Panduan penggunaan Unified Data Model
Dokumen ini memberikan deskripsi yang lebih mendetail tentang kolom dalam skema Unified Data Model (UDM) dan kolom yang wajib diisi versus opsional, bergantung pada Jenis Peristiwa. Untuk evaluasi mesin aturan, awalan dimulai dengan udm., sedangkan awalan normalizer berbasis konfigurasi (CBN) dimulai dengan event.idm.read_only_udm.
Populasi metadata Peristiwa
Bagian metadata peristiwa untuk peristiwa UDM menyimpan informasi umum tentang setiap peristiwa.
Metadata.event_type
- Tujuan: Menentukan jenis peristiwa; jika peristiwa memiliki beberapa kemungkinan jenis, nilai ini harus menentukan jenis yang paling spesifik.
- Wajib: Ya
- Encoding: Harus berupa salah satu jenis enumerasi event_type UDM yang telah ditentukan sebelumnya.
- Nilai yang Mungkin: Berikut adalah daftar semua kemungkinan nilai untuk event_type dalam UDM.
Peristiwa analis:
- ANALYST_ADD_COMMENT
- ANALYST_UPDATE_PRIORITY
- ANALYST_UPDATE_REASON
- ANALYST_UPDATE_REPUTATION
- ANALYST_UPDAATE_RISK_SCORE
- ANALYST_UPDATE_ROOT_CAUSE
- ANALYST_UPDATE_SEVERITY_SCORE
- ANALYST_UPDATE_STATUS
- ANALYST_UPDATE_VERDICT
Peristiwa perangkat:
- DEVICE_CONFIG_UPDATE
- DEVICE_FIRMWARE_UPDATE
- DEVICE_PROGRAM_DOWNLOAD
- DEVICE_PROGRAM_UPLOAD
Peristiwa email:
- EMAIL_UNCATEGORIZED
- EMAIL_TRANSACTION
- EMAIL_URL_CLICK
Peristiwa yang tidak ditentukan:
- EVENTTYPE_UNSPECIFIED
Peristiwa file yang dilakukan di endpoint:
- FILE_UNCATEGORIZED
- FILE_COPY (misalnya, menyalin file ke flash drive)
- FILE_CREATION
- FILE_DELETION
- FILE_MODIFICATION
- FILE_MOVE
- FILE_OPEN (misalnya, membuka file mungkin menunjukkan pelanggaran keamanan)
- FILE_READ (misalnya, membaca file sandi)
- FILE_SYNC
Peristiwa yang tidak termasuk dalam kategori lain, termasuk peristiwa Windows yang tidak dikategorikan.
- GENERIC_EVENT
Peristiwa aktivitas grup:
- GROUP_UNCATEGORIZED
- GROUP_CREATION
- GROUP_DELETION
- GROUP_MODIFICATION
Peristiwa Mutex (objek pengecualian timbal balik):
- MUTEX_UNCATEGORIZED
- MUTEX_CREATION
Telemetri jaringan, termasuk payload protokol mentah, seperti DHCP dan DNS, serta ringkasan protokol untuk protokol seperti HTTP, SMTP, dan FTP serta peristiwa alur dan koneksi dari Netflow dan firewall.
- NETWORK_UNCATEGORIZED
- NETWORK_CONNECTION (misalnya, detail koneksi jaringan dari firewall)
- NETWORK_DHCP
- NETWORK_DNS
- NETWORK_FLOW (misalnya, statistik flow gabungan dari Netflow)
- NETWORK_FTP
- NETWORK_HTTP
- NETWORK_SMTP
Setiap peristiwa yang berkaitan dengan proses seperti peluncuran proses, proses yang membuat sesuatu yang berbahaya, proses yang memasukkan ke dalam proses lain, perubahan kunci registry, atau membuat file berbahaya di disk.
- PROCESS_UNCATEGORIZED
- PROCESS_INJECTION
- PROCESS_LAUNCH
- PROCESS_MODULE_LOAD
- PROCESS_OPEN
- PROCESS_PRIVILEGE_ESCALATION
- PROCESS_TERMINATION
Gunakan peristiwa REGISTRY, bukan peristiwa SETTING, saat menangani peristiwa registry khusus Microsoft Windows:
- REGISTRY_UNCATEGORIZED
- REGISTRY_CREATION
- REGISTRY_MODIFICATION
- REGISTRY_DELETION
Peristiwa resource:
- RESOURCE_CREATION
- RESOURCE_DELETION
- RESOURCE_PERMISSIONS_CHANGE
- RESOURCE_READ
- RESOURCE_WRITTEN
Peristiwa yang berorientasi pada pemindaian. Mencakup pemindaian on demand dan deteksi perilaku yang dilakukan oleh produk keamanan endpoint (EDR, AV, DLP). Hanya digunakan saat melampirkan SecurityResult ke jenis peristiwa lain (seperti PROCESS_LAUNCH).
- SCAN_UNCATEGORIZED
- SCAN_FILE
- SCAN_HOST
- SCAN_NETWORK
- SCAN_PROCESS
- SCAN_PROCESS_BEHAVIORS
- SCAN_VULN_HOST
- SCAN_VULN_NETWORK
Peristiwa tugas terjadwal (Windows Task Scheduler, cron, dll.):
- SCHEDULED_TASK_UNCATEGORIZED
- SCHEDULED_TASK_CREATION
- SCHEDULED_TASK_DELETION
- SCHEDULED_TASK_DISABLE
- SCHEDULED_TASK_ENABLE
- SCHEDULED_TASK_MODIFICATION
Peristiwa layanan:
- SERVICE_UNSPECIFIED
- SERVICE_CREATION
- SERVICE_DELETION
- SERVICE_MODIFICATION
- SERVICE_START
- SERVICE_STOP
Peristiwa setelan, termasuk saat setelan sistem diubah di endpoint. Untuk menetapkan persyaratan peristiwa, lihat di sini.
- SETTING_UNCATEGORIZED
- SETTING_CREATION
- SETTING_DELETION
- SETTING_MODIFICATION
Pesan status dari produk keamanan untuk menunjukkan bahwa agen aktif dan untuk mengirim versi, sidik jari, atau jenis data lainnya.
- STATUS_UNCATEGORIZED
- STATUS_HEARTBEAT (menunjukkan bahwa produk aktif)
- STATUS_STARTUP
- STATUS_SHUTDOWN
- STATUS_UPDATE (update software atau sidik jari)
Peristiwa log audit sistem:
- SYSTEM_AUDIT_LOG_UNCATEGORIZED
- SYSTEM_AUDIT_LOG_WIPE
Peristiwa aktivitas autentikasi pengguna:
- USER_UNCATEGORIZED
- USER_BADGE_IN (misalnya, saat pengguna secara fisik menggunakan badge untuk masuk ke situs)
- USER_CHANGE_PASSWORD
- USER_CHANGE_PERMISSIONS
- USER_COMMUNICATION
- USER_CREATION
- USER_DELETION
- USER_LOGIN
- USER_LOGOUT
- USER_RESOURCE_ACCESS
- USER_RESOURCE_CREATION
- USER_RESOURCE_DELETION
- USER_RESOURCE_UPDATE_CONTENT
- USER_RESOURCE_UPDATE_PERMISSIONS
- USER_STATS
Metadata.collected_timestamp
- Tujuan: Mengenkode stempel waktu GMT saat peristiwa dikumpulkan oleh infrastruktur pengumpulan lokal vendor.
- Encoding: RFC 3339, sesuai untuk format stempel waktu JSON atau Proto3.
- Contoh:
- RFC 3339: '2019-09-10T20:32:31-08:00'
- Format Proto3: '2012-04-23T18:25:43.511Z'
Metadata.event_timestamp
- Tujuan: Mengenkode stempel waktu GMT saat peristiwa dibuat.
- Wajib: Ya
- Encoding: RFC 3339, sesuai untuk format stempel waktu JSON atau Proto3.
- Contoh:
- RFC 3339: 2019-09-10T20:32:31-08:00
- Format Proto3: 2012-04-23T18:25:43.511Z
Metadata.description
- Tujuan: Deskripsi peristiwa yang dapat dibaca manusia.
- Encoding: String alfanumerik, tanda baca diizinkan, maksimum 1.024 byte
- Contoh: File c:\bar\foo.exe diblokir agar tidak dapat mengakses dokumen sensitif c:\documents\earnings.docx.
Metadata.product_event_type
- Tujuan: Nama atau jenis peristiwa yang singkat, deskriptif, dapat dibaca manusia, dan khusus produk.
- Encoding: String alfanumerik, tanda baca diizinkan, maksimum 64 byte.
