Wazuh ログを収集する
以下でサポートされています。
Google SecOpsSIEM
概要
この Wazuh パーサーは、SYSLOG 形式と JSON 形式のログを取り込み、フィールドを共通の形式に正規化し、Wazuh 固有のメタデータで拡充します。次に、event_type フィールドと rule_id フィールドに基づいて一連の条件ステートメントを使用して、未加工のログデータを適切な UDM イベントタイプとフィールドにマッピングし、Wazuh エコシステム内のさまざまなログ形式とエッジケースを処理します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- アクティブな Wazuh インスタンスがあることを確認します。
- Wazuh 構成ファイルに対する特権アクセス権があることを確認します。
Wazuh ログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Wazuh ログ)。
- [ソースタイプ] として [Webhook] を選択します。
- [Log type] で [Wazuh] を選択します。
- [次へ] をクリックします。
- 省略可: 次の入力パラメータの値を指定します。
- 分割区切り文字: ログ行を区切るために使用される区切り文字(
\nなど)。 - アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- 分割区切り文字: ログ行を区切るために使用される区切り文字(
- [次へ] をクリックします。
- [Finalize] 画面でフィード設定を確認し、[Submit] をクリックします。
- [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
- シークレット キーをコピーして保存します。この秘密鍵を再度表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、この操作により以前の秘密鍵は無効になります。
- [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、クライアント アプリケーションで指定する必要があります。
- [完了] をクリックします。
Webhook フィードの API キーを作成する
Google Cloud コンソール > [認証情報] に移動します。
[認証情報を作成] をクリックして [API キー] を選択します。
API キーのアクセスを Google Security Operations API に制限します。
エンドポイント URL を指定する
- クライアント アプリケーションで、Webhook フィードで指定された HTTPS エンドポイント URL を指定します。
カスタム ヘッダーの一部として API キーとシークレット キーを次の形式で指定して、認証を有効にします。
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET推奨事項: API キーは URL ではなくヘッダーとして指定してください。Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーとシークレット キーを指定できます。
ENDPOINT_URL?key=API_KEY&secret=SECRET
次のように置き換えます。
ENDPOINT_URL: フィードのエンドポイント URL。API_KEY: Google Security Operations の認証に使用する API キー。SECRET: フィードの認証用に生成したシークレット キー。
Wazuh Cloud Webhook を構成する
Wazuh Cloud Webhook を構成する手順は次のとおりです。
- Wazuh Cloud にログインします。
- 左側のペインメニューの [サーバー管理] にある [設定] に移動します。
- [構成を編集] をクリックします。
構成の
<integration>セクション内に次のインテグレーション ブロックを追加します。- セクションが存在しない場合は、
<integration>を使用してブロック全体をコピーして作成します。 - プレースホルダの値を実際の Google SecOps の詳細に置き換えます。
- セクションが存在しない場合は、
<integration>
<name>google-chronicle</name>
<hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
<alert_format>json</alert_format>
<level>0</level> <!-- Adjust the level as needed -->
</integration>
CHRONICLE_REGION: Google SecOps リージョン(us、europe-west1など)。GOOGLE_PROJECT_NUMBER: Google Cloud プロジェクト番号。LOCATION: Google SecOps リージョン(us、europe-west1など)。CUSTOMER_ID: Google SecOps のお客様 ID。FEED_ID: Google SecOps フィードの ID。API_KEY: Google SecOps をホストする Google Cloud の API キー。SECRET: Google SecOps フィードのシークレット。alert_format: Google SecOps との互換性を確保するため、jsonに設定します。level: 転送するアラートレベルの最小値を指定します。0はすべてのアラートを送信します。
- [保存] ボタンをクリックします。
- [wazuh-manager を再起動] をクリックします。
Wazuh オンプレミス Webhook を構成する
Wazuh On-Premise Webhook を構成する手順は次のとおりです。
- オンプレミスの Wazuh マネージャーにアクセスします。
/var/ossec/etc/ディレクトリに移動します。- テキスト エディタ(
nano、vimなど)を使用してossec.confファイルを開きます。 構成の
<integration>セクション内に次のインテグレーション ブロックを追加します。- セクションが存在しない場合は、
<integration>を使用してブロック全体をコピーして作成します。 - プレースホルダの値を実際の Google SecOps の詳細に置き換えます。
<integration> <name>google-chronicle</name> <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url> <alert_format>json</alert_format> <level>0</level> <!-- Adjust the level as needed --> </integration>CHRONICLE_REGION: Google SecOps リージョン(us、europe-west1など)。GOOGLE_PROJECT_NUMBER: Google Cloud プロジェクト番号。LOCATION: Google SecOps リージョン(us、europe-west1など)。CUSTOMER_ID: Google SecOps のお客様 ID。FEED_ID: Google SecOps フィードの ID。API_KEY: Google SecOps をホストする Google Cloud の API キー。SECRET: Google SecOps フィードのシークレット。alert_format: Google SecOps との互換性を確保するため、jsonに設定します。level: 転送するアラートレベルの最小値を指定します。0はすべてのアラートを送信します。
