Guida all'utilizzo di Unified Data Model

Questo documento fornisce una descrizione più dettagliata dei campi dello schema UDM (Unified Data Model) e di quelli obbligatori e facoltativi a seconda del tipo di evento. Per la valutazione del motore delle regole, il prefisso inizia udm., mentre il prefisso del normalizzatore basato sulla configurazione (CBN) inizia event.idm.read_only_udm.

Popolazione dei metadati degli eventi

La sezione dei metadati degli eventi per gli eventi UDM memorizza informazioni generali su ogni evento.

Metadata.event_type

  • Finalità:specifica il tipo di evento. Se per un evento sono disponibili più tipi, questo valore deve specificare il tipo più specifico.
  • Obbligatorio:
  • Codifica: deve essere uno dei tipi enumerati event_type UDM predefiniti.
  • Valori possibili: di seguito sono elencati tutti i valori possibili per event_type nell'UDM.

Eventi degli analisti:

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDAATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Eventi del dispositivo:

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Eventi email:

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Eventi non specificati:

  • EVENTTYPE_UNSPECIFIED

Eventi di file eseguiti su un endpoint:

  • FILE_UNCATEGORIZED
  • FILE_COPY (ad esempio, copia di un file su una chiavetta USB)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)
  • FILE_READ (ad esempio, la lettura di un file di password)
  • FILE_SYNC

Eventi che non rientrano in nessun'altra categoria, inclusi gli eventi di Windows senza categoria.

  • GENERIC_EVENT

Eventi di attività di gruppo:

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Eventi Silentx (oggetto a esclusione reciproca):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetria di rete, inclusi payload di protocollo non elaborati, come DHCP e DNS, nonché riepiloghi di protocollo per protocolli come HTTP, SMTP e FTP, nonché eventi di flusso e connessione da Netflow e firewall.

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (ad esempio, dettagli della connessione di rete da un firewall)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (ad esempio, statistiche di flusso aggregate da Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Eventuali eventi relativi a un processo, come l'avvio di un processo, un processo che crea qualcosa di dannoso, un processo iniettato in un altro processo, la modifica di una chiave di registro o la creazione di un file dannoso su disco.

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Utilizza gli eventi REGISTRY anziché gli eventi SETTING quando hai a che fare con eventi di registro specifici di Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventi risorsa:

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Eventi orientati alla scansione. Include analisi on demand e rilevamenti comportamentali eseguiti dai prodotti per la sicurezza degli endpoint (EDR, AV, DLP). Utilizzato solo quando si collega un SecurityResult a un altro tipo di evento (ad esempio PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventi di attività pianificate (Utilità di pianificazione di Windows, cron e così via):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Eventi di servizio:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Impostazione degli eventi, inclusa la modifica di un'impostazione di sistema su un endpoint. Per impostare i requisiti degli eventi, vedi qui.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Messaggi di stato inviati dai prodotti di sicurezza per indicare che gli agenti sono attivi e che devono inviare versione, fingerprint o altri tipi di dati.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica che il prodotto è attivo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (aggiornamento software o impronta)

Eventi del log di controllo del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventi relativi alle attività di autenticazione utente:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (ad esempio, quando un utente si inserisce fisicamente in un sito)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Finalità: codifica il timestamp GMT quando l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
  • Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

  • Finalità:codifica il timestamp GMT quando è stato generato l'evento.
  • Obbligatorio:
  • Codifica: RFC 3339, come appropriato per il formato di timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Finalità:descrizione leggibile dell'evento.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 1024 byte
  • Esempio:il file c:\bar\foo.exe non può accedere al documento sensibile c:\documents\earnings.docx.

Metadata.product_event_type

  • Finalità: nome o tipo di evento breve, descrittivo, leggibile e specifico per il prodotto.
  • Codifica: stringa alfanumerica, sono consentiti i segni di punteggiatura, massimo 64 byte.
  • Esempi:
    • Evento di creazione del registro
    • ProcessRollUp
    • Escalation dei privilegi rilevata
    • Malware bloccato

Metadata.product_log_id

  • Finalità: codifica un identificatore di evento specifico del fornitore per identificare in modo univoco l'evento (un GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console proprietaria del fornitore.
  • Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte.
  • Esempio: ABcd1234-98766

Metadata.product_name

  • Finalità:specifica il nome del prodotto.
  • Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • Falcon
    • Protezione degli endpoint Symantec

Metadata.product_version

  • Finalità:specifica la versione del prodotto.
  • Codifica: consentiti stringhe alfanumeriche, punti e trattini, massimo 32 byte
  • Esempi:
    • 1.2.3b
    • 10,3:rev1

Metadata.url_back_to_product

  • Finalità:URL che rimanda a un sito web pertinente in cui puoi visualizzare ulteriori informazioni su questo evento specifico (o sulla categoria generale dell'evento).
  • Codifica: un URL RFC 3986 valido con parametri facoltativi come informazioni sulla porta e così via. Deve avere un prefisso di protocollo prima dell'URL (ad esempio https:// o http://).
  • Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Finalità:specifica il nome del fornitore del prodotto.
  • Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte
  • Esempi:
    • CrowdStrike
    • Symantec

Popolazione dei metadati dei nomi dei nomi

In questa sezione, la parola Sostantivo è un termine generale usato per rappresentare le entità; principal, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per scoprire di più sulle entità e su ciò che ciascuna rappresenta in un evento, vedi Formattare i dati del log come UDM.

Noun.asset_id

  • Scopo: identificatore di dispositivo univoco specifico del fornitore (ad esempio, un GUID generato durante l'installazione del software per la sicurezza degli endpoint su un nuovo dispositivo, utilizzato per monitorare tale dispositivo nel tempo).
  • Codifica: VendorName.ProductName:ID dove VendorName.ProductName:ID è senza distinzione tra maiuscole e minuscole* *nome del fornitore come "Carbon Black", VendorName.ProductName:ID è un nome del prodotto senza distinzione tra maiuscole e minuscole, come "Risposta" o "Protezione endpoint" e l'ID è un identificatore cliente specifico del fornitore e univoco a livello globale nell'ambiente del cliente (ad esempio, un GUID o un valore univoco che identifica un dispositivo univoco). VendorName e ProductName sono caratteri alfanumerici e non devono superare i 32 caratteri. L'ID può contenere al massimo 128 caratteri e includere caratteri alfanumerici, trattini e punti.
  • Esempio:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Finalità:indirizzo email
  • Codifica: formato standard dell'indirizzo email.
  • Esempio: johns@test.altostrat.com