- Contoh:
- Peristiwa Pembuatan Registry
- ProcessRollUp
- Eskalasi Akses Terdeteksi
- Malware diblokir
Metadata.product_log_id
- Tujuan: Mengenkode ID peristiwa khusus vendor untuk mengidentifikasi peristiwa secara unik (GUID). Pengguna dapat menggunakan ID ini untuk menelusuri konsol eksklusif vendor untuk peristiwa yang dimaksud.
- Encoding: String alfanumerik yang peka huruf besar/kecil, tanda baca diizinkan, maksimum 256 byte.
- Contoh: ABcd1234-98766
Metadata.product_name
- Tujuan: Menentukan nama produk.
- Encoding: String alfanumerik yang peka huruf besar/kecil, tanda baca diizinkan, maksimum 256 byte.
- Contoh:
- Falcon
- Symantec Endpoint Protection
Metadata.product_version
- Tujuan: Menentukan versi produk.
- Encoding: String alfanumerik, titik, dan tanda hubung diizinkan, maksimum 32 byte
- Contoh:
- 1.2.3b
- 10.3:rev1
Metadata.url_back_to_product
- Tujuan: URL yang tertaut ke situs relevan tempat Anda dapat melihat informasi selengkapnya tentang peristiwa tertentu ini (atau kategori peristiwa umum).
- Encoding: URL RFC 3986 yang valid dengan parameter opsional seperti informasi port, dll. Harus memiliki awalan protokol sebelum URL (misalnya, https:// atau http://).
- Contoh: https://newco.altostrat.com:8080/event_info?event_id=12345
Metadata.vendor_name
- Tujuan: Menentukan nama vendor produk.
- Encoding: String alfanumerik yang peka huruf besar/kecil, tanda baca diizinkan, maksimum 256 byte
- Contoh:
- CrowdStrike
- Symantec
Populasi metadata Kata Benda
Di bagian ini, kata Kata Benda adalah istilah menyeluruh yang digunakan untuk merepresentasikan entitas; principal, src, target, intermediary, observer, dan about. Entitas ini memiliki atribut yang sama, tetapi mewakili objek yang berbeda dalam peristiwa. Untuk mengetahui informasi selengkapnya tentang entitas dan apa yang diwakili oleh setiap entitas dalam peristiwa, lihat Memformat data log sebagai UDM.
Noun.asset_id
- Tujuan: ID perangkat unik khusus vendor (misalnya, GUID yang dibuat saat menginstal software keamanan endpoint di perangkat baru yang digunakan untuk melacak perangkat unik tersebut dari waktu ke waktu).
- Encoding: VendorName.ProductName:ID dengan VendorName adalah nama vendor yang tidak peka huruf besar/kecil* *seperti "Carbon Black", ProductName adalah nama produk yang tidak peka huruf besar/kecil, seperti "Response" atau "Endpoint Protection", dan ID adalah ID pelanggan khusus vendor yang unik secara global dalam lingkungan pelanggan mereka (misalnya, GUID atau nilai unik yang mengidentifikasi perangkat unik). VendorName dan ProductName bersifat alfanumerik dan panjangnya tidak lebih dari 32 karakter. ID dapat memiliki panjang maksimum 128 karakter dan dapat menyertakan karakter alfanumerik, tanda hubung, dan titik.
- Contoh: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f
Noun.email
- Tujuan: Alamat email
- Encoding: Format alamat email standar.
- Contoh: johns@test.altostrat.com
Noun.file
- Tujuan: Metadata file mendetail.
- Jenis: Objek
- Lihat Penambahan metadata File.
Noun.hostname
- Tujuan: Kolom nama host atau nama domain klien. Jangan sertakan jika ada URL.
- Encoding: Nama host RFC 1123 yang valid.
- Contoh:
- userwin10
- www.altostrat.com
Noun.platform
- Tujuan: Sistem operasi platform.
- Encoding: Enum
- Nilai yang Mungkin:
- LINUX
- MAC
- WINDOWS
- UNKNOWN_PLATFORM
Noun.platform_patch_level
- Tujuan: Tingkat patch sistem operasi platform.
- Encoding: String alfanumerik dengan tanda baca, maksimal 64 karakter.
- Contoh: Build 17134.48
Noun.platform_version
- Tujuan: Versi sistem operasi platform.
- Encoding: String alfanumerik dengan tanda baca, maksimal 64 karakter.
- Contoh: Microsoft Windows 10 versi 1803
Noun.process
- Tujuan: Metadata proses mendetail.
- Jenis: Objek
- Lihat Pembuatan metadata Proses.
Noun.ip
- Tujuan:
- Satu alamat IP yang dikaitkan dengan koneksi jaringan.
- Satu atau beberapa alamat IP yang terkait dengan perangkat peserta pada saat peristiwa terjadi (misalnya, jika produk EDR mengetahui semua alamat IP yang terkait dengan perangkat, produk tersebut dapat mengenkode semua alamat IP tersebut dalam kolom IP).
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
- Kemampuan diulang:
- Jika peristiwa mendeskripsikan koneksi jaringan tertentu (misalnya, srcip:srcport > dstip:dstport), vendor hanya boleh memberikan satu alamat IP.
- Jika peristiwa menjelaskan aktivitas umum yang terjadi di perangkat peserta, tetapi bukan koneksi jaringan tertentu, vendor mungkin memberikan semua alamat IP terkait untuk perangkat tersebut pada saat peristiwa terjadi.
- Contoh:
- 192.168.1.2
- 2001:db8:1:3::1
Noun.port
- Tujuan: Nomor port jaringan sumber atau tujuan saat koneksi jaringan tertentu dijelaskan dalam peristiwa.
- Encoding: Nomor port TCP/IP yang valid dari 1 hingga 65.535.
Contoh:
- 80
- 443
Noun.mac
- Tujuan: Satu atau beberapa alamat MAC yang terkait dengan perangkat.
- Encoding: Alamat MAC yang valid (EUI-48) dalam ASCII.
- Kemampuan Pengulangan: Vendor mungkin memberikan semua alamat MAC terkait untuk perangkat pada saat peristiwa terjadi.
- Contoh:
- fedc:ba98:7654:3210:fedc:ba98:7654:3210
- 1080:0:0:0:8:800:200c:417a
- 00:a0:0:0:c9:14:c8:29
Noun.administrative_domain
- Tujuan: Domain tempat perangkat berada (misalnya, domain Windows).
- Encoding: String nama domain yang valid (maksimum 128 karakter).
- Contoh: corp.altostrat.com
Noun.registry
- Tujuan: Metadata registry yang mendetail.
- Jenis: Objek
- Lihat Pendudukan metadata Registry
Noun.url
- Tujuan: URL Standar
- Encoding: URL (RFC 3986). Harus memiliki awalan protokol yang valid (misalnya, https:// atau ftp://). Harus menyertakan domain dan jalur lengkap. Mungkin menyertakan parameter URL.
- Contoh: https://foo.altostrat.com/bletch?a=b;c=d
Noun.user
- Tujuan: Metadata pengguna yang mendetail.
- Jenis: Objek
- Lihat Pembuatan Metadata pengguna.
Populasi metadata Autentikasi
Authentication.AuthType
- Tujuan: Jenis sistem yang terkait dengan peristiwa autentikasi (UDM Google Security Operations).
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- AUTHTYPE_UNSPECIFIED
- MACHINE—Autentikasi mesin
- FISIK—Autentikasi fisik (misalnya, pembaca badge)
- SSO
- TACACS—Protokol keluarga TACACS untuk autentikasi sistem jaringan (misalnya, TACACS atau TACACS+)
- VPN
Authentication.Authentication_Status
- Tujuan: Menjelaskan status autentikasi pengguna atau kredensial tertentu.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- UNKNOWN_AUTHENTICATION_STATUS—Status autentikasi default
- AKTIF—Metode autentikasi dalam status aktif
- SUSPENDED—Metode autentikasi dalam status ditangguhkan atau dinonaktifkan
- DIHAPUS—Metode autentikasi telah dihapus
- NO_ACTIVE_CREDENTIALS—Metode autentikasi tidak memiliki kredensial aktif.
Authentication.auth_details
- Tujuan: Detail autentikasi yang ditentukan vendor.
- Encoding: String.
Authentication.Mechanism
- Tujuan: Mekanisme yang digunakan untuk autentikasi.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- MECHANISM_UNSPECIFIED—Mekanisme autentikasi default.
- BADGE_READER
- BATCH—Autentikasi batch.
- CACHED_INTERACTIVE—Autentikasi interaktif menggunakan kredensial yang di-cache.