- セクションが存在しない場合は、
Wazuh マネージャーを再起動して変更を適用します。
sudo systemctl restart wazuh-manager
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
Acct-Authentic |
event.idm.read_only_udm.security_result.authentication_mechanism |
Acct-Authentic フィールドから直接マッピングされます。 |
Acct-Status-Type |
event.idm.read_only_udm.security_result.detection_fields[].value |
Acct-Status-Type フィールドから直接マッピングされます。キーは「Acct-Status-Type」に設定されています。 |
agent.id |
event.idm.read_only_udm.intermediary.resource.id |
agent.id フィールドから直接マッピングされます。 |
agent.ip |
event.idm.read_only_udm.intermediary.ip、event.idm.read_only_udm.intermediary.asset.ip、event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
agent.ip フィールドから直接マッピングされます。イベントタイプによっては、プリンシパル/ターゲット IP にも使用されます。 |
agent.name |
event.idm.read_only_udm.security_result.about.hostname |
agent.name フィールドから直接マッピングされます。 |
application |
event.idm.read_only_udm.target.application |
Wazuh の application フィールドから直接マッピングされます。 |
audit-session-id |
event.idm.read_only_udm.network.session_id |
audit-session-id フィールドから直接マッピングされます。 |
ClientIP |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
ClientIP フィールドから直接マッピングされます。 |
ClientPort |
event.idm.read_only_udm.principal.port |
ClientPort フィールドから直接マッピングされ、整数に変換されます。 |
cmd |
event.idm.read_only_udm.target.process.command_line |
cmd フィールドから直接マッピングされます。 |
CommandLine |
event.idm.read_only_udm.target.process.command_line |
CommandLine フィールドから直接マッピングされます。 |
ConfigVersionId |
event.idm.read_only_udm.additional.fields[].value.number_value |
ConfigVersionId フィールドから直接マッピングされます。キーは「Config Version Id」に設定されています。 |
data.Account Number |
event.idm.read_only_udm.principal.user.userid |
特定のルール ID の data.Account Number フィールドから直接マッピングされます。 |
data.Control |
event.idm.read_only_udm.security_result.action_details |
特定のルール ID の data.Control フィールドから直接マッピングされます。 |
data.Message |
event.idm.read_only_udm.security_result.description |
特定のルール ID の data.Message フィールドから直接マッピングされます。 |
data.Profile |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
特定のルール ID の data.Profile フィールドから直接マッピングされます。 |
data.Region |
event.idm.read_only_udm.principal.location.name |
特定のルール ID の data.Region フィールドから直接マッピングされます。 |
data.Status |
event.idm.read_only_udm.security_result.action |
data.Status フィールドからマッピングされます。値が「Pass」または「AUDIT_SUCCESS」の場合、アクションは「ALLOW」に設定されます。値が「ERROR」、「AUDIT_FAILURE」、「FAIL」の場合、アクションは「BLOCK」に設定されます。 |
data.aws.awsRegion |
event.idm.read_only_udm.principal.location.name |
特定のルール ID の data.aws.awsRegion フィールドから直接マッピングされます。 |
data.aws.eventID |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.eventID フィールドから直接マッピングされます。キーは「イベント ID」に設定されています。 |
data.aws.eventName |
event.idm.read_only_udm.metadata.description |
特定のルール ID の data.aws.eventName フィールドから直接マッピングされます。 |
data.aws.eventSource |
event.idm.read_only_udm.metadata.url_back_to_product |
特定のルール ID の data.aws.eventSource フィールドから直接マッピングされます。 |
data.aws.eventType |
event.idm.read_only_udm.metadata.product_event_type |
特定のルール ID の data.aws.eventType フィールドから直接マッピングされます。 |
