Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Wazuh

Compatível com:

Google secops SIEM

Vista geral

Este analisador do Wazuh introduz registos formatados em SYSLOG e JSON, normaliza os campos num formato comum e enriquece-os com metadados específicos do Wazuh. Em seguida, usa uma série de declarações condicionais baseadas nos campos event_type e rule_id para mapear os dados de registo não processados para o tipo de evento e os campos da UDM adequados, processando vários formatos de registo e casos extremos no ecossistema do Wazuh.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps.
Instância do Wazuh ativa.
Acesso privilegiado aos ficheiros de configuração do Wazuh.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Wazuh.
Selecione Webhook como o Tipo de origem.
Selecione Wazuh como o Tipo de registo.
Clicar em Seguinte.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
Clicar em Seguinte.
Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
Copie e armazene a chave secreta. Não pode ver esta chave secreta novamente. Se necessário, pode regenerar uma nova chave secreta, mas esta ação torna a chave secreta anterior obsoleta.
No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Tem de especificar este URL do ponto final na sua aplicação cliente.
Clique em Concluído.

Crie uma chave da API para o feed de webhook

Aceda a **Google Cloud console > Credenciais.

Aceder a Credenciais
Clique em Criar credenciais e, de seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do ponto final

Na aplicação cliente, especifique o URL do ponto final HTTPS fornecido no feed do webhook.
Ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendação: especifique a chave da API como um cabeçalho em vez de a especificar no URL. Se o seu cliente de webhook não suportar cabeçalhos personalizados, pode especificar a chave da API e a chave secreta através de parâmetros de consulta no seguinte formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

Substitua o seguinte:

ENDPOINT_URL: o URL do ponto final do feed.
API_KEY: a chave da API para autenticar no Google Security Operations.
SECRET: a chave secreta que gerou para autenticar o feed.

Configure o webhook do Wazuh Cloud

Conclua os seguintes passos para configurar o webhook da nuvem do Wazuh:

Inicie sessão no Wazuh Cloud.
Aceda a Definições, localizado no menu do painel esquerdo em Gestão do servidor.
Clique em Editar configuração.
Adicione o seguinte bloco de integração na secção <integration> da configuração.
- Se a secção não existir, copie todo o bloco com <integration> para criar um.
- Substitua os valores dos marcadores de posição pelos detalhes reais do Google SecOps:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION: a sua região do Google SecOps (por exemplo, us, europe-west1).
GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
LOCATION: a sua região do Google SecOps (por exemplo, us, europe-west1).
CUSTOMER_ID: o seu ID de cliente do Google SecOps.
FEED_ID: o ID do seu feed do Google SecOps.
API_KEY: a chave de API do Google Cloud que aloja o Google SecOps.
SECRET: o segredo do seu feed do Google SecOps.
alert_format: definido como json para compatibilidade com o Google SecOps.
level: especifica o nível de alerta mínimo a encaminhar. O 0 envia todos os alertas.

Clique no botão Guardar.
Clique em Restart wazuh-manager.

Configure o webhook no local do Wazuh

Conclua os passos seguintes para configurar o webhook local do Wazuh:

Aceda ao seu gestor do Wazuh no local.
Aceda ao diretório /var/ossec/etc/.
Abra o ficheiro ossec.conf com um editor de texto (por exemplo, nano ou vim).
Adicione o seguinte bloco de integração na secção <integration> da configuração.
- Se a secção não existir, copie todo o bloco com <integration> para criar um.
- Substitua os valores dos marcadores de posição pelos detalhes reais do Google SecOps:
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION: a sua região do Google SecOps (por exemplo, us, europe-west1).
- GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
- LOCATION: a sua região do Google SecOps (por exemplo, us, europe-west1).
- CUSTOMER_ID: o seu ID de cliente do Google SecOps.
- FEED_ID: o ID do seu feed do Google SecOps.
- API_KEY: a chave de API do Google Cloud que aloja o Google SecOps.
- SECRET: o segredo do seu feed do Google SecOps.
- alert_format: definido como json para compatibilidade com o Google SecOps.
- level: especifica o nível de alerta mínimo a encaminhar. O 0 envia todos os alertas.
Reinicie o gestor do Wazuh para aplicar as alterações:
```
sudo systemctl restart wazuh-manager
```