- HARDWARE_KEY
- LOCAL
- MECHANISM_OTHER—Beberapa mekanisme lain yang tidak ditentukan di sini.
- NETWORK—Autentikasi jaringan.
- NETWORK_CLEAR_TEXT—Autentikasi teks biasa jaringan.
- NEW_CREDENTIALS—Autentikasi dengan kredensial baru.
- OTP
- REMOTE—Autentikasi jarak jauh
- REMOTE_INTERACTIVE—RDP, layanan terminal, Virtual Network Computing (VNC), dll.
- SERVICE—Autentikasi layanan.
- UNLOCK—Autentikasi buka kunci langsung yang berinteraksi dengan manusia.
- USERNAME_PASSWORD
Populasi metadata DHCP
Kolom metadata Dynamic Host Control Protocol (DHCP) merekam informasi log protokol manajemen jaringan DHCP.
Dhcp.client_hostname
- Tujuan: Nama host untuk klien. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
- Encoding: String.
Dhcp.client_identifier
- Tujuan: ID klien. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
- Encoding: Byte.
Dhcp.file
- Tujuan: Nama file untuk image booting.
- Encoding: String.
Dhcp.flags
- Tujuan: Nilai untuk kolom flag DHCP.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.hlen
- Tujuan: Panjang alamat hardware.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.hops
- Tujuan: Jumlah hop DHCP.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.htype
- Tujuan: Jenis alamat hardware.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.lease_time_seconds
- Tujuan: Waktu sewa yang diminta klien untuk alamat IP dalam hitungan detik. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.opcode
- Tujuan: Kode operasi BOOTP (lihat bagian 3 RFC 951).
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- UNKNOWN_OPCODE
- BOOTREQUEST
- BOOTREPLY
Dhcp.requested_address
- Tujuan: ID klien. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
Dhcp.seconds
- Tujuan: Detik yang berlalu sejak klien memulai proses akuisisi/perpanjangan alamat.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.sname
- Tujuan: Nama server yang diminta klien untuk melakukan booting.
- Encoding: String.
Dhcp.transaction_id
- Tujuan: ID transaksi klien.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Dhcp.type
- Tujuan: Jenis pesan DHCP. Lihat RFC 1533 untuk mengetahui informasi selengkapnya.
- Encoding: Jenis yang dihitung.
- Nilai yang mungkin:
- UNKNOWN_MESSAGE_TYPE
- DISCOVER
- PENAWARAN
- PERMINTAAN
- TOLAK
- ACK
- NAK
- RILIS
- INFORM
- WIN_DELECTED
- WIN_EXPIRED
Dhcp.chaddr
- Tujuan: Alamat IP untuk hardware klien.
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
Dhcp.ciaddr
- Tujuan: Alamat IP untuk klien.
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
Dhcp.giaddr
- Tujuan: Alamat IP untuk agen relay.
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
Dhcp.siaddr
- Tujuan: Alamat IP untuk server bootstrap berikutnya.
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
Dhcp.yiaddr
- Tujuan: Alamat IP Anda.
- Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
Pengisian metadata Opsi DHCP
Kolom metadata opsi DHCP merekam informasi log opsi DHCP.
Option.code
- Tujuan: Menyimpan kode opsi DHCP. Lihat RFC 1533, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
- Encoding: Bilangan bulat 32-bit tanpa tanda.
Option.data
- Tujuan: Menyimpan data opsi DHCP. Lihat RFC 1533, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
- Encoding: Byte.
Populasi metadata DNS
Kolom metadata DNS menangkap informasi yang terkait dengan paket permintaan dan respons DNS. Keduanya memiliki korelasi satu-ke-satu dengan data yang ditemukan dalam datagram permintaan dan respons DNS.
Dns.authoritative
- Tujuan: Tetapkan ke benar untuk server DNS otoritatif.
- Encoding: Boolean.
Dns.id
- Tujuan: Menyimpan ID kueri DNS.
- Encoding: Bilangan bulat 32-bit.
Dns.response
- Tujuan: Tetapkan ke benar (true) jika peristiwa adalah respons DNS.
- Encoding: Boolean.
Dns.opcode
- Tujuan: Menyimpan OpCode DNS yang digunakan untuk menentukan jenis kueri DNS (standar, invers, status server, dll.).
- Encoding: Bilangan bulat 32-bit.
Dns.recursion_available
- Tujuan: Tetapkan ke benar (true) jika pencarian DNS rekursif tersedia.
- Encoding: Boolean.
Dns.recursion_desired
- Tujuan: Tetapkan ke benar jika pencarian DNS rekursif diminta.
- Encoding: Boolean.
Dns.response_code
- Tujuan: Menyimpan kode respons DNS seperti yang ditentukan oleh RFC 1035, Domain Names - Implementation and Specification.
- Encoding: Bilangan bulat 32-bit.
Dns.truncated
- Tujuan: Tetapkan ke benar (true) jika ini adalah respons DNS yang terpotong.
- Encoding: Boolean.
Dns.questions
- Tujuan: Menyimpan pertanyaan pesan protokol domain. Lihat Pembuatan metadata Pertanyaan DNS.
Dns.answers
- Tujuan: Menyimpan jawaban untuk kueri nama domain. Lihat Penambahan metadata Data Resource DNS.
Dns.authority
- Tujuan: Menyimpan server nama domain yang memverifikasi jawaban atas kueri nama domain. Lihat Penambahan metadata Data Resource DNS.
Dns.additional
- Tujuan: Menyimpan server nama domain tambahan yang dapat digunakan untuk memverifikasi jawaban ke domain. Lihat Penambahan metadata Data Resource DNS.
Populasi metadata Pertanyaan DNS
Kolom metadata pertanyaan DNS menangkap informasi yang terdapat dalam bagian pertanyaan pesan protokol domain.
Question.name
- Tujuan: Menyimpan nama domain.
- Encoding: String.
Question.class
- Tujuan: Menyimpan kode yang menentukan class kueri.
- Encoding: Bilangan bulat 32-bit.
Question.type
- Tujuan: Menyimpan kode yang menentukan jenis kueri.
- Encoding: Bilangan bulat 32-bit.
Populasi metadata Data Resource DNS
Kolom metadata data resource DNS menangkap informasi yang terdapat dalam data resource pesan protokol domain.
ResourceRecord.binary_data
- Tujuan: Menyimpan byte mentah dari string non-UTF8 yang mungkin disertakan sebagai bagian dari respons DNS. Kolom ini hanya boleh digunakan jika data respons yang ditampilkan oleh server DNS berisi data non-UTF8. Jika tidak, tempatkan respons DNS di kolom data di bawah. Jenis informasi ini harus disimpan di sini, bukan di ResourceRecord.data.
Encoding: Byte.
ResourceRecord.class
- Tujuan: Menyimpan kode yang menentukan class kumpulan data resource.
- Encoding: Bilangan bulat 32-bit.
ResourceRecord.data
- Tujuan: Menyimpan payload atau respons ke pertanyaan DNS untuk semua respons yang dienkode dalam format UTF-8. Misalnya, kolom data dapat menampilkan alamat IP mesin yang dirujuk oleh nama domain. Jika untuk jenis atau class yang berbeda, data resource mungkin berisi nama domain lain (saat satu nama domain dialihkan ke nama domain lain). Data harus disimpan seperti dalam respons DNS.
- Encoding: String.
ResourceRecord.name
- Tujuan: Menyimpan nama pemilik data resource.
- Encoding: String.
ResourceRecord.ttl
- Tujuan: Menyimpan interval waktu yang dapat digunakan untuk menyimpan data resource dalam cache sebelum sumber informasi harus dikueri lagi.
- Encoding: Bilangan bulat 32-bit.
ResourceRecord.type
- Tujuan: Menyimpan kode yang menentukan jenis data resource.
- Encoding: Bilangan bulat 32-bit.
Populasi metadata Email
Sebagian besar kolom Metadata Email menangkap alamat email yang disertakan dalam header pesan dan harus sesuai dengan format alamat email standar (local-mailbox@domain) seperti yang ditentukan dalam RFC 5322. Misalnya, frank@email.example.com.
Email.from
- Tujuan: Menyimpan alamat email dari.
- Encoding: String.
Email.reply_to
- Tujuan: Menyimpan alamat email reply_to.
- Encoding: String.
Email.to
- Tujuan: Menyimpan alamat email ke.
- Encoding: String.
Email.cc
- Tujuan: Menyimpan alamat email cc.
- Encoding: String.
Email.bcc
- Tujuan: Menyimpan alamat email bcc.
- Encoding: String.
Email.mail_id
- Tujuan: Menyimpan ID email (atau pesan).