Noun.file

Noun.hostname

  • Finalità:campo del nome host del client o del nome di dominio. Non includere se è presente un URL.
  • Codifica: nome host RFC 1123 valido.
  • Esempi:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Scopo: sistema operativo della piattaforma.
  • Codifica: enum
  • Valori possibili:
    • LINUX
    • MAC
    • FINESTRE
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Scopo: livello di patch del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: build 17134.48

Noun.platform_version

  • Finalità: versione del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio:Microsoft Windows 10 versione 1803

Noun.process

Noun.ip

  • Finalità:
    • Un singolo indirizzo IP associato a una connessione di rete.
    • Uno o più indirizzi IP associati a un dispositivo del partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificarli tutti all'interno dei campi IP).
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
  • Ripetibilità:
    • Se un evento descrive una connessione di rete specifica (ad esempio, srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
    • Se un evento descrive un'attività generale che si verifica sul dispositivo di un partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati al dispositivo al momento dell'evento.
  • Esempi:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Finalità: numero della porta di rete di origine o di destinazione quando una connessione di rete specifica è descritta all'interno di un evento.
  • Codifica: numero di porta TCP/IP valido da 1 a 65.535.

  • Esempi:

    • 80
    • 443

Noun.mac

  • Finalità:uno o più indirizzi MAC associati a un dispositivo.
  • Codifica: indirizzo MAC valido (EUI-48) in ASCII.
  • Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati al dispositivo al momento dell'evento.
  • Esempi:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Finalità: dominio a cui appartiene il dispositivo (ad esempio il dominio Windows).
  • Codifica: stringa valida per il nome di dominio (massimo 128 caratteri).
  • Esempio: corp.altostrat.com

Noun.registry

Noun.url

  • Finalità:URL standard
  • Codifica: URL (RFC 3986). Deve avere un prefisso di protocollo valido (ad es. https:// o ftp://). Deve includere il dominio e il percorso completi. Potrebbe includere i parametri dell'URL.
  • Esempio: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Popolazione dei metadati di autenticazione

Authentication.AuthType

  • Scopo: il tipo di sistema a cui è associato un evento di autenticazione (UDM di Google Security Operations).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: autenticazione a macchina
    • FISICO: autenticazione fisica (ad esempio, lettore di badge)
    • SSO
    • TACACS: protocollo della famiglia TACACS per l'autenticazione di sistemi in rete (ad esempio, TACACS o TACACS+).
    • VPN

Authentication.Authentication_Status

  • Finalità:descrive lo stato di autenticazione di un utente o una credenziale specifica.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_AUTHENTICATION_STATUS: stato dell'autenticazione predefinito
    • ATTIVO: il metodo di autenticazione è in stato attivo
    • SUSPENDED: il metodo di autenticazione è in stato di sospensione o disabilitazione
    • DELETED: il metodo di autenticazione è stato eliminato
    • NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non ha credenziali attive.

Authentication.auth_details

  • Finalità: dettagli di autenticazione definiti dal fornitore.
  • Codifica: stringa.

Authentication.Mechanism

  • Scopo: meccanismi utilizzati per l'autenticazione.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
    • BADGE_READER
    • BATCH: autenticazione batch.
    • CACHED_INTERACTIVE: autenticazione interattiva mediante credenziali memorizzate nella cache.
    • HARDWARE_KEY
    • LOCALE
    • MECHANISM_OTHER: alcuni altri meccanismi non definiti qui.
    • RETE: autenticazione della rete.
    • NETWORK_CLEAR_TEXT: autenticazione in chiaro della rete.
    • NEW_CREDENTIALS: autenticazione con nuove credenziali.
    • OTP
    • REMOTE: autenticazione remota
    • REMOTE_INTERACTIVE: RDP, servizi terminale, Virtual Network Computing (VNC) e così via.
    • SERVICE: autenticazione del servizio.
    • UNLOCK: autenticazione dello sblocco umano-interattivo diretto.
    • USERNAME_PASSWORD

Populazione dei metadati DHCP

I campi dei metadati DHCP (Dynamic Host Control Protocol) acquisiscono le informazioni di log del protocollo di gestione della rete DHCP.

Dhcp.client_hostname

  • Finalità:nome host per il cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP options and BOOTP Vendor Extensions.
  • Codifica: stringa.

Dhcp.client_identifier

  • Finalità: identificatore del cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Dhcp.file

  • Finalità: nome file per l'immagine di avvio.
  • Codifica: stringa.

Dhcp.flags

  • Finalità: valore per il campo dei flag DHCP.
  • Codifica: numero intero senza segno a 32 bit.

Dhcp.hlen

  • Finalità:lunghezza dell'indirizzo hardware.
  • Codifica: numero intero senza segno a 32 bit.

Dhcp.hops

  • Finalità:conteggio di hop DHCP.
  • Codifica: numero intero senza segno a 32 bit.

Dhcp.htype

  • Finalità:tipo di indirizzo hardware.
  • Codifica: numero intero senza segno a 32 bit.

Dhcp.lease_time_seconds

  • Finalità: tempo di lease richiesto dal client per un indirizzo IP in secondi. Per ulteriori informazioni, consulta la documentazione RFC 2132, DHCP options and BOOTP Vendor Extensions.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.opcode

  • Finalità:codice operativo BOOTP (vedi la sezione 3 di RFC 951).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • AVVIA RISPOSTA

Dhcp.requested_address

  • Finalità: identificatore del cliente. Per ulteriori informazioni, consulta la documentazione RFC 2132, DHCP options and BOOTP Vendor Extensions.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.seconds

  • Finalità: secondi trascorsi da quando il cliente ha avviato il processo di acquisizione/rinnovo dell'indirizzo.
  • Codifica: numero intero senza segno a 32 bit.

Dhcp.sname

  • Finalità: nome del server da cui il client ha richiesto l'avvio.
  • Codifica: stringa.

Dhcp.transaction_id

  • Finalità: ID transazione del cliente.
  • Codifica: numero intero senza segno a 32 bit.

Dhcp.type

  • Finalità: tipo di messaggio DHCP. Per ulteriori informazioni, consulta il documento RFC 1533.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFFERTA
    • RICHIEDI
    • RIFIUTO
    • ACK
    • NAK
    • RELEASE
    • INFORMAZIONI
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Finalità:indirizzo IP dell'hardware client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.ciaddr

  • Scopo: indirizzo IP del client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.giaddr

  • Scopo: indirizzo IP dell'agente di inoltro.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.siaddr

  • Scopo: indirizzo IP del successivo server di bootstrap.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.yiaddr

  • Finalità:il tuo indirizzo IP.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Populazione dei metadati delle opzioni DHCP

I campi dei metadati dell'opzione DHCP acquisiscono le informazioni di log delle opzioni DHCP.

