Guida all'utilizzo di Unified Data Model
Questo documento fornisce una descrizione più dettagliata dei campi dello schema UDM (Unified Data Model) e di quelli obbligatori e facoltativi a seconda del tipo di evento. Per la valutazione del motore delle regole, il prefisso inizia udm., mentre il prefisso del normalizzatore basato sulla configurazione (CBN) inizia event.idm.read_only_udm.
Popolazione dei metadati degli eventi
La sezione dei metadati degli eventi per gli eventi UDM memorizza informazioni generali su ogni evento.
Metadata.event_type
- Finalità:specifica il tipo di evento. Se per un evento sono disponibili più tipi, questo valore deve specificare il tipo più specifico.
- Obbligatorio: sì
- Codifica: deve essere uno dei tipi enumerati event_type UDM predefiniti.
- Valori possibili: di seguito sono elencati tutti i valori possibili per event_type nell'UDM.
Eventi degli analisti:
- ANALYST_ADD_COMMENT
- ANALYST_UPDATE_PRIORITY
- ANALYST_UPDATE_REASON
- ANALYST_UPDATE_REPUTATION
- ANALYST_UPDAATE_RISK_SCORE
- ANALYST_UPDATE_ROOT_CAUSE
- ANALYST_UPDATE_SEVERITY_SCORE
- ANALYST_UPDATE_STATUS
- ANALYST_UPDATE_VERDICT
Eventi del dispositivo:
- DEVICE_CONFIG_UPDATE
- DEVICE_FIRMWARE_UPDATE
- DEVICE_PROGRAM_DOWNLOAD
- DEVICE_PROGRAM_UPLOAD
Eventi email:
- EMAIL_UNCATEGORIZED
- EMAIL_TRANSACTION
- EMAIL_URL_CLICK
Eventi non specificati:
- EVENTTYPE_UNSPECIFIED
Eventi di file eseguiti su un endpoint:
- FILE_UNCATEGORIZED
- FILE_COPY (ad esempio, copia di un file su una chiavetta USB)
- FILE_CREATION
- FILE_DELETION
- FILE_MODIFICATION
- FILE_MOVE
- FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)
- FILE_READ (ad esempio, la lettura di un file di password)
- FILE_SYNC
Eventi che non rientrano in nessun'altra categoria, inclusi gli eventi di Windows senza categoria.
- GENERIC_EVENT
Eventi di attività di gruppo:
- GROUP_UNCATEGORIZED
- GROUP_CREATION
- GROUP_DELETION
- GROUP_MODIFICATION
Eventi Silentx (oggetto a esclusione reciproca):
- MUTEX_UNCATEGORIZED
- MUTEX_CREATION
Telemetria di rete, inclusi payload di protocollo non elaborati, come DHCP e DNS, nonché riepiloghi di protocollo per protocolli come HTTP, SMTP e FTP, nonché eventi di flusso e connessione da Netflow e firewall.
- NETWORK_UNCATEGORIZED
- NETWORK_CONNECTION (ad esempio, dettagli della connessione di rete da un firewall)
- NETWORK_DHCP
- NETWORK_DNS
- NETWORK_FLOW (ad esempio, statistiche di flusso aggregate da Netflow)
- NETWORK_FTP
- NETWORK_HTTP
- NETWORK_SMTP
Eventuali eventi relativi a un processo, come l'avvio di un processo, un processo che crea qualcosa di dannoso, un processo iniettato in un altro processo, la modifica di una chiave di registro o la creazione di un file dannoso su disco.
- PROCESS_UNCATEGORIZED
- PROCESS_INJECTION
- PROCESS_LAUNCH
- PROCESS_MODULE_LOAD
- PROCESS_OPEN
- PROCESS_PRIVILEGE_ESCALATION
- PROCESS_TERMINATION
Utilizza gli eventi REGISTRY anziché gli eventi SETTING quando hai a che fare con eventi di registro specifici di Microsoft Windows:
- REGISTRY_UNCATEGORIZED
- REGISTRY_CREATION
- REGISTRY_MODIFICATION
- REGISTRY_DELETION
Eventi risorsa:
- RESOURCE_CREATION
- RESOURCE_DELETION
- RESOURCE_PERMISSIONS_CHANGE
- RESOURCE_READ
- RESOURCE_WRITTEN
Eventi orientati alla scansione. Include analisi on demand e rilevamenti comportamentali eseguiti dai prodotti per la sicurezza degli endpoint (EDR, AV, DLP). Utilizzato solo quando si collega un SecurityResult a un altro tipo di evento (ad esempio PROCESS_LAUNCH).