- Encoding: String.
- Contoh: 192544.132632@email.example.com
Email.subject
- Tujuan: Menyimpan baris subjek email.
- Encoding: String.
- Contoh: "Baca pesan ini."
Populasi metadata Ekstensi
Jenis peristiwa dengan metadata kelas satu yang belum dikategorikan oleh UDM Google Security Operations. Extensions.auth
- Tujuan: Ekstensi ke metadata autentikasi.
- Encoding: String.
- Contoh:
- Metadata sandbox (semua perilaku yang ditampilkan oleh file, misalnya, FireEye).
- Data Kontrol Akses Jaringan (NAC).
- Detail LDAP tentang pengguna (misalnya, peran, organisasi, dll.).
Extensions.auth.auth_details
- Tujuan: Menentukan detail khusus vendor untuk jenis atau mekanisme autentikasi. Penyedia autentikasi sering menentukan jenis seperti via_mfa atau via_ad yang memberikan informasi berguna tentang jenis autentikasi. Jenis ini masih dapat digeneralisasi dalam auth.type atau auth.mechanism untuk kegunaan dan kompatibilitas aturan lintas set data.
- Encoding: String.
- Contoh: via_mfa, via_ad.
Extensions.vulns
- Tujuan: Ekstensi ke metadata kerentanan.
- Encoding: String.
- Contoh:
- Menghosting data pemindaian kerentanan.
Pengisian metadata File
File.file_metadata
- Tujuan: Metadata yang terkait dengan file.
- Encoding: String.
- Contoh:
- Penulis
- Nomor revisi
- Nomor versi
- Tanggal terakhir disimpan
File.full_path
- Tujuan: Jalur lengkap yang mengidentifikasi lokasi file di sistem.
- Encoding: String.
- Contoh: \Program Files\Custom Utilities\Test.exe
File.md5
- Tujuan: Nilai hash MD5 untuk file.
- Encoding: String, heksadesimal huruf kecil.
- Contoh: 35bf623e7db9bf0d68d0dda764fd9e8c
File.mime_type
- Tujuan: Jenis Multipurpose Internet Mail Extensions (MIME) untuk file.
- Encoding: String.
- Contoh:
- PE
- skrip powershell
File.sha1
- Tujuan: Nilai hash SHA-1 untuk file.
- Encoding: String, heksadesimal huruf kecil.
- Contoh: eb3520d53b45815912f2391b713011453ed8abcf
File.sha256
- Tujuan: Nilai hash SHA-256 untuk file.
- Encoding: String, heksadesimal huruf kecil.
- Contoh:
- d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417
File.size
- Tujuan: Ukuran file.
- Encoding: Bilangan bulat 64-bit tanpa tanda.
- Contoh: 342135.
Pengisian metadata FTP
Ftp.command
- Tujuan: Menyimpan perintah FTP.
- Encoding: String.
- Contoh:
- binary
- delete
- get
- put
Populasi metadata Grup
Informasi tentang grup organisasi.
Group.creation_time
- Tujuan: Waktu pembuatan grup.
- Encoding: RFC 3339, sesuai untuk format stempel waktu JSON atau Proto3.
Group.email_addresses
- Tujuan: Informasi kontak grup.
- Encoding: Email.
Group.group_display_name
- Tujuan: Nama tampilan grup.
- Encoding: String.
- Contoh:
- Keuangan
- HR
- Pemasaran
Group.product_object_id
- Tujuan: ID objek pengguna unik secara global untuk produk, seperti ID objek LDAP.
- Encoding: String.
Group.windows_sid
- Tujuan: Kolom atribut grup ID Keamanan (SID) Microsoft Windows.
- Encoding: String.
Populasi metadata HTTP
Http.method
- Tujuan: Menyimpan metode permintaan HTTP.
- Encoding: String.
- Contoh:
- DAPATKAN
- HEAD
- POST
Http.referral_url
- Tujuan: Menyimpan URL untuk perujuk HTTP.
- Encoding: URL RFC 3986 yang valid.
- Contoh: https://www.altostrat.com
Http.response_code
- Tujuan: Menyimpan kode status respons HTTP, yang menunjukkan apakah permintaan HTTP tertentu telah berhasil diselesaikan.
- Encoding: Bilangan bulat 32-bit.
- Contoh:
- 400
- 404
Http.user_agent
- Tujuan: Menyimpan header permintaan User-Agent yang mencakup jenis aplikasi, sistem operasi, vendor software, atau versi software dari agen pengguna software yang meminta.
- Encoding: String.
- Contoh:
- Mozilla/5.0 (X11; Linux x86_64)
- AppleWebKit/534.26 (KHTML, like Gecko)
- Chrome/41.0.2217.0
- Safari/527.33
Populasi metadata Lokasi
Location.city
- Tujuan: Menyimpan nama kota.
- Encoding: String.
- Contoh:
- Sunnyvale
- Chicago
- Málaga
Location.country_or_region
- Tujuan: Menyimpan nama negara atau wilayah di dunia.
- Encoding: String.
- Contoh:
- Amerika Serikat
- Inggris Raya
- Spanyol
Location.name
- Tujuan: Menyimpan nama khusus untuk perusahaan, seperti gedung atau kampus.
- Encoding: String.
- Contoh:
- Kampus 7B
- Bangunan A2
Location.state
- Tujuan: Menyimpan nama negara bagian, provinsi, atau wilayah.
- Encoding: String.
- Contoh:
- California
- Illinois
- Ontario
Pengisian metadata Jaringan
Network.application_protocol
- Tujuan: Menunjukkan protokol aplikasi jaringan.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- UNKNOWN_APPLICATION_PROTOCOL
- QUIC
- HTTP
- HTTPS
- DNS
- DHCP
Network.direction
- Tujuan: Menunjukkan arah traffic jaringan.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- UNKNOWN_DIRECTION
- MASUK
- KELUAR
- SIARAN
Network.email
- Tujuan: Menentukan alamat email untuk pengirim/penerima.
- Encoding: String.
- Contoh: jcheng@perusahaan.example.com
Network.ip_protocol
- Tujuan: Menunjukkan protokol IP.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- UNKNOWN_IP_PROTOCOL
- EIGRP—Enhanced Interior Gateway Routing Protocol
- ESP—Encapsulating Security Payload
- ETHERIP—Enkapsulasi Ethernet-dalam-IP
- GRE—Generic Routing Encapsulation
- ICMP—Internet Control Message Protocol
- IGMP—Internet Group Management Protocol
- IP6IN4—Enkapsulasi IPv6
- PIM—Multicast Independen Protokol
- TCP—Transmission Control Protocol
- UDP—User Datagram Protocol
- VRRP—Virtual Router Redundancy Protocol
Network.received_bytes
- Tujuan: Menentukan jumlah byte yang diterima.
- Encoding: Bilangan bulat 64-bit tanpa tanda.
- Contoh: 12.453.654.768
Network.sent_bytes
- Tujuan: Menentukan jumlah byte yang dikirim.
- Encoding: Bilangan bulat 64-bit tanpa tanda.
- Contoh: 7.654.876
Network.session_duration
- Tujuan: Menyimpan durasi sesi jaringan, yang biasanya ditampilkan dalam peristiwa drop untuk sesi. Untuk menetapkan durasi, Anda dapat menetapkan network.session_duration.seconds = 1, (jenis int64) atau network.session_duration.nanos = 1 (jenis int32).
- Encoding:
- Bilangan bulat 32-bit—Untuk detik (network.session_duration.seconds).
- Bilangan bulat 64-bit—Untuk nanodetik (network.session_duration.nanos).
Network.session_id
- Tujuan: Menyimpan ID sesi jaringan.
- Encoding: String.
- Contoh: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34
Populasi metadata Proses
Process.command_line
- Tujuan: Menyimpan string command line untuk proses.
- Encoding: String.
- Contoh: grup c:\windows\system32\net.exe
Process.product_specific_process_id
- Tujuan: Menyimpan ID proses khusus produk.
- Encoding: String.
- Contoh:
MySQL:78778
atauCS:90512
Process.parent_process.product_specific_process_id
- Tujuan: Menyimpan ID proses khusus produk untuk proses induk.
- Encoding: String.
- Contoh:
MySQL:78778
atauCS:90512
Process.file
- Tujuan: Menyimpan nama file yang digunakan oleh proses.
- Encoding: String.
- Contoh: report.xls
Process.parent_process
- Tujuan: Menyimpan detail proses induk.
- Encoding: Kata benda (Proses)
Process.pid
- Tujuan: Menyimpan ID proses.
- Encoding: String.