Option.code

  • Scopo: archiviare il codice opzione DHCP. Per ulteriori informazioni, fai riferimento a RFC 1533, DHCP options and BOOTP Vendor Extensions.
  • Codifica: numero intero non firmato a 32 bit.

Option.data

  • Finalità:archiviare i dati dell'opzione DHCP. Per ulteriori informazioni, fai riferimento a RFC 1533, DHCP options and BOOTP Vendor Extensions.
  • Codifica: byte.

Compilazione dei metadati DNS

I campi dei metadati DNS acquisiscono informazioni relative ai pacchetti di richiesta e risposta DNS. Hanno una corrispondenza uno a uno con i dati trovati nei datagrammi di richiesta e risposta DNS.

Dns.authoritative

  • Finalità: impostato su true per i server DNS autorevoli.
  • Codifica: valore booleano.

Dns.id

  • Finalità:archiviare l'identificatore di query DNS.
  • Codifica: numero intero a 32 bit.

Dns.response

  • Finalità:impostato su true se l'evento è una risposta DNS.
  • Codifica: booleano.

Dns.opcode

  • Finalità: archivia l'Operacode DNS utilizzato per specificare il tipo di query DNS (standard, invertita, stato del server e così via).
  • Codifica: numero intero a 32 bit.

Dns.recursion_available

  • Finalità:impostare su true se è disponibile una ricerca DNS ricorsiva.
  • Codifica: valore booleano.

Dns.recursion_desired

  • Finalità:impostare su true se viene richiesta una ricerca DNS ricorsiva.
  • Codifica: booleano.

Dns.response_code

  • Scopo: archiviare il codice di risposta DNS come definito da RFC 1035, Domain names - Implementation and Specification.
  • Codifica: numero intero a 32 bit.

Dns.truncated

  • Finalità:imposta su true se si tratta di una risposta DNS troncata.
  • Codifica: valore booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Compilazione dei metadati delle domande DNS

I campi dei metadati della domanda DNS acquisiscono le informazioni contenute nella sezione della domanda di un messaggio relativo al protocollo di dominio.

Question.name

  • Finalità:archiviare il nome di dominio.
  • Codifica: stringa.

Question.class

  • Finalità: archiviare il codice che specifica la classe della query.
  • Codifica: numero intero a 32 bit.

Question.type

  • Finalità: archiviare il codice che specifica il tipo di query.
  • Codifica: numero intero a 32 bit.

Completamento dei metadati dei record di risorse DNS

I campi dei metadati del record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio del protocollo di dominio.

ResourceRecord.binary_data

  • Finalità:archivia i byte non elaborati di eventuali stringhe non UTF8 che potrebbero essere incluse in una risposta DNS. Questo campo deve essere utilizzato solo se i dati di risposta restituiti dal server DNS contengono dati non UTF-8. Altrimenti, inserisci la risposta DNS nel campo di dati seguente. Questo tipo di informazioni deve essere archiviato qui anziché in ResourceRecord.data.

  • Codifica: byte.

ResourceRecord.class

  • Finalità:archivia il codice che specifica la classe del record di risorse.
  • Codifica: numero intero a 32 bit.

ResourceRecord.data

  • Scopo: memorizza il payload o la risposta alla domanda del DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dei dati potrebbe restituire l'indirizzo IP della macchina a cui fa riferimento il nome di dominio. Se il record di risorse riguarda un tipo o una classe diversi, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati così come sono nella risposta DNS.
  • Codifica: stringa.

ResourceRecord.name

  • Finalità:archivia il nome del proprietario del record di risorse
  • Codifica: stringa.

ResourceRecord.ttl

  • Finalità: archivia l'intervallo di tempo per cui il record di risorse può essere memorizzato nella cache prima che venga eseguita nuovamente una query sull'origine delle informazioni.
  • Codifica: numero intero a 32 bit.

ResourceRecord.type

  • Finalità:archiviare il codice che specifica il tipo di record di risorse.
  • Codifica: numero intero a 32 bit.

Compilazione dei metadati delle email

La maggior parte dei campi dei metadati email acquisisce gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato standard dell'indirizzo email (casella di posta locale@dominio) come definito in RFC 5322. Ad esempio, franco@email.example.com.

Email.from

  • Finalità:memorizza l'indirizzo email from.
  • Codifica: stringa.

Email.reply_to

  • Finalità: memorizza l'indirizzo email reply_to.
  • Codifica: stringa.

Email.to

  • Finalità: archiviare gli indirizzi email to.
  • Codifica: stringa.

Email.cc

  • Finalità:archiviare gli indirizzi email in Cc
  • Codifica: stringa.

Email.bcc

  • Finalità:archiviare gli indirizzi email in Ccn
  • Codifica: stringa.

Email.mail_id

  • Finalità: archiviare l'ID della posta (o del messaggio).
  • Codifica: stringa.
  • Esempio: 192544.132632@email.example.com

Email.subject

  • Finalità: memorizza la riga dell'oggetto dell'email.
  • Codifica: stringa.
  • Esempio: "Leggi questo messaggio".

Popolazione dei metadati delle estensioni

Tipi di eventi con metadati di prim'ordine che non sono ancora classificati dall'UDM di Google Security Operations. Extensions.auth

  • Finalità: estensione ai metadati di autenticazione.
  • Codifica: stringa.
  • Esempi:
    • Metadati sandbox (tutti i comportamenti presentati da un file, ad esempio, FireEye).
    • Dati NAC (Network Access Control).
    • Dettagli LDAP su un utente (ad esempio ruolo, organizzazione e così via).

Extensions.auth.auth_details

  • Finalità: specifica i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I provider di autenticazione definiscono spesso tipi come via_mfa o via_ad che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono comunque essere generalizzati in auth.type o auth.mechanism per l'usabilità e la compatibilità delle regole tra set di dati.
  • Codifica: stringa.
  • Esempi: via_mfa, via_ad.

Extensions.vulns

  • Scopo: estensione ai metadati delle vulnerabilità.
  • Codifica: stringa.
  • Esempio:
    • Dati dell'analisi delle vulnerabilità dell'host.