- SCAN_UNCATEGORIZED
- SCAN_FILE
- SCAN_HOST
- SCAN_NETWORK
- SCAN_PROCESS
- SCAN_PROCESS_BEHAVIORS
- SCAN_VULN_HOST
- SCAN_VULN_NETWORK
Eventi di attività pianificate (Utilità di pianificazione di Windows, cron e così via):
- SCHEDULED_TASK_UNCATEGORIZED
- SCHEDULED_TASK_CREATION
- SCHEDULED_TASK_DELETION
- SCHEDULED_TASK_DISABLE
- SCHEDULED_TASK_ENABLE
- SCHEDULED_TASK_MODIFICATION
Eventi di servizio:
- SERVICE_UNSPECIFIED
- SERVICE_CREATION
- SERVICE_DELETION
- SERVICE_MODIFICATION
- SERVICE_START
- SERVICE_STOP
Impostazione degli eventi, inclusa la modifica di un'impostazione di sistema su un endpoint. Per impostare i requisiti degli eventi, vedi qui.
- SETTING_UNCATEGORIZED
- SETTING_CREATION
- SETTING_DELETION
- SETTING_MODIFICATION
Messaggi di stato inviati dai prodotti di sicurezza per indicare che gli agenti sono attivi e che devono inviare versione, fingerprint o altri tipi di dati.
- STATUS_UNCATEGORIZED
- STATUS_HEARTBEAT (indica che il prodotto è attivo)
- STATUS_STARTUP
- STATUS_SHUTDOWN
- STATUS_UPDATE (aggiornamento software o impronta)
Eventi del log di controllo del sistema:
- SYSTEM_AUDIT_LOG_UNCATEGORIZED
- SYSTEM_AUDIT_LOG_WIPE
Eventi relativi alle attività di autenticazione utente:
- USER_UNCATEGORIZED
- USER_BADGE_IN (ad esempio, quando un utente si inserisce fisicamente in un sito)
- USER_CHANGE_PASSWORD
- USER_CHANGE_PERMISSIONS
- USER_COMMUNICATION
- USER_CREATION
- USER_DELETION
- USER_LOGIN
- USER_LOGOUT
- USER_RESOURCE_ACCESS
- USER_RESOURCE_CREATION
- USER_RESOURCE_DELETION
- USER_RESOURCE_UPDATE_CONTENT
- USER_RESOURCE_UPDATE_PERMISSIONS
- USER_STATS
Metadata.collected_timestamp
- Finalità: codifica il timestamp GMT quando l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
- Codifica: RFC 3339, a seconda del formato del timestamp JSON o Proto3.
- Esempio:
- RFC 3339: "2019-09-10T20:32:31-08:00"
- Formato Proto3: "2012-04-23T18:25:43.511Z"
Metadata.event_timestamp
- Finalità:codifica il timestamp GMT quando è stato generato l'evento.
- Obbligatorio: Sì
- Codifica: RFC 3339, come appropriato per il formato di timestamp JSON o Proto3.
- Esempio:
- RFC 3339: 2019-09-10T20:32:31-08:00
- Formato Proto3: 2012-04-23T18:25:43.511Z
Metadata.description
- Finalità:descrizione leggibile dell'evento.
- Codifica: stringa alfanumerica, punteggiatura consentita, massimo 1024 byte
- Esempio:il file c:\bar\foo.exe non può accedere al documento sensibile c:\documents\earnings.docx.
Metadata.product_event_type
- Finalità: nome o tipo di evento breve, descrittivo, leggibile e specifico per il prodotto.
- Codifica: stringa alfanumerica, sono consentiti i segni di punteggiatura, massimo 64 byte.
- Esempi:
- Evento di creazione del registro
- ProcessRollUp
- Escalation dei privilegi rilevata
- Malware bloccato
Metadata.product_log_id
- Finalità: codifica un identificatore di evento specifico del fornitore per identificare in modo univoco l'evento (un GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console proprietaria del fornitore.
- Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte.
- Esempio: ABcd1234-98766
Metadata.product_name
- Finalità:specifica il nome del prodotto.
- Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte.
- Esempi:
- Falcon
- Protezione degli endpoint Symantec
Metadata.product_version
- Finalità:specifica la versione del prodotto.
- Codifica: consentiti stringhe alfanumeriche, punti e trattini, massimo 32 byte
- Esempi:
- 1.2.3b
- 10,3:rev1
Metadata.url_back_to_product
- Finalità:URL che rimanda a un sito web pertinente in cui puoi visualizzare ulteriori informazioni su questo evento specifico (o sulla categoria generale dell'evento).
- Codifica: un URL RFC 3986 valido con parametri facoltativi come informazioni sulla porta e così via. Deve avere un prefisso di protocollo prima dell'URL (ad esempio https:// o http://).
- Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345
Metadata.vendor_name
- Finalità:specifica il nome del fornitore del prodotto.
- Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte
- Esempi:
- CrowdStrike
- Symantec
Popolazione dei metadati dei nomi dei nomi
In questa sezione, la parola Sostantivo è un termine generale usato per rappresentare le entità; principal, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per scoprire di più sulle entità e su ciò che ciascuna rappresenta in un evento, vedi Formattare i dati del log come UDM.
Noun.asset_id
- Scopo: identificatore di dispositivo univoco specifico del fornitore (ad esempio, un GUID generato durante l'installazione del software per la sicurezza degli endpoint su un nuovo dispositivo, utilizzato per monitorare tale dispositivo nel tempo).