- Contoh:
- 308
- 2002
Populasi metadata Registry
Registry.registry_key
- Tujuan: Menyimpan kunci registry yang terkait dengan aplikasi atau komponen sistem.
- Encoding: String.
- Contoh: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase
Registry.registry_value_name
- Tujuan: Menyimpan nama nilai registry yang terkait dengan aplikasi atau komponen sistem.
- Encoding: String.
- Contoh: TEMP
Registry.registry_value_data
- Tujuan: Menyimpan data yang terkait dengan nilai registry.
- Encoding: String.
- Contoh: %USERPROFILE%\Local Settings\Temp
Populasi metadata Hasil Keamanan
Metadata Hasil Keamanan mencakup detail tentang risiko dan ancaman keamanan yang ditemukan oleh sistem keamanan serta tindakan yang diambil untuk memitigasi risiko dan ancaman tersebut.
SecurityResult.about
- Tujuan: Memberikan deskripsi hasil keamanan.
- Encoding: Kata benda.
SecurityResult.action
- Tujuan: Menentukan tindakan keamanan.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin: UDM Google Security Operations menentukan tindakan keamanan berikut:
- IZINKAN
- ALLOW_WITH_MODIFICATION—File atau email telah didisinfektasi atau ditulis ulang dan masih diteruskan.
- BLOKIR
- QUARANTINE—Simpan untuk analisis nanti (tidak berarti memblokir).
- UNKNOWN_ACTION
SecurityResult.action_details
- Tujuan: Detail tindakan yang diambil sebagai akibat dari insiden keamanan yang diberikan vendor. Tindakan keamanan sering kali diterjemahkan dengan lebih baik ke kolom UDM Security_Result.action yang lebih umum. Namun, Anda mungkin perlu menulis aturan untuk deskripsi tindakan yang diberikan vendor secara tepat.
- Encoding: String.
- Contoh: Drop, block, decrypt, encrypt.
SecurityResult.category
- Tujuan: Menentukan kategori keamanan.
- Encoding: Enum.
- Kemungkinan Nilai: UDM Google Security Operations menentukan kategori keamanan berikut:
- ACL_VIOLATION—Akses tidak sah yang dicoba, termasuk upaya akses ke file, layanan web, proses, objek web, dll.
- AUTH_VIOLATION—Autentikasi gagal, seperti sandi yang salah atau autentikasi 2 faktor yang salah.
- DATA_AT_REST—DLP: data sensor yang ditemukan dalam penyimpanan dalam pemindaian.
- DATA_DESTRUCTION—Mencoba menghancurkan/menghapus data.
- DATA_EXFILTRATION—DLP: transmisi data sensor, salin ke flash drive.
- EXPLOIT—Upaya overflow, encoding protokol yang buruk, ROP, injeksi SQL, dll., baik berbasis jaringan maupun host.
- MAIL_PHISHING—Email phishing, pesan chat, dll.
- MAIL_SPAM—Email, pesan, dll. spam
- MAIL_SPOOFING—Alamat email sumber yang di-spoof, dll.
- NETWORK_CATEGORIZED_CONTENT
- NETWORK_COMMAND_AND_CONTROL—Jika saluran perintah dan kontrol diketahui.
- NETWORK_DENIAL_OF_SERVICE
- NETWORK_MALICIOUS—Command and control, network exploit, aktivitas mencurigakan, potensi reverse tunnel, dll.
- NETWORK_SUSPICIOUS—Tidak terkait keamanan, misalnya, URL ditautkan ke perjudian, dll.
- NETWORK_RECON—Pemindaian port yang terdeteksi oleh IDS, yang diuji oleh aplikasi web.
- POLICY_VIOLATION—Pelanggaran kebijakan keamanan, termasuk pelanggaran aturan firewall, proxy, dan HIPS atau tindakan pemblokiran NAC.
- SOFTWARE_MALICIOUS—Malware, spyware, rootkit, dll.
- SOFTWARE_PUA—Aplikasi yang berpotensi tidak diinginkan, seperti adware, dll.
- SOFTWARE_SUSPICIOUS
- UNKNOWN_CATEGORY
SecurityResult.confidence
- Tujuan: Menentukan keyakinan terkait peristiwa keamanan seperti yang diperkirakan oleh produk.
- Encoding: Enum.
- Nilai yang Mungkin: UDM Google Security Operations menentukan kategori keyakinan produk berikut:
- UNKNOWN_CONFIDENCE
- LOW_CONFIDENCE
- MEDIUM_CONFIDENCE
- HIGH_CONFIDENCE
SecurityResult.confidence_details
- Tujuan: Detail tambahan terkait keyakinan peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
- Encoding: String.
SecurityResult.priority
- Tujuan: Menentukan prioritas terkait peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
- Encoding: Enum.
- Nilai yang Mungkin: UDM Google Security Operations menentukan kategori prioritas produk berikut:
- UNKNOWN_PRIORITY
- LOW_PRIORITY
- MEDIUM_PRIORITY
- HIGH_PRIORITY
SecurityResult.priority_details
- Tujuan: Informasi khusus vendor tentang prioritas hasil keamanan.
- Encoding: String.
SecurityResult.rule_id
- Tujuan: ID untuk aturan keamanan.
- Encoding: String.
- Contoh:
- 08123
- 5d2b44d0-5ef6-40f5-a704-47d61d3babbe
SecurityResult.rule_name
- Tujuan: Nama aturan keamanan.
- Encoding: String.
- Contoh: BlockInboundToOracle.
SecurityResult.severity
- Tujuan: Tingkat keparahan peristiwa keamanan seperti yang diperkirakan oleh vendor produk menggunakan nilai yang ditentukan oleh UDM Google Security Operations.
- Encoding: Enum.
- Nilai yang Mungkin: UDM Google Security Operations menentukan tingkat keparahan produk berikut:
- UNKNOWN_SEVERITY—Tidak berbahaya
- INFORMASI—Tidak berbahaya
- ERROR—Tidak berbahaya
- RENDAH—Berbahaya
- SEDANG—Berbahaya
- TINGGI—Berbahaya
SecurityResult.severity_details
- Tujuan: Tingkat keparahan untuk peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
- Encoding: String.
SecurityResult.threat_name
- Tujuan: Nama ancaman keamanan.
- Encoding: String.
- Contoh:
- W32/File-A
- Slammer
SecurityResult.url_back_to_product
- Tujuan: URL untuk mengarahkan Anda ke konsol produk sumber untuk peristiwa keamanan ini.
- Encoding: String.
Populasi Metadata pengguna
User.email_addresses
- Tujuan: Menyimpan alamat email untuk pengguna.
- Encoding: String Berulang.
- Contoh: johnlocke@company.example.com
User.employee_id
- Tujuan: Menyimpan ID karyawan sumber daya manusia untuk pengguna.
- Encoding: String.
- Contoh: 11223344.
User.first_name
- Tujuan: Menyimpan nama depan untuk pengguna.
- Encoding: String.
- Contoh: John.
User.middle_name
- Tujuan: Menyimpan nama tengah untuk pengguna.
- Encoding: String.
- Contoh: Anthony.
User.last_name
- Tujuan: Menyimpan nama belakang untuk pengguna.
- Encoding: String.
- Contoh: Locke.
User.group_identifiers
- Tujuan: Menyimpan ID grup (GUID, OID LDAP, atau yang serupa) yang terkait dengan pengguna.
- Encoding: String Berulang.
- Contoh: admin-users.
User.phone_numbers
- Tujuan: Menyimpan nomor telepon untuk pengguna.
- Encoding: String Berulang.
- Contoh: 800-555-0101
User.title
- Tujuan: Menyimpan jabatan pengguna.
- Encoding: String.
- Contoh: Pengelola Hubungan Pelanggan.
User.user_display_name
- Tujuan: Menyimpan nama tampilan untuk pengguna.
- Encoding: String.
- Contoh: John Locke.
User.userid
- Tujuan: Menyimpan User-ID.
- Encoding: String.
- Contoh: jlocke.
User.windows_sid
- Tujuan: Menyimpan ID keamanan (SID) Microsoft Windows yang terkait dengan pengguna.
- Encoding: String.
- Contoh: S-1-5-21-1180649209-123456789-3582944384-1064
Populasi metadata Kerentanan
Vulnerability.about
- Tujuan: Jika kerentanan terkait kata benda tertentu (misalnya, file yang dapat dieksekusi), tambahkan di sini.
- Encoding: Kata benda. Lihat Populasi metadata Kata Benda
- Contoh: dapat dieksekusi.
Vulnerability.cvss_base_score
- Tujuan: Skor dasar untuk Common Vulnerability Scoring System (CVSS).
