre l'IP e la porta principali.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo src_ip.
sr_description event.idm.read_only_udm.metadata.event_type, event.idm.read_only_udm.security_result.description Utilizzato per determinare il tipo di evento e mappato direttamente alla descrizione del risultato di sicurezza.
syscheck.md5_after event.idm.read_only_udm.target.process.file.md5 Mappato direttamente dal campo syscheck.md5_after.
syscheck.md5_before event.idm.read_only_udm.src.process.file.md5 Mappato direttamente dal campo syscheck.md5_before.
syscheck.path event.idm.read_only_udm.target.file.full_path Mappato direttamente dal campo syscheck.path.
syscheck.sha1_after event.idm.read_only_udm.target.process.file.sha1 Mappato direttamente dal campo syscheck.sha1_after.
syscheck.sha1_before event.idm.read_only_udm.src.process.file.sha1 Mappato direttamente dal campo syscheck.sha1_before.
syscheck.sha256_after event.idm.read_only_udm.target.process.file.sha256 Mappato direttamente dal campo syscheck.sha256_after.
syscheck.sha256_before event.idm.read_only_udm.src.process.file.sha256 Mappato direttamente dal campo syscheck.sha256_before.
syscheck.size_after event.idm.read_only_udm.target.process.file.size Mappato direttamente dal campo syscheck.size_after e convertito in numero intero non firmato.
syscheck.size_before event.idm.read_only_udm.src.process.file.size Mappato direttamente dal campo syscheck.size_before e convertito in numero intero non firmato.
syscheck.uname_after event.idm.read_only_udm.principal.user.user_display_name Mappato direttamente dal campo syscheck.uname_after.
target_url event.idm.read_only_udm.target.url Mappato direttamente dal campo target_url.
timestamp event.idm.read_only_udm.metadata.event_timestamp Mappato direttamente dal campo timestamp.
Total_bytes_recv event.idm.read_only_udm.network.received_bytes Mappato direttamente dal campo Total_bytes_recv e convertito in numero intero non firmato.
Total_bytes_send event.idm.read_only_udm.network.sent_bytes Mappato direttamente dal campo Total_bytes_send e convertito in numero intero non firmato.
User-Name event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac Mappato direttamente dal campo User-Name se non si tratta di un indirizzo MAC. In caso contrario, viene analizzato come indirizzo MAC.
user_agent event.idm.read_only_udm.network.http.user_agent Mappato direttamente dal campo user_agent.
user_id event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo user_id.
UserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.mac Mappato direttamente dal campo UserName se non si tratta di un indirizzo MAC. In caso contrario, viene analizzato come indirizzo MAC.
VserverServiceIP event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo VserverServiceIP.
VserverServicePort event.idm.read_only_udm.target.port Mappato direttamente dal campo VserverServicePort e convertito in numero intero.
win.system.channel event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo win.system.channel. La chiave è impostata su "channel".
win.system.computer event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappato direttamente dal campo win.system.computer. La chiave è impostata su "computer".
win.system.eventID event.idm.read_only_udm.metadata.product_log_id Mappato direttamente dal campo win.system.eventID.
win.system.message_description event.idm.read_only_udm.metadata.description Mappato direttamente dal campo win.system.message_description.
win.system.processID event.idm.read_only_udm.principal.process.pid Mappato direttamente dal campo win.system.processID.
win.system.providerGuid event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappato direttamente dal campo win.system.providerGuid. La chiave è impostata su "providerGuid".
win.system.providerName event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappato direttamente dal campo win.system.providerName. La chiave è impostata su "providerName".
win.system.severityValue event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.security_result.severity_details Mappato direttamente dal campo win.system.severityValue se si tratta di un valore di gravità valido.
win.system.systemTime event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo win.system.systemTime. La chiave è impostata su "systemTime".
win.system.threadID event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo win.system.threadID. La chiave è impostata su "threadID".
N/D event.idm.read_only_udm.metadata.event_type Impostato su "GENERIC_EVENT" come valore predefinito, sostituito da una logica specifica per diversi tipi di eventi.
N/D event.idm.read_only_udm.extensions.auth.mechanism Imposta su "REMOTE" per gli eventi di accesso.
N/D event.idm.read_only_udm.extensions.auth.type Impostato su "PASSWORD" per gli eventi di accesso/uscita, sostituito da "MACCHINA" per alcuni eventi.
N/D event.idm.read_only_udm.network.ip_protocol Imposta su "TCP" per le connessioni di rete TCP.
N/D event.idm.read_only_udm.security_result.action Imposta su "ALLOW" per gli eventi di accesso e riusciti, su "BLOCK" per gli eventi non riusciti.
N/D event.idm.is_alert Imposta true se rule.level è minore o uguale a 12.
N/D event.idm.is_significant Imposta true se rule.level è maggiore di 12, false in caso contrario.
N/D event.idm.read_only_udm.metadata.log_type Imposta su "WAZUH".
N/D event.idm.read_only_udm.metadata.product_name Imposta su "Wazuh".

Modifiche

2024-03-04

  • È stato aggiunto il supporto per i log syslog SVROSSEC.
  • "file_path" è stato mappato a "target.file.full_path".
  • "registry_key" è stato mappato a "target.registry.registry_key".
  • "user_name" è stato mappato a "principal.user.userid".
  • "log_description" è stato mappato a "metadata.description".
  • "action_data" è stato mappato a "security_result.action_details".
  • "src_host" è stato mappato a "principal.hostname".
  • "rule_id" è stato mappato a "security_result.rule_id".
  • "classificazione" è stato mappato a "security_result.detection_fields".
  • "rule_summary" è stato mappato a "security_result.summary".
  • Mappature allineate per "principal.hostname" e "principal.asset.hostname".
  • Mappature allineate per "principal.ip" e "principal.asset.ip".
  • Mappature allineate per "target.ip" e "target.asset.ip".

2023-07-17

  • È stato aggiunto un pattern Grok per analizzare i log syslog non analizzati.
  • È stato aggiunto il controllo null per "predecoder.hostname".

2022-10-14

  • Aumento della percentuale di analisi.
  • È stato aggiunto il supporto per l'analisi del pattern syslog.