data.aws.requestID |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.requestID フィールドから直接マッピングされます。キーは「リクエスト ID」に設定されています。 |
data.aws.requestParameters.loadBalancerName |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.requestParameters.loadBalancerName フィールドから直接マッピングされます。キーは「LoadBalancer Name」に設定されています。 |
data.aws.sourceIPAddress |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
特定のルール ID の data.aws.sourceIPAddress フィールドから直接マッピングされます。 |
data.aws.source_ip_address |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
data.aws.source_ip_address フィールドから直接マッピングされます。 |
data.aws.userIdentity.accountId |
event.idm.read_only_udm.principal.user.product_object_id |
特定のルール ID の data.aws.userIdentity.accountId フィールドから直接マッピングされます。 |
data.aws.userIdentity.principalId |
event.idm.read_only_udm.principal.user.userid |
特定のルール ID の data.aws.userIdentity.principalId フィールドから直接マッピングされます。 |
data.aws.userIdentity.sessionContext.sessionIssuer.arn |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
data.aws.userIdentity.sessionContext.sessionIssuer.arn フィールドから直接マッピングされます。キーは「ARN」に設定されています。 |
data.aws.userIdentity.sessionContext.sessionIssuer.userName |
event.idm.read_only_udm.principal.user.user_display_name |
特定のルール ID の data.aws.userIdentity.sessionContext.sessionIssuer.userName フィールドから直接マッピングされます。 |
data.command |
event.idm.read_only_udm.target.file.full_path |
data.command フィールドから直接マッピングされます。 |
data.docker.message |
event.idm.read_only_udm.security_result.description |
特定のイベントタイプについて、data.docker.message フィールドから直接マッピングされます。 |
data.dstuser |
event.idm.read_only_udm.target.user.userid |
data.dstuser フィールドから直接マッピングされます。 |
data.file |
event.idm.read_only_udm.target.file.full_path |
data.file フィールドから直接マッピングされます。 |
data.package |
event.idm.read_only_udm.target.asset.software[].name |
data.package フィールドから直接マッピングされます。 |
data.srcip |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
data.srcip フィールドから直接マッピングされます。 |
data.srcuser |
event.idm.read_only_udm.principal.user.userid |
data.srcuser フィールドから直接マッピングされます。 |
data.subject.account_domain |
event.idm.read_only_udm.target.administrative_domain |
特定のルール ID の data.subject.account_domain フィールドから直接マッピングされます。 |
data.subject.account_name |
event.idm.read_only_udm.target.user.user_display_name |
特定のルール ID の data.subject.account_name フィールドから直接マッピングされます。 |
data.subject.security_id |
event.idm.read_only_udm.target.user.windows_sid |
特定のルール ID の data.subject.security_id フィールドから直接マッピングされます。 |
data.title |
event.idm.read_only_udm.target.resource.name |
data.title フィールドから直接マッピングされます。 |
data.version |
event.idm.read_only_udm.target.asset.software[].version |
data.version フィールドから直接マッピングされます。 |
decoder.name |
event.idm.read_only_udm.about.resource.name、event.idm.read_only_udm.target.application |
decoder.name フィールドから直接マッピングされます。場合によっては、ターゲット アプリケーションにも使用されます。 |
decoder.parent |
event.idm.read_only_udm.about.resource.parent |
decoder.parent フィールドから直接マッピングされます。 |
Description |
event.idm.read_only_udm.metadata.description |
Description フィールドから直接マッピングされます。 |
Destination |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip、event.idm.read_only_udm.target.port |
解析され、ターゲット IP とポートが抽出されます。 |
DestinationIPAddress |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
DestinationIPAddress フィールドから直接マッピングされます。 |
DestinationPort |
event.idm.read_only_udm.target.port |