Populazione dei metadati dei file

File.file_metadata

  • Finalità: metadati associati al file.
  • Codifica: stringa.
  • Esempi:
    • Autore
    • Numero di revisione
    • Numero di versione
    • Data ultimo salvataggio

File.full_path

  • Finalità: percorso completo che identifica la posizione del file nel sistema.
  • Codifica: stringa.
  • Esempio: \Programmi\Custom Utilities\Test.exe

File.md5

  • Finalità:valore hash MD5 per il file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Finalità: tipo MIME (Multipurpose Internet Mail Extensions) del file.
  • Codifica: stringa.
  • Esempi:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Finalità:valore hash SHA-1 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Finalità: valore hash SHA-256 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Finalità:le dimensioni del file.
  • Codifica: numero intero non firmato a 64 bit.
  • Esempio: 342135.

Compilazione dei metadati FTP

Ftp.command

  • Finalità:archiviare il comando FTP.
  • Codifica: stringa.
  • Esempi:
    • binario
    • delete
    • get
    • put

Compilazione dei metadati del gruppo

Informazioni su un gruppo di organizzazioni.

Group.creation_time

  • Finalità:data e ora di creazione del gruppo.
  • Codifica: RFC 3339, come appropriato per il formato di timestamp JSON o Proto3.

Group.email_addresses

  • Finalità:informazioni di contatto del gruppo.
  • Codifica: email.

Group.group_display_name

  • Finalità: nome visualizzato del gruppo.
  • Codifica: stringa.
  • Esempi:
    • Finanza
    • RU
    • Marketing

Group.product_object_id

  • Finalità: identificatore di oggetto utente univoco a livello globale per il prodotto, ad esempio un identificatore di oggetto LDAP.
  • Codifica: stringa.

Group.windows_sid

  • Scopo: campo dell'attributo di gruppo SID (Security Identifier) di Microsoft Windows.
  • Codifica: stringa.

Compilazione di metadati HTTP

Http.method

  • Finalità:archiviare il metodo di richiesta HTTP.
  • Codifica: stringa.
  • Esempi:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Finalità:memorizza l'URL per il referrer HTTP.
  • Codifica: URL RFC 3986 valido.
  • Esempio: https://www.altostrat.com

Http.response_code

  • Finalità:memorizza il codice di stato della risposta HTTP, che indica se una specifica richiesta HTTP è stata completata correttamente.
  • Codifica: numero intero a 32 bit.
  • Esempi:
    • 400
    • 404

Http.user_agent

  • Finalità:memorizza l'intestazione della richiesta dello user agent, che include il tipo di applicazione, il sistema operativo, il fornitore del software o la versione dello user agent del software richiedente.
  • Codifica: stringa.
  • Esempi:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, come Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Popolazione dei metadati sulla località

Location.city

  • Finalità:memorizza il nome della città.
  • Codifica: stringa.
  • Esempi:
    • Sunnyvale
    • Chicago
    • Malaga

Location.country_or_region

  • Finalità: memorizza il nome del paese o della regione del mondo.
  • Codifica: stringa.
  • Esempi:
    • Stati Uniti
    • Regno Unito
    • Spagna

Location.name

  • Finalità:memorizza il nome specifico dell'azienda, ad esempio un edificio o un campus.
  • Codifica: stringa.
  • Esempi:
    • Campus 7B
    • Edificio A2

Location.state

  • Finalità:memorizza il nome dello stato, della provincia o del territorio.
  • Codifica: stringa.
  • Esempi:
    • California
    • Illinois
    • Ontario

Compilazione dei metadati della rete

Network.application_protocol

  • Finalità:indica il protocollo dell'applicazione di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Finalità: indica la direzione del traffico di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_DIRECTION
    • INBOUND
    • IN USCITA
    • TRASMISSIONE

Network.email

  • Finalità:specifica l'indirizzo email del mittente/destinatario.
  • Codifica: stringa.
  • Esempio: jcheng@azienda.example.com

Network.ip_protocol

  • Finalità: indica il protocollo IP.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP - Protocollo di routing per i gateway interni avanzati
    • ESP: incapsulamento del payload di sicurezza
    • EtherIP: incapsulamento Ethernet all'interno dell'IP
    • GRE: incapsulamento generico dei percorsi
    • ICMP: Internet Control Message Protocol
    • IGMP (Internet Group Management Protocol)
    • IP6IN4—Incapsulamento IPv6
    • PIM - Multicast indipendente dal protocollo
    • TCP: Transmission Control Protocol
    • UDP (User Datagram Protocol)
    • VRRP (Virtual Router Redundancy Protocol)

Network.received_bytes

  • Finalità:specifica il numero di byte ricevuti.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 12.453.654.768

Network.sent_bytes

  • Finalità:specifica il numero di byte inviati.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 7.654.876

Network.session_duration

  • Finalità:memorizza la durata della sessione di rete, solitamente restituita in un evento di rilascio per la sessione. Per impostare la durata, puoi impostare network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
  • Codifica:
    • Numero intero a 32 bit: per i secondi (network.session_duration.seconds).
    • Numero intero a 64 bit: per i nanosecondi (network.session_duration.nanos).

Network.session_id

  • Finalità:memorizza l'identificatore della sessione di rete.
  • Codifica: stringa.
  • Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Compilazione dei metadati di processo

Process.command_line

  • Finalità: memorizza la stringa della riga di comando per il processo.
  • Codifica: stringa.
  • Esempio: gruppo c:\windows\system32\net.exe

Process.product_specific_process_id

  • Finalità: archiviare l'ID di processo specifico del prodotto.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

  • Finalità: memorizza l'ID processo specifico del prodotto per il processo principale.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.file

  • Finalità:memorizza il nome del file utilizzato dalla procedura.
  • Codifica: stringa.
  • Esempio: report.xls

Process.parent_process

  • Finalità:archivia i dettagli della procedura della rete principale.
  • Codifica: sostantivo (processo)

Process.pid

  • Finalità:archiviare l'ID processo.
  • Codifica: stringa.
  • Esempi:
    • 308
    • 2002

Popolazione dei metadati del registry

Registry.registry_key

  • Finalità:archivia la chiave del Registro di sistema associata a un'applicazione o a un componente di sistema.
  • Codifica: stringa.
  • Esempio: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Finalità: archivia il nome del valore del registro associato a un'applicazione o a un componente di sistema.
  • Codifica: stringa.
  • Esempio: TEMP

Registry.registry_value_data

  • Finalità: archiviare i dati associati a un valore del registro.
  • Codifica: stringa.
  • Esempio: %USERPROFILE%\Local Settings\Temp

Popolazione dei metadati dei risultati di sicurezza

I metadati dei risultati di sicurezza includono dettagli sui rischi per la sicurezza e sulle minacce rilevate da un sistema di sicurezza, nonché le azioni intraprese per mitigare tali rischi e minacce.