- Encoding: Floating point.
- Rentang: 0,0 hingga 10,0
- Contoh: 8,5
Vulnerability.cvss_vector
Tujuan: Vektor untuk properti CVSS kerentanan. Skor CVSS terdiri dari metrik berikut:
- Vektor Serangan (AV)
- Kompleksitas Akses (AC)
- Autentikasi (Au)
- Dampak Kerahasiaan (C)
- Dampak Integritas (I)
- Dampak Ketersediaan (A)
Untuk informasi selengkapnya, lihat https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.
Encoding: String.
Contoh: AV:L/AC:H/Au:N/C:N/I:P/A:C
Vulnerability.cvss_version
- Tujuan: Versi CVSS untuk skor atau vektor kerentanan.
- Encoding: String.
- Contoh: 3.1
Vulnerability.description
- Tujuan: Deskripsi kerentanan.
- Encoding: String.
Vulnerability.first_found
- Tujuan: Produk yang menyimpan histori pemindaian kerentanan harus mengisi first_found dengan waktu kerentanan untuk aset ini pertama kali terdeteksi.
- Encoding: String.
Vulnerability.last_found
- Tujuan: Produk yang menyimpan histori pemindaian kerentanan harus mengisi last_found dengan waktu saat kerentanan untuk aset ini terakhir kali terdeteksi.
- Encoding: String.
Vulnerability.name
- Tujuan: Nama kerentanan.
- Encoding: String.
- Contoh: Versi OS yang tidak didukung terdeteksi.
Vulnerability.scan_end_time
- Tujuan: Jika kerentanan ditemukan selama pemindaian aset, isi kolom ini dengan waktu pemindaian berakhir. Biarkan kolom ini kosong jika waktu berakhir tidak tersedia atau tidak berlaku.
- Encoding: String.
Vulnerability.scan_start_time
- Tujuan: Jika kerentanan ditemukan selama pemindaian aset, isi kolom ini dengan waktu pemindaian dimulai. Biarkan kolom ini kosong jika waktu mulai tidak tersedia atau tidak berlaku.
- Encoding: String.
Vulnerability.severity
- Tujuan: Tingkat keparahan kerentanan.
- Encoding: Jenis yang dihitung.
- Nilai yang Mungkin:
- UNKNOWN_SEVERITY
- RENDAH
- SEDANG
- TINGGI
Vulnerability.severity_details
- Tujuan: Detail tingkat keparahan khusus vendor.
- Encoding: String.
Populasi metadata pemberitahuan
idm.is_significant
- Tujuan: Menentukan apakah akan menampilkan pemberitahuan di Enterprise Insights.
- Encoding: Boolean
idm.is_alert
- Tujuan: Mengidentifikasi apakah peristiwa tersebut merupakan pemberitahuan.
- Encoding: Boolean
Kolom wajib diisi dan opsional berdasarkan Jenis Peristiwa
Bagian ini menjelaskan kolom wajib versus opsional yang akan diisi, bergantung pada jenis peristiwa UDM. Untuk deskripsi kolom ini, lihat Daftar kolom Model Data Terpadu.
EMAIL_TRANSACTION
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal: Isi dengan informasi tentang mesin tempat pesan email berasal. Misalnya, alamat IP pengirim.
Kolom opsional:
- about: URL, IP, domain, dan lampiran file apa pun yang disematkan dalam isi email.
- securityResult.about: URL, IP, dan file yang tidak aman yang disematkan dalam isi email.
- network.email: Informasi pengirim/penerima email.
- principal: Jika ada data mesin klien tentang siapa yang mengirim email, isi detail server di principal (misalnya, proses klien, nomor port, nama pengguna, dll.).
- target: Jika ada data server email tujuan, isi detail server di target (misalnya, alamat IP).
- intermediary: Jika ada data server email atau data proxy email, isi detail server di intermediary.
Catatan:
- Jangan pernah mengisi principal.email atau target.email.
- Hanya isi kolom email di security_result.about atau network.email.
- Hasil keamanan tingkat teratas umumnya memiliki kumpulan kata benda (opsional untuk spam).
FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ, dan FILE_OPEN
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal:
- Setidaknya satu ID mesin.
- (Opsional) Isi principal.process dengan informasi tentang proses yang mengakses file.
- target:
- Jika file bersifat jarak jauh (misalnya, berbagi SMB), target harus menyertakan setidaknya satu ID mesin untuk mesin target. Jika tidak, semua ID mesin harus kosong.
- Isi target.file dengan informasi tentang file.
Opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
- principal.user: Isi jika informasi pengguna tersedia tentang proses.
FILE_COPY
Kolom wajib diisi:
- metadata: Sertakan kolom wajib diisi seperti yang dijelaskan.
- principal:
- Setidaknya satu ID mesin.
- (Opsional) Isi principal.process dengan informasi tentang proses yang melakukan operasi penyalinan file.
- src:
- Isi src.file dengan informasi tentang file sumber.
- Jika file bersifat jarak jauh (misalnya, berbagi SMB), src harus menyertakan setidaknya satu ID mesin untuk mesin sumber yang menyimpan file sumber.
- target:
- Isi target.file dengan informasi tentang file target.
- Jika file bersifat jarak jauh (misalnya, berbagi SMB), kolom target harus menyertakan minimal satu ID mesin untuk mesin target yang menyimpan file target.
Kolom opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
- principal.user: Isi jika informasi pengguna tersedia tentang proses.
MUTEX_CREATION
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal:
- Setidaknya satu ID mesin.
- Isi principal.process dengan informasi tentang proses yang membuat mutex.
- target:
- Isi target.resource.
- Isi target.resource.type dengan MUTEX.
- Isi target.resource.name dengan nama mutex yang dibuat.
Opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
- principal.user: Isi jika informasi pengguna tersedia tentang proses.
Contoh UDM untuk MUTEX_CREATION
Contoh berikut menggambarkan cara peristiwa berjenis MUTEX_CREATION akan diformat untuk UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: MUTEX_CREATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "test.altostrat.com"
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
target {
resource {
type: "MUTEX"
name: "test-mutex"
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail perangkat dan proses.
- target: Informasi tentang mutex.
NETWORK_CONNECTION
Kolom wajib diisi:
- metadata: event_timestamp
- principal: Sertakan detail tentang mesin yang memulai koneksi jaringan (misalnya, sumber).
- target: Sertakan detail tentang mesin target jika berbeda dengan mesin utama.
- network: Mengambil detail tentang koneksi jaringan (port, protokol, dll.).
Kolom opsional:
- principal.process dan target.process: Menyertakan informasi proses yang terkait dengan akun utama dan target koneksi jaringan (jika tersedia).
- principal.user dan target.user: Sertakan informasi pengguna yang terkait dengan akun utama dan target koneksi jaringan (jika tersedia).
NETWORK_HTTP
Jenis peristiwa NETWORK_HTTP mewakili koneksi jaringan HTTP dari akun utama ke server web target.
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal: Mewakili klien yang memulai permintaan web dan menyertakan setidaknya satu ID mesin (misalnya, nama host, IP, MAC, ID aset eksklusif) atau ID pengguna (misalnya, nama pengguna). Jika koneksi jaringan tertentu dijelaskan dan nomor port klien tersedia, hanya satu alamat IP yang harus ditentukan beserta nomor port yang terkait dengan koneksi jaringan tersebut (meskipun ID mesin lain dapat diberikan untuk menjelaskan perangkat peserta dengan lebih baik). Jika tidak ada port sumber yang tersedia, semua alamat IP dan MAC, ID aset, dan nilai nama host yang menjelaskan perangkat utama dapat ditentukan.
- target: Mewakili server web, dan menyertakan informasi perangkat dan jika perlu, nomor port. Jika nomor port target tersedia, tentukan hanya satu alamat IP selain nomor port yang terkait dengan koneksi jaringan tersebut (meskipun beberapa ID mesin lain dapat diberikan untuk target). Untuk target.url, isi dengan URL yang diakses.
- network dan network.http: Menyertakan detail tentang koneksi jaringan
HTTP. Anda harus mengisi kolom berikut:
- network.ip_protocol
- network.application_protocol
- network.http.method
Kolom opsional:
- about: Merepresentasikan entitas lain yang ditemukan dalam transaksi HTTP (misalnya, file yang diupload atau didownload).
- intermediary: Mewakili server proxy (jika berbeda dengan akun utama atau target).
- metadata: Isi kolom metadata lainnya.
- network: Isi kolom jaringan lainnya.
- network.email: Jika koneksi jaringan HTTP berasal dari URL yang muncul dalam pesan email, isi network.email dengan detailnya.