DestinationPort フィールドから直接マッピングされ、整数に変換されます。 |
device_ip_address |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
device_ip_address フィールドから直接マッピングされます。 |
feature |
event.idm.read_only_udm.metadata.product_event_type |
feature フィールドから直接マッピングされます。message_type と組み合わせられることもあります。 |
file_path |
event.idm.read_only_udm.target.file.full_path |
file_path フィールドから直接マッピングされます。 |
Framed-IP-Address |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
Framed-IP-Address フィールドから直接マッピングされます。 |
full_log |
event.idm.read_only_udm.principal.port、event.idm.read_only_udm.security_result.description、event.idm.read_only_udm.about.labels[].value |
解析され、ポート番号、セキュリティ結果の説明、サブジェクトのログオン ID が抽出されます。 |
Hashes |
event.idm.read_only_udm.target.process.file.sha256、event.idm.read_only_udm.target.process.file.md5 |
解析され、SHA256 ハッシュと MD5 ハッシュが抽出されます。 |
hostname |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
hostname フィールドから直接マッピングされます。 |
Image |
event.idm.read_only_udm.target.process.file.full_path |
Image フィールドから直接マッピングされます。 |
IntegrityLevel |
event.idm.read_only_udm.additional.fields[].value.string_value |
IntegrityLevel フィールドから直接マッピングされます。キーが [完全性レベル] に設定されている。 |
kv_data |
event.idm.read_only_udm.target.process.file.full_path、event.idm.read_only_udm.target.process.pid、event.idm.read_only_udm.target.process.parent_process.file.full_path、event.idm.read_only_udm.target.process.parent_process.command_line、event.idm.read_only_udm.target.process.parent_process.product_specific_process_id、event.idm.read_only_udm.target.process.product_specific_process_id、event.idm.read_only_udm.metadata.description、event.idm.read_only_udm.additional.fields[].value.string_value |
解析され、プロセスの作成、ファイル ハッシュ、説明に関連するさまざまなフィールドが抽出されます。 |
kv_log_data |
event.idm.read_only_udm.security_result.severity_details |
解析され、アラートレベルが抽出されます。 |
location |
event.idm.read_only_udm.target.file.full_path |
location フィールドから直接マッピングされます。 |
LogonGuid |
event.idm.read_only_udm.additional.fields[].value.string_value |
中かっこを削除した LogonGuid フィールドから直接マッピングされます。キーは「Logon Guid」に設定されています。 |
LogonId |
event.idm.read_only_udm.about.labels[].value、event.idm.read_only_udm.additional.fields[].value.string_value |
ログオフ イベントではサブジェクトのログオン ID に使用され、他のイベントでは直接マッピングされます。キーは「ログオン ID」に設定されています。 |
log_description |
event.idm.read_only_udm.metadata.description |
log_description フィールドから直接マッピングされます。 |
log_message |
event.idm.read_only_udm.target.file.full_path、event.idm.read_only_udm.metadata.description |
解析され、パスとログの説明が抽出されます。 |
manager.name |
event.idm.read_only_udm.about.user.userid、event.idm.read_only_udm.principal.user.userid |
manager.name フィールドから直接マッピングされます。場合によってはプリンシパル ユーザー ID にも使用されます。 |
md5 |
event.idm.read_only_udm.target.process.file.md5 |
md5 フィールドから直接マッピングされます。 |
message |
event.idm.read_only_udm.metadata.product_event_type、event.idm.read_only_udm.metadata.description、event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.target.process.command_line、event.idm.read_only_udm.network.http.method、event.idm.read_only_udm.network.http.response_code、event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.mac、event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip、event.idm.read_only_udm.target.port、event.idm.read_only_udm.principal.nat_ip、event.idm.read_only_udm.principal.nat_port、event.idm.read_only_udm.security