SecurityResult.about

  • Scopo: fornire una descrizione del risultato relativo alla sicurezza.
  • Codifica: sostantivo.

SecurityResult.action

  • Finalità:specificare un'azione di sicurezza.
  • Codifica: tipo enumerato.
  • Valori possibili: Google Security Operations UDM definisce le seguenti azioni di sicurezza:
    • CONSENTI
    • ALLOW_WITH_MODIFICATION: il file o l'email sono stati disinfettati o riscritti e comunque inoltrati.
    • BLOCCA
    • QUARANTENA: da conservare per analisi successive (non significa blocco).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Finalità: dettagli forniti dal fornitore sull'azione intrapresa a seguito dell'incidente di sicurezza. Le azioni di sicurezza spesso si traducono meglio nel campo UDM Security_Result.action più generale. Tuttavia, potresti dover scrivere le regole per l'esatta descrizione dell'azione fornita dal fornitore.
  • Codifica: stringa.
  • Esempi: rilasciare, bloccare, decriptare, criptare.

SecurityResult.category

  • Finalità: specifica una categoria di sicurezza.
  • Codifica: enum.
  • Valori possibili: Google Security Operations UDM definisce le seguenti categorie di sicurezza:
    • ACL_VIOLATION: tentativo di accesso non autorizzato, incluso il tentativo di accesso a file, servizi web, processi, oggetti web e così via.
    • AUTH_VIOLATION: autenticazione non riuscita, ad esempio password errata o autenticazione a due fattori errata.
    • DATA_AT_REST: DLP: dati del sensore trovati in una scansione.
    • DATA_DESTRUCTION: tentativo di eliminare/eliminare i dati.
    • DATA_EXFILTRATION—DLP: trasmissione dei dati del sensore, copia su chiavetta.
    • EXPLOIT: tentativi di overflow, codifiche di protocollo errate, ROP, SQL injection e così via, sia basati su rete che su host.
    • MAIL_PHISHING: email di phishing, messaggi di chat e così via.
    • MAIL_SPAM: email, messaggio e così via spam.
    • MAIL_SPOOFING: indirizzo email di origine falsificato e così via.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_command_AND_CONTROL: se il canale di comando e controllo è noto.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando e controllo, exploit di rete, attività sospetta, potenziale reverse tunnel e così via.
    • NETWORK_SUSPICIOUS: non correlato alla sicurezza, ad esempio l'URL è collegato a giochi e scommesse e così via.
    • NETWORK_RECON: scansione delle porte rilevata da un IDS, indagine da parte di un'applicazione web.
    • POLICY_VIOLATION: violazione dei criteri di sicurezza, incluse violazioni delle regole del firewall, del proxy e HIPS o azioni di blocco NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via.
    • SOFTWARE_PUA: App potenzialmente indesiderata, come adware e così via.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Finalità: specificare l'affidabilità di un evento di sicurezza come stimato dal prodotto.
  • Codifica: enum.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti categorie di affidabilità del prodotto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Finalità: dettagli aggiuntivi relativi all'affidabilità di un evento di sicurezza secondo le stime del fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.priority

  • Finalità: specificare una priorità relativa a un evento di sicurezza secondo quanto stimato dal fornitore del prodotto.
  • Codifica: enum.
  • Valori possibili: Google Security Operations UDM definisce le seguenti categorie di priorità dei prodotti:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Scopo: informazioni specifiche del fornitore sulla priorità dei risultati di sicurezza.
  • Codifica: stringa.

SecurityResult.rule_id

  • Scopo: identificatore della regola di sicurezza.
  • Codifica: stringa.
  • Esempi:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Finalità:nome della regola di sicurezza.
  • Codifica: stringa.
  • Esempio: BlockInputToOracle.

SecurityResult.severity

  • Finalità: gravità di un evento di sicurezza stimata dal fornitore del prodotto utilizzando i valori definiti dall'UDM di Google Security Operations.
  • Codifica: enum.
  • Valori possibili: l'UDM di Google Security Operations definisce le seguenti gravità del prodotto:
    • UNKNOWN_SEVERITY: non dannosa
    • INFORMATIVO: non dannoso
    • ERRORE: non dannoso
    • BASSO - Dannoso
    • MEDIO: dannoso
    • ALTA - Dannosa

SecurityResult.severity_details

  • Finalità: gravità per un evento di sicurezza, stimata dal fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.threat_name

  • Scopo: nome della minaccia alla sicurezza.
  • Codifica: stringa.
  • Esempi:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Scopo: URL che indirizza alla console del prodotto di origine per questo evento di sicurezza.
  • Codifica: stringa.

Populazione dei metadati utente

User.email_addresses

  • Finalità:memorizza gli indirizzi email dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: mariorossi@azienda.example.com

User.employee_id

  • Finalità: archiviare l'ID dipendente delle Risorse umane per l'utente
  • Codifica: stringa.
  • Esempio: 11223344.

User.first_name

  • Finalità:memorizza il nome dell'utente.
  • Codifica: stringa.
  • Esempio: Mario.

User.middle_name

  • Finalità:memorizza il secondo nome dell'utente.
  • Codifica: stringa.
  • Esempio: Anthony.

User.last_name

  • Finalità:memorizza il cognome dell'utente.
  • Codifica: stringa.
  • Esempio: Locke.

User.group_identifiers

  • Finalità: memorizza gli ID gruppo (GUID, OID LDAP o simili) associati a un utente.
  • Codifica: stringa ripetuta.
  • Esempio: admin-users.

User.phone_numbers

  • Finalità:memorizza i numeri di telefono dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: 800-555-0101

User.title

  • Finalità: memorizza la qualifica dell'utente.
  • Codifica: stringa.
  • Esempio:Gestione dei rapporti con i clienti.

User.user_display_name

  • Finalità:memorizza il nome visualizzato per l'utente.
  • Codifica: stringa.
  • Esempio: John Locke.

User.userid

  • Finalità:archiviare l'ID utente.
  • Codifica: stringa.
  • Esempio: jlocke.

User.windows_sid

  • Finalità:archivia l'identificatore di sicurezza (SID) di Microsoft Windows associato a un utente.
  • Codifica: stringa.
  • Esempio: S-1-5-21-1180649209-123456789-3582944384-1064

Popolazione dei metadati delle vulnerabilità

Vulnerability.about

  • Finalità: se la vulnerabilità riguarda un sostantivo specifico (ad esempio eseguibile), aggiungilo qui.
  • Codifica: sostantivo. Consulta Popolazione dei metadati dei nomi
  • Esempio: eseguibile.