- observer: Merepresentasikan sniffer pasif (jika ada).
- security_result: Tambahkan satu atau beberapa item ke kolom security_result untuk mewakili aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk NETWORK_HTTP
Contoh berikut mengilustrasikan cara peristiwa antivirus Sophos dengan jenis NETWORK_HTTP akan dikonversi ke format UDM Google Security Operations.
Berikut adalah peristiwa antivirus Sophos asli:
date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA
Berikut cara memformat informasi yang sama di Proto3 menggunakan sintaksis UDM Operasi Keamanan Google:
metadata {
event_timestamp: "2013-08-07T13:27:41+00:00"
event_type: NETWORK_HTTP
product_name: "Sophos Antivirus"
product_log_id: "030906208001"
}
principal {
hostname: "CC500ia"
asset_id: "Sophos.AV:C070123456-ABCDE"
ip: "10.10.2.10"
port: 60671
user { userid: "john.smith" }
}
target {
hostname: "altostrat.fr"
ip: "203.0.113.31"
port: 80
url: "altostrat.fr/img/logo.gif"
}
network {
ip_protocol: TCP
}
security_result {
about {
url: "altostrat.fr/img/logo.gif"
category: SOFTWARE_MALICIOUS
category_details: "Virus"
threat_name: "TR/ElderadoB.A.78"
severity: HIGH # Google Security Operations-normalized severity
severity_details: "Critical" # Vendor-specific severity string
}
}
additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Perangkat keamanan yang mendeteksi peristiwa.
- target: Perangkat yang menerima software berbahaya.
- network: Informasi jaringan tentang host berbahaya.
- security_result: Detail keamanan tentang software berbahaya.
- additional: Informasi vendor yang saat ini berada di luar cakupan UDM.
PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal:
- Setidaknya satu ID mesin.
- Untuk peristiwa injeksi proses dan penghentian proses, jika tersedia, principal.process harus menyertakan informasi tentang proses yang memulai tindakan (misalnya, untuk peristiwa peluncuran proses, principal.process harus menyertakan detail tentang proses induk jika tersedia).
- target:
- target.process: Menyertakan informasi tentang proses yang sedang dimasukkan, dibuka, diluncurkan, atau dihentikan.
- Jika proses target bersifat jarak jauh, target harus menyertakan minimal satu ID mesin untuk mesin target (misalnya, alamat IP, MAC, nama host, atau ID aset pihak ketiga).
Kolom opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
- principal.user dan target.user: Isi proses yang memulai (prinsipal) dan proses target jika informasi pengguna tersedia.
Contoh UDM untuk PROCESS_LAUNCH
Contoh berikut menggambarkan cara memformat peristiwa PROCESS_LAUNCH menggunakan sintaksis UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: PROCESS_LAUNCH
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "altostrat.com"
}
target {
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail perangkat.
- target: Detail proses.
PROCESS_MODULE_LOAD
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal:
- Setidaknya satu ID mesin.
- principal.process: Memproses pemuatan modul.
- target:
- target.process: Menyertakan informasi tentang proses.
- target.process.file: Modul yang dimuat (misalnya, DLL atau objek bersama).
Kolom opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
- principal.user: Isi jika informasi pengguna tersedia tentang proses.
Contoh UDM untuk PROCESS_MODULE_LOAD
Contoh berikut menggambarkan cara memformat peristiwa PROCESS_MODULE_LOAD menggunakan sintaksis UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: PROCESS_MODULE_LOAD
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "example.com"
process {
pid: "0x123"
}
}
target {
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail tentang perangkat dan proses yang memuat modul.
- target: Detail proses dan modul.
PROCESS_PRIVILEGE_ESCALATION
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal:
- Setidaknya satu ID mesin.
- principal.process: Memproses pemuatan modul.
- principal.user: Pengguna yang memuat modul.
Kolom opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk PROCESS_PRIVILEGE_ESCALATION
Contoh berikut menggambarkan cara memformat peristiwa PROCESS_PRIVILEGE_ESCALATION menggunakan sintaksis UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: PROCESS_PRIVILEGE_ESCALATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "example.com"
process {
pid: "0x123"
}
user {
userid: "test"
windows_sid: "ABCDEFGH-123456789-1111111-1000"
}
}
target {
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail tentang perangkat, pengguna, dan proses yang memuat modul.
- target: Detail proses dan modul.
REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal:
- Setidaknya satu ID mesin.
- Jika proses mode pengguna melakukan perubahan registry, principal.process harus menyertakan informasi tentang proses yang mengubah registry.
- Jika proses kernel melakukan modifikasi registry, prinsipal tidak boleh menyertakan informasi proses.
- target:
- target.registry: Jika registry target bersifat jarak jauh, target harus menyertakan minimal satu ID untuk mesin target (misalnya, alamat IP, MAC, nama host, atau ID aset pihak ketiga).
- target.registry.registry_key: Semua peristiwa registry harus menyertakan kunci registry yang terpengaruh.
Opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi. Misalnya, kunci registry yang buruk.
- principal.user: Isi jika informasi pengguna tersedia tentang proses.
Contoh UDM untuk REGISTRY_MODIFICATION
Contoh berikut mengilustrasikan cara memformat peristiwa REGISTRY_MODIFICATION di Proto3 menggunakan sintaksis UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: REGISTRY_MODIFICATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "test-win"
user {
userid: "test"
windows_sid: "ABCDEFGH-123456789-1111111-1000"
}
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
target {
registry {
registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
registry_value_name: "Description"
registry_value_data: "For extending battery life."
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail perangkat, pengguna, dan proses.
- target: Entri registry yang terpengaruh oleh modifikasi.
SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK
Kolom wajib diisi:
- extensions: Untuk SCAN_VULN_HOST dan SCAN_VULN_NETWORK, tentukan vulnerability menggunakan kolom extensions.vuln.
- metadata: event_timestamp
- observer: Mengambil informasi tentang pemindai itu sendiri. Jika pemindai berada di jarak jauh, detail mesin harus diambil oleh kolom observer. Untuk pemindai lokal, biarkan kosong.
- target: Mengambil informasi tentang mesin yang menyimpan objek yang sedang dipindai. Jika file sedang dipindai, target.file harus mengambil informasi tentang file yang dipindai. Jika proses sedang dipindai, target.process harus mengambil informasi tentang proses yang dipindai.
Kolom opsional:
- target: Detail pengguna tentang objek target (misalnya, pembuat file atau pemilik proses) harus diambil di target.user.
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk SCAN_HOST
Contoh berikut mengilustrasikan cara peristiwa berjenis SCAN_HOST akan diformat untuk UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1571386978
}
event_type: SCAN_HOST
vendor_name: "vendor"
product_name: "product"
product_version: "1.0"
}
target: {
hostname: "testHost"
asset_id: "asset"
ip: "192.168.200.200"
}
observer: {
hostname: "testObserver"
ip: "192.168.100.100"
}
security_result: {
severity: LOW
confidence: HIGH_CONFIDENCE
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- target: Perangkat yang menerima software berbahaya.
- observer: Perangkat yang mengamati dan melaporkan peristiwa yang dimaksud.
- security_result: Detail keamanan tentang software berbahaya.
SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED
Kolom wajib diisi:
- principal: Untuk semua peristiwa SCHEDULED_TASK, akun utama harus menyertakan ID komputer dan ID pengguna.
- target: Target harus menyertakan resource yang valid dan jenis resource yang ditentukan sebagai "TASK".
Kolom opsional:
- security_result: Menjelaskan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk SCHEDULED_TASK_CREATION
Contoh berikut mengilustrasikan cara peristiwa berjenis SCHEDULED_TASK_CREATION dapat diformat untuk UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1577577998
}
event_type: SCHEDULED_TASK_CREATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal: {
hostname: "fake-host.altostrat.com"
user: {
userid: "TestUser"
windows_sid: "AB123CDE"
}
process {
pid: "1234"
}
}
target: {
resource: {
type: "TASK"
name: "\\Adobe Acrobat Update Task"
}
}
intermediary: {
hostname: "fake-intermediary.altostrat.com"
}
security_result: {
rule_name: "EventID: 6789"
summary: "A scheduled task was created."
severity: INFORMATIONAL
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Perangkat yang menjadwalkan tugas yang mencurigakan.
- target: Software yang ditargetkan oleh tugas yang mencurigakan.
- perantara: Perantara yang terlibat dengan tugas yang mencurigakan.
- security_result: Detail keamanan tentang tugas yang mencurigakan.
SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION
Kolom wajib diisi:
- principal: Harus ada, tidak kosong, dan menyertakan ID mesin.
- target: Harus ada, tidak kosong, dan menyertakan resource dengan jenisnya yang ditentukan sebagai SETTING
Contoh UDM untuk Jenis Peristiwa SETTING_MODIFICATION
Contoh berikut mengilustrasikan cara peristiwa berjenis SETTING_MODIFICATION akan diformat untuk UDM Google SecOps:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: SETTING_MODIFICATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "test.win.com"
}
target {
resource {
type: "SETTING"
name: "test-setting"
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Informasi tentang perangkat tempat perubahan setelan terjadi.
- target: Detail resource.
SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP
Kolom wajib diisi:
- target: Sertakan ID pengguna dan tentukan proses atau aplikasi.
- principal: Sertakan minimal satu ID komputer (ALAMAT IP atau MAC, nama host, atau ID aset).
Contoh UDM untuk SERVICE_UNSPECIFIED
Contoh berikut mengilustrasikan cara peristiwa berjenis SERVICE_UNSPECIFIED akan diformat untuk UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1595656745
nanos: 832000000
}
event_type: SERVICE_UNSPECIFIED
vendor_name: "Preempt"
product_name: "PREEMPT_AUTH"
product_event_type: "SERVICE_ACCESS"
description: "Remote Procedures (RPC)"
}
principal: {
hostname: "XXX-YYY-ZZZ"
ip: "10.10.10.10"
}
target: {
hostname: "TestHost"
user: {
userid: "ORG\\User"
user_display_name: "user name"
}
application: "application.name"
resource: {
type: "Service Type"
name: "RPC"
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail perangkat dan lokasi.
- target: Nama host dan ID pengguna.
- application: Nama aplikasi dan jenis resource.
STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal: Setidaknya satu ID mesin (ALAMAT IP atau MAC, nama host, atau ID aset).
Contoh UDM untuk STATUS_HEARTBEAT
Contoh berikut mengilustrasikan cara peristiwa berjenis STATUS_HEARTBEAT akan diformat untuk UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1588180305
}
event_type: STATUS_HEARTBEAT
vendor_name: "DMP"
product_name: "ENTRE"
}
principal: {
hostname: "testHost"
location: {
name: "Building 1"
}
}
intermediary: {
ip: "8.8.8.8"
}
security_result: {
summary: "Event - Locked"
description: "description"
severity: LOW
severity_details: "INFO"
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail perangkat dan lokasi.
- perantara: Alamat IP perangkat.
- security_result: Detail hasil keamanan.
SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE
Kolom wajib diisi:
- principal: Sertakan ID pengguna untuk pengguna yang melakukan operasi pada log dan ID mesin untuk mesin tempat log disimpan atau pernah disimpan (dalam kasus penghapusan total).
Contoh UDM untuk SYSTEM_AUDIT_LOG_WIPE
Contoh berikut mengilustrasikan cara peristiwa berjenis SYSTEM_AUDIT_LOG_WIPE akan diformat untuk UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: SYSTEM_AUDIT_LOG_WIPE
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "altostrat.com"
user {
userid: "test"
windows_sid: "ABCDEFGH-123456789-1111111-1000"
}
}
Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:
- metadata: Informasi latar belakang tentang peristiwa.
- principal: Detail perangkat dan pengguna.
USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal: Jika akun pengguna diubah dari lokasi jarak jauh, isi principal dengan informasi tentang mesin tempat perubahan pengguna berasal.
- target: Isi target.user dengan informasi tentang pengguna yang telah diubah.
- intermediary: Untuk login SSO, perantara harus menyertakan minimal satu ID komputer untuk server SSO jika tersedia.
USER_COMMUNICATION
Kolom wajib diisi:
- principal: Isi kolom principal.user dengan detail yang terkait dengan komunikasi yang dimulai pengguna (pengirim), seperti pesan chat di Google Chat atau Slack, konferensi video atau suara di Zoom atau Google Meet, atau koneksi VoIP.
Kolom opsional:
- target: (Direkomendasikan) Isi kolom target.user dengan informasi tentang pengguna target (penerima) resource komunikasi cloud. Isi kolom target.application dengan informasi tentang aplikasi komunikasi cloud target.
USER_CREATION, USER_DELETION
Kolom wajib diisi:
- metadata: event_timestamp
- principal: Menyertakan informasi tentang mesin tempat permintaan untuk membuat atau menghapus pengguna berasal. Untuk pembuatan atau penghapusan pengguna lokal, prinsipal harus menyertakan minimal satu ID mesin untuk mesin asal.
- target: Lokasi tempat pengguna dibuat. Juga harus menyertakan informasi pengguna (misalnya, target.user).
Kolom opsional:
- principal: Detail pengguna dan proses untuk mesin tempat permintaan pembuatan atau penghapusan pengguna dimulai.
- target: Informasi tentang mesin target (jika berbeda dengan mesin utama).
USER_LOGIN, USER_LOGOUT
Kolom wajib diisi:
- metadata: Sertakan kolom yang wajib diisi.
- principal: Untuk aktivitas pengguna jarak jauh (misalnya, login jarak jauh), isi akun utama dengan informasi tentang mesin yang memicu aktivitas pengguna. Untuk aktivitas pengguna lokal (misalnya, login lokal), jangan tetapkan prinsipal.
- target: Isi target.user dengan informasi tentang pengguna yang telah login atau logout. Jika akun utama tidak ditetapkan (misalnya, login lokal), target juga harus menyertakan minimal satu ID komputer yang mengidentifikasi komputer target. Untuk aktivitas pengguna mesin ke mesin (misalnya, login jarak jauh, SSO, Layanan Cloud, VPN), target harus menyertakan informasi tentang aplikasi target, mesin target, atau server VPN target.
- intermediary: Untuk login SSO, perantara harus menyertakan minimal satu ID komputer untuk server SSO jika tersedia.
- network dan network.http: Jika login terjadi melalui HTTP, Anda harus menempatkan semua detail yang tersedia di network.ip_protocol, network.application_protocol, dan network.http.
- Ekstensi authentication: Harus mengidentifikasi jenis sistem autentikasi yang terkait dengan peristiwa (misalnya, mesin, SSO, atau VPN) dan mekanisme yang digunakan (nama pengguna dan sandi, OTP, dll.).
- security_result: Menambahkan kolom security_result untuk mewakili status login jika gagal. Tentukan security_result.category dengan nilai AUTH_VIOLATION jika autentikasi gagal.
USER_RESOURCE_ACCESS
Kolom wajib diisi:
- principal: Isi kolom principal.user dengan detail tentang upaya untuk mengakses resource cloud (misalnya, kasus Salesforce, kalender Office365, Dokumen Google, atau tiket ServiceNow).
- target: Isi kolom target.resource dengan informasi tentang resource cloud target.
Kolom opsional:
- target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.
USER_RESOURCE_CREATION, USER_RESOURCE_DELETION
Kolom wajib diisi:
- principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang dibuat dalam resource cloud (misalnya, kasus Salesforce, kalender Office 365, Dokumen Google, atau tiket ServiceNow).
- target: Isi kolom target.resource dengan informasi tentang resource cloud target.
Kolom opsional:
- target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.
USER_RESOURCE_UPDATE_CONTENT
Kolom wajib diisi:
- principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang kontennya diperbarui dalam resource cloud (misalnya, kasus Salesforce, kalender Office365, Dokumen Google, atau tiket ServiceNow).
- target: Isi kolom target.resource dengan informasi tentang resource cloud target.
Kolom opsional:
- target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.
USER_RESOURCE_UPDATE_PERMISSIONS
Kolom wajib diisi:
- principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang izinnya diperbarui dalam resource cloud (misalnya, kasus Salesforce, kalender Office 365, Google Dokumen, atau tiket ServiceNow).
- target: Isi kolom target.resource dengan informasi tentang resource cloud target.
Kolom opsional:
- target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.
USER_UNCATEGORIZED
Kolom wajib diisi:
- metadata: event_timestamp
- principal: Menyertakan informasi tentang mesin tempat permintaan untuk membuat atau menghapus pengguna berasal. Untuk pembuatan atau penghapusan pengguna lokal, prinsipal harus menyertakan minimal satu ID mesin untuk mesin asal.
- target: Lokasi tempat pengguna dibuat. Juga harus menyertakan informasi pengguna (misalnya, target.user).
Kolom opsional:
- principal: Detail pengguna dan proses untuk mesin tempat permintaan pembuatan atau penghapusan pengguna dimulai.
- target: Informasi tentang mesin target (jika berbeda dengan mesin utama).