_result.severity、event.idm.read_only_udm.network.session_id、event.idm.read_only_udm.security_result.detection_fields[].value、event.idm.read_only_udm.additional.fields[].value.number_value、event.idm.read_only_udm.target.url、event.idm.read_only_udm.target.application、event.idm.read_only_udm.principal.resource.attribute.labels[].value、event.idm.read_only_udm.security_result.rule_type、event.idm.read_only_udm.security_result.description、event.idm.read_only_udm.network.http.user_agent、event.idm.read_only_udm.principal.process.pid、event.idm.read_only_udm.principal.resource.attribute.labels[].value、event.idm.read_only_udm.security_result.severity_details |
grok を使用して解析され、ログ形式に応じてさまざまなフィールドが抽出されます。 |
message_data |
event.idm.read_only_udm.metadata.description、event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.principal.port、event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip、event.idm.read_only_udm.target.port、event.idm.read_only_udm.network.sent_bytes、event.idm.read_only_udm.network.received_bytes、event.idm.read_only_udm.network.ip_protocol、event.idm.read_only_udm.metadata.event_type |
解析され、メッセージデータ、IP アドレス、ポート、送受信バイト数、イベントタイプが抽出されます。 |
message_type |
event.idm.read_only_udm.metadata.product_event_type、event.idm.read_only_udm.metadata.description |
message_type フィールドから直接マッピングされます。feature と組み合わせられることもあります。説明にも使用される場合があります。 |
method |
event.idm.read_only_udm.network.http.method |
method フィールドから直接マッピングされます。 |
NAS-IP-Address |
event.idm.read_only_udm.principal.nat_ip |
NAS-IP-Address フィールドから直接マッピングされます。 |
NAS-Port |
event.idm.read_only_udm.principal.nat_port |
NAS-Port フィールドから直接マッピングされ、整数に変換されます。 |
NAS-Port-Type |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
NAS-Port-Type フィールドから直接マッピングされます。キーは「nas_port_type」に設定されています。 |
NetworkDeviceName |
event.idm.read_only_udm.intermediary.hostname |
バックスラッシュを削除した NetworkDeviceName フィールドから直接マッピングされます。 |
ParentCommandLine |
event.idm.read_only_udm.target.process.parent_process.command_line |
ParentCommandLine フィールドから直接マッピングされます。 |
ParentImage |
event.idm.read_only_udm.target.process.parent_process.file.full_path |
ParentImage フィールドから直接マッピングされます。 |
ParentProcessGuid |
event.idm.read_only_udm.target.process.parent_process.product_specific_process_id |
中かっこを削除し、「ID:」を先頭に追加した ParentProcessGuid フィールドから直接マッピングされます。 |
ParentProcessId |
event.idm.read_only_udm.target.process.parent_process.pid |
ParentProcessId フィールドから直接マッピングされます。 |
predecoder.hostname |
event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
predecoder.hostname フィールドから直接マッピングされます。 |
ProcessGuid |
event.idm.read_only_udm.target.process.product_specific_process_id |
中かっこを削除し、「ID:」を先頭に追加した ProcessGuid フィールドから直接マッピングされます。 |
ProcessId |
event.idm.read_only_udm.target.process.pid |
ProcessId フィールドから直接マッピングされます。 |
product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
product_event_type フィールドから直接マッピングされます。 |
response_code |
event.idm.read_only_udm.network.http.response_code |
response_code フィールドから直接マッピングされ、整数に変換されます。 |
rule.description |
event.idm.read_only_udm.metadata.event_type、event.idm.read_only_udm.security_result.summary |
イベントタイプを特定するために使用され、セキュリティ結果の概要に直接マッピングされます。 |
rule.id |
event.idm.read_only_udm.metadata.product_log_id、event.idm.read_only_udm.security_result.rule_id |
rule.id フィールドから直接マッピングされます。 |
rule.info |