Vulnerability.cvss_base_score

  • Scopo: punteggio di base per il Common Vulnerability Scoring System (CVSS).
  • Codifica: virgola mobile.
  • Intervallo: da 0,0 a 10,0
  • Esempio: 8,5

Vulnerability.cvss_vector

  • Finalità: vettore per le proprietà CVSS della vulnerabilità. Un punteggio CVSS è composto dalle seguenti metriche:

    • Vettore d'attacco (AV)
    • Complessità dell'accesso (AC)
    • Autenticazione (Au)
    • Impatto sulla riservatezza (C)
    • Impatto sull'integrità (I)
    • Impatto sulla disponibilità (A)

    Per ulteriori informazioni, visita la pagina https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Codifica: stringa.

  • Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Scopo: versione CVSS per il punteggio di vulnerabilità o il vettore.
  • Codifica: stringa.
  • Esempio: 3.1

Vulnerability.description

  • Finalità: descrizione della vulnerabilità.
  • Codifica: stringa.

Vulnerability.first_found

  • Finalità: i prodotti che mantengono una cronologia di analisi delle vulnerabilità devono compilare first_found la data in cui è stata rilevata per la prima volta la vulnerabilità per questo asset.
  • Codifica: stringa.

Vulnerability.last_found

  • Finalità: i prodotti che mantengono una cronologia di analisi delle vulnerabilità devono compilare il campo last_found con l'ora in cui la vulnerabilità per questo asset è stata rilevata più di recente.
  • Codifica: stringa.

Vulnerability.name

  • Finalità: nome della vulnerabilità.
  • Codifica: stringa.
  • Esempio: è stata rilevata una versione del sistema operativo non supportata.

Vulnerability.scan_end_time

  • Finalità: se la vulnerabilità è stata scoperta durante una scansione delle risorse, compila questo campo con l'ora di fine della scansione. Lascia vuoto questo campo se l'ora di fine non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.scan_start_time

  • Finalità: se la vulnerabilità è stata rilevata durante una scansione degli asset, compila questo campo con l'ora in cui è stata avviata la scansione. Lascia vuoto questo campo se l'ora di inizio non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.severity

  • Finalità: gravità della vulnerabilità.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_SEVERITY
    • BASSO
    • MEDIO
    • ALTO

Vulnerability.severity_details

  • Finalità: dettagli sulla gravità specifica del fornitore.
  • Codifica: stringa.

Popolazione dei metadati di avviso

idm.is_significant

  • Finalità:specifica se visualizzare l'avviso in Enterprise Insights.
  • Codifica: booleana

idm.is_alert

  • Finalità:identifica se l'evento è un avviso.
  • Codifica: booleana

Campi obbligatori e facoltativi in base al tipo di evento

Questa sezione descrive i campi obbligatori e facoltativi da compilare in base al tipo di evento UDM. Per una descrizione di questi campi, consulta l'elenco dei campi del modello dei dati unificato.

EMAIL_TRANSACTION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: compila con informazioni sulla macchina che invia l'email da cui proviene il messaggio. Ad esempio, l'indirizzo IP del mittente.

Campi facoltativi:

  • about: URL, IP, domini ed eventuali file allegati incorporati negli corpo dell'email.
  • securityResult.about: URL, IP e file incorporati nell'email non validi del testo.
  • network.email: informazioni su mittente/destinatario dell'email.
  • principal: se esistono dati del computer client relativi a chi ha inviato l'email, compilare i dettagli del server nell'entità (ad esempio, processo client, numeri di porta, nome utente e così via).
  • target: se sono presenti dati del server email di destinazione, compila il server dettagli nel target (ad esempio, l'indirizzo IP).
  • intermediario: se sono presenti dati del server di posta o del proxy di posta, compila i dettagli del server nella posizione intermedia.

Note:

  • Non compilare mai principal.email o target.email.
  • Compila il campo dell'email solo in security_result.about o network.email.
  • Per i risultati di sicurezza di primo livello è generalmente impostato un nome (facoltativo per lo spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Completare principal.process con le informazioni sul processo accede al file.
  • target:
    • Se il file è remoto (ad esempio, condivisione SMB), la destinazione deve includere almeno un identificatore di macchina per la macchina di destinazione, altrimenti tutti gli identificatori automatici devono essere vuoti.
    • Compila target.file con le informazioni sul file.

Facoltativamente,

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: compila se sono disponibili informazioni sull'utente e il processo di sviluppo.

FILE_COPY

Campi obbligatori:

  • metadata: includi i campi obbligatori come descritto.
  • principal:
    • Almeno un identificatore di macchina.
    • (Facoltativo) Compila principal.process con le informazioni sul metodo che esegue l'operazione di copia del file.
  • src:
    • Completa src.file con le informazioni sul file di origine.
    • Se il file è remoto (ad esempio, condivisione SMB), src deve includere almeno un identificatore di macchina per la macchina di origine in cui è archiviato il file di origine.
  • target:
    • Completa target.file con le informazioni sul file di destinazione.
    • Se il file è remoto (ad esempio una condivisione SMB), il campo target deve includere almeno un identificatore della macchina di destinazione che contiene il file di destinazione.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.

MUTEX_CREATION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore di macchina.
    • Compila a principal.process con informazioni sul processo di creazione il mutex.
  • target:
    • Compila il campo target.resource.
    • Completa target.resource.type con MUTEX.
    • Compila target.resource.name con il nome del mutex creato.

Facoltativamente,

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: compila se sono disponibili informazioni sull'utente e il processo di sviluppo.
Esempio di UDM per MUTEX_CREATION

L'esempio seguente illustra come sarebbe un evento di tipo MUTEX_CREATION formattato per l'UDM Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli su dispositivo e processo.
  • target: informazioni sul mutex.

NETWORK_CONNECTION

Campi obbligatori:

  • metadata: event_timestamp
  • principal: include i dettagli sulla macchina che ha avviato la rete connessione attiva (ad es. origine).
  • target: includi dettagli sulla macchina di destinazione, se diversa dal macchina principale.
  • network: acquisisci i dettagli della connessione di rete (porte, protocollo, e così via).

Campi facoltativi:

  • principal.process e target.process: includono le informazioni relative al processo associato al principale e al target della connessione di rete (se disponibili).
  • principal.user e target.user: includono le informazioni sull'utente associate con l'entità e la destinazione della connessione di rete (se disponibili).

NETWORK_HTTP

Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un principale a un server web di destinazione.