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	Mapeado diretamente a partir do campo `Acct-Authentic`.
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `Acct-Status-Type`. A chave está definida como "Acct-Status-Type".
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	Mapeado diretamente a partir do campo `agent.id`.
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`, `event.idm.read_only_udm.intermediary.asset.ip`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `agent.ip`. Também usado para o IP principal/de destino em alguns casos com base no tipo de evento.
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	Mapeado diretamente a partir do campo `agent.name`.
`application`	`event.idm.read_only_udm.target.application`	Mapeado diretamente a partir do campo `application` do Wazuh.
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente a partir do campo `audit-session-id`.
`ClientIP`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `ClientIP`.
`ClientPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente a partir do campo `ClientPort` e convertido em número inteiro.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente a partir do campo `cmd`.
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	Mapeado diretamente a partir do campo `CommandLine`.
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	Mapeado diretamente a partir do campo `ConfigVersionId`. A chave está definida como "Config Version Id".
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `data.Account Number` para IDs de regras específicos.
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	Mapeado diretamente a partir do campo `data.Control` para IDs de regras específicos.
`data.Message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `data.Message` para IDs de regras específicos.
`data.Profile`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `data.Profile` para IDs de regras específicos.
`data.Region`	`event.idm.read_only_udm.principal.location.name`	Mapeado diretamente a partir do campo `data.Region` para IDs de regras específicos.
`data.Status`	`event.idm.read_only_udm.security_result.action`	Mapeado a partir do campo `data.Status`. Se o valor for "Pass" ou "AUDIT_SUCCESS", a ação é definida como "ALLOW". Se o valor for "ERROR", "AUDIT_FAILURE" ou "FAIL", a ação é definida como "BLOCK".
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	Mapeado diretamente a partir do campo `data.aws.awsRegion` para IDs de regras específicos.
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `data.aws.eventID`. A chave está definida como "ID do evento".
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `data.aws.eventName` para IDs de regras específicos.
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	Mapeado diretamente a partir do campo `data.aws.eventSource` para IDs de regras específicos.
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente a partir do campo `data.aws.eventType` para IDs de regras específicos.
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `data.aws.requestID`. A chave está definida como "ID do pedido".
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `data.aws.requestParameters.loadBalancerName`. A chave está definida como "LoadBalancer Name".
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `data.aws.sourceIPAddress` para IDs de regras específicos.
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `data.aws.source_ip_address`.
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	Mapeado diretamente a partir do campo `data.aws.userIdentity.accountId` para IDs de regras específicos.
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `data.aws.userIdentity.principalId` para IDs de regras específicos.
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `data.aws.userIdentity.sessionContext.sessionIssuer.arn`. A chave está definida como "ARN".
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	Mapeado diretamente a partir do campo `data.aws.userIdentity.sessionContext.sessionIssuer.userName` para IDs de regras específicos.
`data.command`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente a partir do campo `data.command`.
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `data.docker.message` para tipos de eventos específicos.
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	Mapeado diretamente a partir do campo `data.dstuser`.
`data.file`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente a partir do campo `data.file`.
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	Mapeado diretamente a partir do campo `data.package`.
`data.srcip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `data.srcip`.
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `data.srcuser`.
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	Mapeado diretamente a partir do campo `data.subject.account_domain` para IDs de regras específicos.
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	Mapeado diretamente a partir do campo `data.subject.account_name` para IDs de regras específicos.
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	Mapeado diretamente a partir do campo `data.subject.security_id` para IDs de regras específicos.
`data.title`	`event.idm.read_only_udm.target.resource.name`	Mapeado diretamente a partir do campo `data.title`.
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	Mapeado diretamente a partir do campo `data.version`.
`decoder.name`	`event.idm.read_only_udm.about.resource.name`, `event.idm.read_only_udm.target.application`	Mapeado diretamente a partir do campo `decoder.name`. Também é usado para a aplicação de destino em alguns casos.
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	Mapeado diretamente a partir do campo `decoder.parent`.
`Description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `Description`.
`Destination`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`	Analisado para extrair o IP e a porta de destino.