event.idm.read_only_udm.target.url |
rule.info フィールドから直接マッピングされます。 |
rule.level |
event.idm.is_alert、event.idm.is_significant、event.idm.read_only_udm.security_result.severity_details |
イベントがアラートか重大か判断し、重大度の詳細を設定するために使用されます。 |
r_cat_name |
event.idm.read_only_udm.metadata.event_type |
イベントタイプを特定するために使用されます。 |
r_msg_id |
event.idm.read_only_udm.metadata.product_log_id |
r_msg_id フィールドから直接マッピングされます。 |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
security_result.severity フィールドから直接マッピングされます。 |
ServerIP |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
ServerIP フィールドから直接マッピングされます。 |
ServerPort |
event.idm.read_only_udm.target.port |
ServerPort フィールドから直接マッピングされ、整数に変換されます。 |
sha256 |
event.idm.read_only_udm.target.process.file.sha256 |
sha256 フィールドから直接マッピングされます。 |
Source |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.principal.port |
パースされ、プリンシパルの IP とポートが抽出されます。 |
src_ip |
event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip |
src_ip フィールドから直接マッピングされます。 |
sr_description |
event.idm.read_only_udm.metadata.event_type、event.idm.read_only_udm.security_result.description |
イベントタイプを特定するために使用され、セキュリティ結果の説明に直接マッピングされます。 |
syscheck.md5_after |
event.idm.read_only_udm.target.process.file.md5 |
syscheck.md5_after フィールドから直接マッピングされます。 |
syscheck.md5_before |
event.idm.read_only_udm.src.process.file.md5 |
syscheck.md5_before フィールドから直接マッピングされます。 |
syscheck.path |
event.idm.read_only_udm.target.file.full_path |
syscheck.path フィールドから直接マッピングされます。 |
syscheck.sha1_after |
event.idm.read_only_udm.target.process.file.sha1 |
syscheck.sha1_after フィールドから直接マッピングされます。 |
syscheck.sha1_before |
event.idm.read_only_udm.src.process.file.sha1 |
syscheck.sha1_before フィールドから直接マッピングされます。 |
syscheck.sha256_after |
event.idm.read_only_udm.target.process.file.sha256 |
syscheck.sha256_after フィールドから直接マッピングされます。 |
syscheck.sha256_before |
event.idm.read_only_udm.src.process.file.sha256 |
syscheck.sha256_before フィールドから直接マッピングされます。 |
syscheck.size_after |
event.idm.read_only_udm.target.process.file.size |
syscheck.size_after フィールドから直接マッピングされ、符号なし整数に変換されます。 |
syscheck.size_before |
event.idm.read_only_udm.src.process.file.size |
syscheck.size_before フィールドから直接マッピングされ、符号なし整数に変換されます。 |
syscheck.uname_after |
event.idm.read_only_udm.principal.user.user_display_name |
syscheck.uname_after フィールドから直接マッピングされます。 |
target_url |
event.idm.read_only_udm.target.url |
target_url フィールドから直接マッピングされます。 |
timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
timestamp フィールドから直接マッピングされます。 |
Total_bytes_recv |
event.idm.read_only_udm.network.received_bytes |
Total_bytes_recv フィールドから直接マッピングされ、符号なし整数に変換されます。 |
Total_bytes_send |
event.idm.read_only_udm.network.sent_bytes |
Total_bytes_send フィールドから直接マッピングされ、符号なし整数に変換されます。 |
User-Name |
event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.mac |
MAC アドレスでない場合、User-Name フィールドから直接マッピングされます。それ以外の場合は、MAC アドレスとして解析されます。 |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
user_agent フィールドから直接マッピングされます。 |
user_id |
event.idm.read_only_udm.principal.user.userid |
user_id フィールドから直接マッピングされます。 |
UserName |
event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.mac |
MAC アドレスでない場合、UserName フィールドから直接マッピングされます。それ以外の場合は、MAC アドレスとして解析されます。 |
VserverServiceIP |
event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip |
VserverServiceIP フィールドから直接マッピングされます。 |
VserverServicePort |
event.idm.read_only_udm.target.port |
VserverServicePort フィールドから直接マッピングされ、整数に変換されます。 |
win.system.channel |
event.idm.read_only_udm.security_result.detection_fields[].value |
win.system.channel フィールドから直接マッピングされます。キーは「channel」に設定されています。 |
win.system.computer |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
win.system.computer フィールドから直接マッピングされます。キーは「computer」に設定されています。 |
win.system.eventID |
event.idm.read_only_udm.metadata.product_log_id |
win.system.eventID フィールドから直接マッピングされます。 |
win.system.message_description |
event.idm.read_only_udm.metadata.description |
win.system.message_description フィールドから直接マッピングされます。 |
win.system.processID |
event.idm.read_only_udm.principal.process.pid |
win.system.processID フィールドから直接マッピングされます。 |
win.system.providerGuid |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
win.system.providerGuid フィールドから直接マッピングされます。キーは「providerGuid」に設定されています。 |
win.system.providerName |
event.idm.read_only_udm.principal.resource.attribute.labels[].value |
win.system.providerName フィールドから直接マッピングされます。キーは「providerName」に設定されています。 |
win.system.severityValue |
event.idm.read_only_udm.security_result.severity、event.idm.read_only_udm.security_result.severity_details |
有効な重大度値の場合は、win.system.severityValue フィールドから直接マッピングされます。 |
win.system.systemTime |
event.idm.read_only_udm.security_result.detection_fields[].value |
win.system.systemTime フィールドから直接マッピングされます。キーは「systemTime」に設定されています。 |
win.system.threadID |
event.idm.read_only_udm.security_result.detection_fields[].value |
win.system.threadID フィールドから直接マッピングされます。キーは「threadID」に設定されています。 |
| なし | event.idm.read_only_udm.metadata.event_type |
デフォルト値として「GENERIC_EVENT」に設定され、イベントタイプごとに特定のロジックでオーバーライドされます。 |
| なし | event.idm.read_only_udm.extensions.auth.mechanism |
ログイン イベントの場合は「リモート」に設定します。 |
| なし | event.idm.read_only_udm.extensions.auth.type |
ログイン/ログアウト イベントの場合は「PASSWORD」に設定し、一部のイベントの場合は「MACHINE」にオーバーライドします。 |
| なし | event.idm.read_only_udm.network.ip_protocol |
TCP ネットワーク接続の場合は「TCP」に設定します。 |
| なし | event.idm.read_only_udm.security_result.action |
ログイン イベントと成功イベントの場合は「ALLOW」、失敗イベントの場合は「BLOCK」に設定します。 |
| なし | event.idm.is_alert |
rule.level が 12 以下の場合は true に設定します。 |
| なし | event.idm.is_significant |
rule.level が 12 より大きい場合は true に設定し、それ以外の場合は false に設定します。 |
| なし | event.idm.read_only_udm.metadata.log_type |
「WAZUH」に設定します。 |
| なし | event.idm.read_only_udm.metadata.product_name |
「Wazuh」に設定します。 |
変更点
2024-03-04
- SVROSSEC syslog ログのサポートを追加しました。
- 「file_path」を「target.file.full_path」にマッピングしました。
- 「registry_key」を「target.registry.registry_key」にマッピングしました。
- 「user_name」を「principal.user.userid」にマッピングしました。
- 「log_description」を「metadata.description」にマッピングしました。
- 「action_data」を「security_result.action_details」にマッピングしました。
- 「src_host」を「principal.hostname」にマッピングしました。
- 「rule_id」を「security_result.rule_id」にマッピングしました。
- 「classification」を「security_result.detection_fields」にマッピングしました。
- 「rule_summary」を「security_result.summary」にマッピングしました。
- 「principal.hostname」と「principal.asset.hostname」のマッピングを調整しました。
- 「principal.ip」と「principal.asset.ip」のマッピングを調整しました。
- 「target.ip」と「target.asset.ip」のマッピングを調整しました。
2023-07-17
- 未解析の syslog ログを解析するための Grok パターンを追加しました。
- 「predecoder.hostname」の null チェックを追加しました。
2022-10-14
- 解析の割合を増やしました。
- syslog パターンの解析のサポートを追加しました。