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: rappresenta il client che avvia la richiesta web e include Almeno un identificatore macchina (ad esempio nome host, IP, MAC, proprietario l'identificatore asset) o un identificatore utente (ad esempio, il nome utente). Se una connessione di rete specifica e un numero di porta del client disponibile, è necessario specificare un solo indirizzo IP insieme al numero di porta associati alla connessione di rete (sebbene altri identificatori di macchine per descrivere meglio il dispositivo del partecipante). Se non è presente alcuna fonte la porta sia disponibile, tutti gli indirizzi IP e MAC, gli identificatori di asset e È possibile specificare valori del nome host che descrivono il dispositivo principale.
  • target: rappresenta il server web e include le informazioni del dispositivo e facoltativamente un numero di porta. Se è disponibile un numero di porta di destinazione, specifica solo un indirizzo IP oltre al numero di porta associato alla rete (sebbene possano essere forniti più identificatori di macchine per il target). Per target.url, inserisci l'URL a cui è stato eseguito l'accesso.
  • network e network.http: include i dettagli sulla rete HTTP connessione. Devi compilare i seguenti campi:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campi facoltativi:

  • about: rappresenta altre entità trovate nella transazione HTTP (ad ad esempio un file caricato o scaricato).
  • intermediario: rappresenta un server proxy (se diverso dall'entità) o target).
  • metadata: compila gli altri campi dei metadati.
  • network: compila gli altri campi della rete.
  • network.email: se la connessione di rete HTTP proviene da un URL visualizzato in un messaggio email, compila la rete.email con i dettagli.
  • observer: rappresenta uno sniffer passivo (se presente).
  • security_result: aggiungi uno o più elementi al campo security_result per rappresentare l'attività dannosa rilevata.
Esempio UDM per NETWORK_HTTP

L'esempio seguente illustra come un evento antivirus Sophos di tipo NETWORK_HTTP verrà convertito nel formato UDM di Google Security Operations.

Di seguito è riportato l'evento antivirus originale di Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Ecco come formattare le stesse informazioni in Proto3 utilizzando Google Security Operations Sintassi UDM:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dispositivo di sicurezza che ha rilevato l'evento.
  • target: il dispositivo che ha ricevuto il software dannoso.
  • network: informazioni di rete relative all'host dannoso.
  • security_result: dettagli sulla sicurezza del software dannoso.
  • aggiuntive: informazioni sul fornitore che non rientrano nell'ambito dell'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore di macchina.
    • Per gli eventi di inserimento ed arresto dei processi, se disponibili: principal.process deve includere informazioni sulla procedura avviare l'azione (ad esempio, per un evento di lancio di un processo, principal.process deve includere i dettagli sul processo padre se disponibile).
  • target:
    • target.process: include informazioni sul processo in corso inseriti, aperti, avviati o terminati.
    • Se il processo di destinazione è remoto, il target deve includerne almeno uno identificatore di macchina per la macchina di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore di asset di terze parti).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user e target.user: compilano il processo iniziale. (entità) e il processo target, se le informazioni utente sono disponibili.
Esempio UDM per PROCESS_LAUNCH

L'esempio seguente illustra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli del dispositivo.
  • target: dettagli del processo.

PROCESS_MODULE_LOAD

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore di macchina.
    • principal.process: processo in fase di caricamento del modulo.
  • target:
    • target.process: include informazioni sul processo.
    • target.process.file: modulo caricato (ad esempio, la DLL o ).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.
Esempio UDM per PROCESS_MODULE_LOAD

L'esempio seguente illustra come formattare un PROCESS_MODULE_LOAD utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli sul dispositivo e sul processo di caricamento del modulo.
  • target: dettagli del processo e del modulo.

PROCESS_PRIVILEGE_ESCALATION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore di macchina.
    • principal.process: processo del caricamento del modulo.
    • principal.user: utente che carica il modulo.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio UDM per PROCESS_PRIVILEGE_ESCALATION

L'esempio seguente illustra come formattare un Evento PROCESS_PRIVILEGE_ESCALATION con la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli sul dispositivo, sull'utente e sul processo di caricamento in maggior dettaglio più avanti in questo modulo.
  • target: dettagli su processo e modulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal:
    • Almeno un identificatore della macchina.
    • Se la modifica del Registro di sistema viene eseguita da un processo in modalità utente, principal.process deve includere informazioni sul processo che modifica il Registro di sistema.
    • Se un processo kernel esegue la modifica del registro, principal non deve includere informazioni sul processo.
  • target:
    • target.registry: se il registro di destinazione è remoto, la destinazione deve dovrai includere almeno un identificatore per la macchina di destinazione (ad esempio, indirizzo IP, MAC, nome host o identificatore di asset di terze parti).
    • target.registry.registry_key: tutti gli eventi del registry devono includere il parametro chiave del Registro di sistema interessata.

Facoltativamente,

  • security_result::descrivi l'attività dannosa rilevata. Ad esempio, una chiave del Registro di sistema non valida.
  • principal.user: inserisci se sono disponibili informazioni sull'utente e il processo di sviluppo.
Esempio UDM per REGISTRY_MODIFICATION

L'esempio seguente illustra come formattare una REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli su dispositivo, utente e processo.
  • target: voce del registro interessata dalla modifica.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campi obbligatori:

  • estensioni: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la usando il campo extensions.vuln.
  • metadata: event_timestamp
  • observer: acquisisci informazioni sullo scanner. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo osservatore. Per un scanner locale, lascia vuoto.
  • target: acquisisci informazioni sulla macchina che contiene l'oggetto scansione. Se viene eseguita la scansione di un file, target.file deve acquisire informazioni sul file scansionato. Se è in corso la scansione di un processo, target.process deve acquisire informazioni sul processo sottoposto a scansione.

Campi facoltativi:

  • target: dettagli dell'utente relativi all'oggetto target (ad esempio, creatore del file) o del proprietario del processo) devono essere acquisiti in target.user.
  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCAN_HOST

L'esempio seguente illustra come viene formattato un evento di tipo SCAN_HOST per l'UDM di Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:

  • metadati: informazioni di base sull'evento.
  • target: dispositivo che ha ricevuto il software dannoso.
  • osservatore: il dispositivo che rileva e segnala l'evento in questione.
  • security_result: dettagli sulla sicurezza del software dannoso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campi obbligatori:

  • principal: per tutti gli eventi SCHEDULED_TASK, l'entità deve includere un identificatore di macchina e un identificatore utente.
  • target: la destinazione deve includere una risorsa valida e un tipo di risorsa definito come "ATTIVITÀ".