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `DestinationIPAddress`.
`DestinationPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `DestinationPort` e convertido em número inteiro.
`device_ip_address`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `device_ip_address`.
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente a partir do campo `feature`, por vezes, combinado com `message_type`.
`file_path`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente a partir do campo `file_path`.
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `Framed-IP-Address`.
`full_log`	`event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.about.labels[].value`	Analisado para extrair o número da porta, a descrição do resultado de segurança e o ID de início de sessão do assunto.
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`, `event.idm.read_only_udm.target.process.file.md5`	Analisado para extrair hashes SHA256 e MD5.
`hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `hostname`.
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	Mapeado diretamente a partir do campo `Image`.
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `IntegrityLevel`. A chave está definida como "Nível de integridade".
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`, `event.idm.read_only_udm.target.process.pid`, `event.idm.read_only_udm.target.process.parent_process.file.full_path`, `event.idm.read_only_udm.target.process.parent_process.command_line`, `event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Analisado para extrair vários campos relacionados com a criação de processos, hashes de ficheiros e descrição.
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	Analisado para extrair o nível de alerta.
`location`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente a partir do campo `location`.
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `LogonGuid` após a remoção das chavetas. A chave está definida como "Logon Guid".
`LogonId`	`event.idm.read_only_udm.about.labels[].value`, `event.idm.read_only_udm.additional.fields[].value.string_value`	Usado para o ID de início de sessão do assunto em eventos de fim de sessão e mapeado diretamente para outros eventos. A chave está definida como "ID de início de sessão".
`log_description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `log_description`.
`log_message`	`event.idm.read_only_udm.target.file.full_path`, `event.idm.read_only_udm.metadata.description`	Analisado para extrair o caminho e a descrição do registo.
`manager.name`	`event.idm.read_only_udm.about.user.userid`, `event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `manager.name`. Também usado para o ID do utilizador principal em alguns casos.
`md5`	`event.idm.read_only_udm.target.process.file.md5`	Mapeado diretamente a partir do campo `md5`.
`message`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.network.http.method`, `event.idm.read_only_udm.network.http.response_code`, `event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.principal.nat_ip`, `event.idm.read_only_udm.principal.nat_port`, `event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.network.session_id`, `event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.additional.fields[].value.number_value`, `event.idm.read_only_udm.target.url`, `event.idm.read_only_udm.target.application`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.rule_type`, `event.idm.read_only_udm.security_result.description`, `event.idm.read_only_udm.network.http.user_agent`, `event.idm.read_only_udm.principal.process.pid`, `event.idm.read_only_udm.principal.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.severity_details`	Analisado através do grok para extrair vários campos, consoante o formato do registo.
`message_data`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.target.port`, `event.idm.read_only_udm.network.sent_bytes`, `event.idm.read_only_udm.network.received_bytes`, `event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.metadata.event_type`	Analisados para extrair dados de mensagens, endereços IP, portas, bytes enviados/recebidos e tipo de evento.
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `message_type`, por vezes, combinado com `feature`. Também usado para a descrição em alguns casos.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente a partir do campo `method`.
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente a partir do campo `NAS-IP-Address`.
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente a partir do campo `NAS-Port` e convertido em número inteiro.
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `NAS-Port-Type`. A chave está definida como "nas_port_type".
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente a partir do campo `NetworkDeviceName` após a remoção das barras invertidas.
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	Mapeado diretamente a partir do campo `ParentCommandLine`.
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	Mapeado diretamente a partir do campo `ParentImage`.
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	Mapeado diretamente a partir do campo `ParentProcessGuid` após a remoção das chavetas e a adição de "ID:" antes.
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	Mapeado diretamente a partir do campo `ParentProcessId`.
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `predecoder.hostname`.
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Mapeado diretamente a partir do campo `ProcessGuid` após a remoção das chavetas e a adição de "ID:" antes.
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	Mapeado diretamente a partir do campo `ProcessId`.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mapeado diretamente a partir do campo `product_event_type`.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mapeado diretamente a partir do campo `response_code` e convertido em número inteiro.