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION

L'esempio seguente illustra come un evento di tipo SCHEDULED_TASK_CREATION potrebbe essere formattato per l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:

  • metadati: informazioni di base sull'evento.
  • principal: il dispositivo che ha pianificato l'attività sospetta.
  • target: software preso di mira dall'attività sospetta.
  • intermediario: intermediario coinvolto nell'attività sospetta.
  • security_result: dettagli sulla sicurezza dell'attività sospetta.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campi obbligatori:

  • principal: deve essere presente, non vuoto e includere un identificatore della macchina.
  • target: deve essere presente, non vuoto e includere una risorsa con il tipo specificato come SETTING
Esempio UDM per il tipo di evento SETTING_MODIFICATION

L'esempio seguente illustra come verrà formattato un evento di tipo SETTING_MODIFICATION per l'UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadati: informazioni di base sull'evento.
  • principal: informazioni sul dispositivo su cui è avvenuta la modifica dell'impostazione.
  • target: dettagli della risorsa.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campi obbligatori:

  • target: includi l'identificatore utente e specifica il processo o l'applicazione.
  • principal: includi almeno un identificatore macchina (INDIRIZZO IP o MAC, nome host, o identificatore della risorsa).
Esempio UDM per SERVICE_UNSPECIFIED

L'esempio seguente illustra come verrebbe fatto un evento di tipo SERVICE_UNSPECIFIED deve essere formattato per l'UDM Google Security Operations:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo e della località.
  • target: nome host e identificatore utente.
  • applicazione: nome applicazione e tipo di risorsa.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: almeno un identificatore macchina (INDIRIZZO IP o MAC, nome host, o identificatore della risorsa).
Esempio UDM per STATUS_HEARTBEAT

L'esempio seguente illustra come verrebbe fatto un evento di tipo STATUS_HEARTBEAT deve essere formattato per l'UDM Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli del dispositivo e della posizione.
  • intermediary: indirizzo IP del dispositivo.
  • security_result: dettagli del risultato sulla sicurezza.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campi obbligatori:

  • principal: includi un identificatore utente per l'utente che ha eseguito la sul log e un identificatore di macchina per la macchina in cui vengono archiviati o sono stati archiviati (nel caso della cancellazione dei dati).
Esempio UDM per SYSTEM_AUDIT_LOG_WIPE

L'esempio seguente illustra come viene formattato un evento di tipo SYSTEM_AUDIT_LOG_WIPE per l'UDM di Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di contesto sull'evento.
  • principal: dettagli dispositivo e utente.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: se l'account utente viene modificato da una posizione remota, popola l'entità con informazioni sulla macchina da cui l'utente ha avuto origine dalla modifica.
  • target: compila target.user con le informazioni sull'utente che è stato modificato.
  • intermediario: per gli accessi SSO, l'intermediario deve includere almeno una macchina per il server SSO, se disponibile.

USER_COMMUNICATION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati con comunicazioni avviate dall'utente (mittente), ad esempio un messaggio di chat in Google. Chat o Slack, una videoconferenza o una conferenza vocale in Zoom o Google Meet oppure un VoIP connessione.

Campi facoltativi:

  • target: (consigliato) Compila il campo target.user con informazioni sull'utente di destinazione (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con informazioni su l'applicazione di comunicazione cloud di destinazione.

USER_CREATION, USER_DELETION

Campi obbligatori:

  • metadata: event_timestamp
  • principal: include informazioni sulla macchina da cui è stata originata la richiesta di creazione o eliminazione dell'utente. Per la creazione di utenti locali o l'eliminazione, principal deve includere almeno un identificatore di macchina per dalla macchina di origine.
  • target:località in cui è stato creato l'utente. Deve includere anche l'utente informazioni (ad esempio, target.user).

Campi facoltativi:

  • principal: dettagli sull'utente e sul processo per la macchina su cui l'utente è stata avviata una richiesta di creazione o eliminazione.
  • target: informazioni sulla macchina di destinazione (se diversa da quella macchina principale).

USER_LOGIN, USER_LOGOUT

Campi obbligatori:

  • metadata: includi i campi obbligatori.
  • principal: per le attività utente da remoto (ad esempio, l'accesso remoto), popola l'entità con informazioni sulla macchina che ha originato l'utente attività. Per le attività locali degli utenti (ad esempio, l'accesso locale), non impostare principale.
  • target: compila target.user con informazioni sull'utente di cui connesso o disconnesso. Se l'entità non è impostata (ad esempio, accesso locale), il target deve includere almeno un identificatore di macchina che lo identifica in una macchina virtuale. Per le attività utente da computer a macchina (ad esempio, accesso remoto, SSO, servizio Cloud, VPN), la destinazione deve includere informazioni sulla destinazione macchina o server VPN di destinazione.
  • intermediario: per gli accessi SSO, l'intermediario deve includere almeno una macchina per il server SSO, se disponibile.
  • network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti dettagli disponibili in network.ip_protocol, network.application_protocol, e network.http.
  • Estensione authentication: deve identificare il tipo di sistema di autenticazione a cui è correlato l'evento (ad esempio macchina, SSO o VPN) e meccanismo utilizzato (nome utente e password, OTP e così via).
  • security_result: aggiungi un campo security_result per rappresentare lo stato dell'accesso in caso di errore. Specifica security_result.category con AUTH_VIOLATION se l'autenticazione non riesce.

USER_RESOURCE_ACCESS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli su tenta di accedere a una risorsa cloud (ad esempio, un caso Salesforce, calendario di Office 365, documento Google o ticket ServiceNow).
  • target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati con l'utente creato all'interno di una risorsa cloud (ad esempio, un case, calendario di Office 365, documento Google o ticket ServiceNow).
  • target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_CONTENT

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati con l'utente il cui contenuto è stato aggiornato all'interno di una risorsa cloud (ad ad esempio una richiesta Salesforce, un calendario di Office 365, un documento Google o ServiceNow. ticket).
  • target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_PERMISSIONS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario di Office 365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_UNCATEGORIZED

Campi obbligatori:

  • metadata: event_timestamp
  • principal: include informazioni sulla macchina da cui è stata originata la richiesta di creazione o eliminazione dell'utente. Per la creazione di utenti locali o l'eliminazione, principal deve includere almeno un identificatore di macchina per dalla macchina di origine.
  • target:località in cui è stato creato l'utente. Deve includere anche l'utente informazioni (ad esempio, target.user).

Campi facoltativi:

  • principal: dettagli sull'utente e sul processo per la macchina su cui l'utente è stata avviata una richiesta di creazione o eliminazione.
  • target: informazioni sulla macchina di destinazione (se diversa da quella macchina principale).