`rule.description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.summary`	Usado para determinar o tipo de evento e mapeado diretamente para o resumo dos resultados de segurança.
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`, `event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente a partir do campo `rule.id`.
`rule.info`	`event.idm.read_only_udm.target.url`	Mapeado diretamente a partir do campo `rule.info`.
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	Usado para definir detalhes de gravidade.
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	Usado para determinar o tipo de evento.
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `r_msg_id`.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado diretamente a partir do campo `security_result.severity`.
`ServerIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `ServerIP`.
`ServerPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `ServerPort` e convertido em número inteiro.
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	Mapeado diretamente a partir do campo `sha256`.
`Source`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.principal.port`	Analisado para extrair o IP e a porta principais.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `src_ip`.
`sr_description`	`event.idm.read_only_udm.metadata.event_type`, `event.idm.read_only_udm.security_result.description`	Usado para determinar o tipo de evento e mapeado diretamente para a descrição do resultado de segurança.
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	Mapeado diretamente a partir do campo `syscheck.md5_after`.
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	Mapeado diretamente a partir do campo `syscheck.md5_before`.
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	Mapeado diretamente a partir do campo `syscheck.path`.
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	Mapeado diretamente a partir do campo `syscheck.sha1_after`.
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	Mapeado diretamente a partir do campo `syscheck.sha1_before`.
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	Mapeado diretamente a partir do campo `syscheck.sha256_after`.
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	Mapeado diretamente a partir do campo `syscheck.sha256_before`.
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	Mapeado diretamente a partir do campo `syscheck.size_after` e convertido em número inteiro não assinado.
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	Mapeado diretamente a partir do campo `syscheck.size_before` e convertido em número inteiro não assinado.
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	Mapeado diretamente a partir do campo `syscheck.uname_after`.
`target_url`	`event.idm.read_only_udm.target.url`	Mapeado diretamente a partir do campo `target_url`.
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Mapeado diretamente a partir do campo `timestamp`.
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente a partir do campo `Total_bytes_recv` e convertido em número inteiro não assinado.
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente a partir do campo `Total_bytes_send` e convertido em número inteiro não assinado.
`User-Name`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mapeado diretamente a partir do campo `User-Name`, se não for um endereço MAC. Caso contrário, é analisado como um endereço MAC.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente a partir do campo `user_agent`.
`user_id`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `user_id`.
`UserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.mac`	Mapeado diretamente a partir do campo `UserName`, se não for um endereço MAC. Caso contrário, é analisado como um endereço MAC.
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `VserverServiceIP`.
`VserverServicePort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `VserverServicePort` e convertido em número inteiro.
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `win.system.channel`. A chave está definida como "channel".
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `win.system.computer`. A chave está definida como "computador".
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `win.system.eventID`.
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `win.system.message_description`.
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	Mapeado diretamente a partir do campo `win.system.processID`.
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `win.system.providerGuid`. A chave está definida como "providerGuid".
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `win.system.providerName`. A chave está definida como "providerName".
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Mapeado diretamente a partir do campo `win.system.severityValue` se for um valor de gravidade válido.
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `win.system.systemTime`. A chave está definida como "systemTime".
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `win.system.threadID`. A chave está definida como "threadID".
N/A	`event.idm.read_only_udm.metadata.event_type`	Definido como "GENERIC_EVENT" como valor predefinido, substituído por uma lógica específica para diferentes tipos de eventos.
N/A	`event.idm.read_only_udm.extensions.auth.mechanism`	Definido como "REMOTE" para eventos de início de sessão.
N/A	`event.idm.read_only_udm.extensions.auth.type`	Definido como "PASSWORD" para eventos de início/fim de sessão, substituído por "MACHINE" para alguns eventos.
N/A	`event.idm.read_only_udm.network.ip_protocol`	Definido como "TCP" para ligações de rede TCP.
N/A	`event.idm.read_only_udm.security_result.action`	Definido como "ALLOW" para eventos de início de sessão e bem-sucedidos, e "BLOCK" para eventos falhados.
N/A	`event.idm.read_only_udm.metadata.log_type`	Definido como "WAZUH".
N/A	`event.idm.read_only_udm.metadata.product_name`	Definido como "Wazuh".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.