- Codifica: VendorName.ProductName:ID dove VendorName.ProductName:ID è senza distinzione tra maiuscole e minuscole* *nome del fornitore come "Carbon Black", VendorName.ProductName:ID è un nome del prodotto senza distinzione tra maiuscole e minuscole, come "Risposta" o "Protezione endpoint" e l'ID è un identificatore cliente specifico del fornitore e univoco a livello globale nell'ambiente del cliente (ad esempio, un GUID o un valore univoco che identifica un dispositivo univoco). VendorName e ProductName sono caratteri alfanumerici e non devono superare i 32 caratteri. L'ID può contenere al massimo 128 caratteri e includere caratteri alfanumerici, trattini e punti.
- Esempio:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f
Noun.email
- Finalità:indirizzo email
- Codifica: formato standard dell'indirizzo email.
- Esempio: johns@test.altostrat.com
Noun.file
- Finalità:metadati dettagliati dei file.
- Tipo:oggetto
- Consulta Compilazione dei metadati del file.
Noun.hostname
- Finalità:campo del nome host del client o del nome di dominio. Non includere se è presente un URL.
- Codifica: nome host RFC 1123 valido.
- Esempi:
- userwin10
- www.altostrat.com
Noun.platform
- Scopo: sistema operativo della piattaforma.
- Codifica: enum
- Valori possibili:
- LINUX
- MAC
- FINESTRE
- UNKNOWN_PLATFORM
Noun.platform_patch_level
- Scopo: livello di patch del sistema operativo della piattaforma.
- Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
- Esempio: build 17134.48
Noun.platform_version
- Finalità: versione del sistema operativo della piattaforma.
- Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
- Esempio:Microsoft Windows 10 versione 1803
Noun.process
- Scopo: metadati dettagliati del processo.
- Tipo:oggetto
- Consulta Compilazione dei metadati di processo.
Noun.ip
- Finalità:
- Un singolo indirizzo IP associato a una connessione di rete.
- Uno o più indirizzi IP associati a un dispositivo del partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificarli tutti all'interno dei campi IP).
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
- Ripetibilità:
- Se un evento descrive una connessione di rete specifica (ad esempio, srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
- Se un evento descrive un'attività generale che si verifica sul dispositivo di un partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati al dispositivo al momento dell'evento.
- Esempi:
- 192.168.1.2
- 2001:db8:1:3::1
Noun.port
- Finalità: numero della porta di rete di origine o di destinazione quando una connessione di rete specifica è descritta all'interno di un evento.
- Codifica: numero di porta TCP/IP valido da 1 a 65.535.
Esempi:
- 80
- 443
Noun.mac
- Finalità:uno o più indirizzi MAC associati a un dispositivo.
- Codifica: indirizzo MAC valido (EUI-48) in ASCII.
- Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati al dispositivo al momento dell'evento.
- Esempi:
- fedc:ba98:7654:3210:fedc:ba98:7654:3210
- 1080:0:0:0:8:800:200c:417a
- 00:a0:0:0:c9:14:c8:29
Noun.administrative_domain
- Finalità: dominio a cui appartiene il dispositivo (ad esempio il dominio Windows).
- Codifica: stringa valida per il nome di dominio (massimo 128 caratteri).
- Esempio: corp.altostrat.com
Noun.registry
- Scopo: metadati dettagliati del registro.
- Tipo:oggetto
- Vedi Popolazione dei metadati del registry
Noun.url
- Finalità:URL standard
- Codifica: URL (RFC 3986). Deve avere un prefisso di protocollo valido (ad es. https:// o ftp://). Deve includere il dominio e il percorso completi. Potrebbe includere i parametri dell'URL.
- Esempio: https://foo.altostrat.com/bletch?a=b;c=d
Noun.user
- Scopo: metadati utente dettagliati.
- Tipo:oggetto
- Consulta Compilazione dei metadati utente.
Popolazione dei metadati di autenticazione
Authentication.AuthType
- Scopo: il tipo di sistema a cui è associato un evento di autenticazione (UDM di Google Security Operations).
- Codifica: tipo enumerato.
- Valori possibili:
- AUTHTYPE_UNSPECIFIED
- MACHINE: autenticazione a macchina
- FISICO: autenticazione fisica (ad esempio, lettore di badge)
- SSO
- TACACS: protocollo della famiglia TACACS per l'autenticazione di sistemi in rete (ad esempio, TACACS o TACACS+).
- VPN
Authentication.Authentication_Status
- Finalità:descrive lo stato di autenticazione di un utente o una credenziale specifica.
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_AUTHENTICATION_STATUS: stato dell'autenticazione predefinito
- ATTIVO: il metodo di autenticazione è in stato attivo
- SUSPENDED: il metodo di autenticazione è in stato di sospensione o disabilitazione
- DELETED: il metodo di autenticazione è stato eliminato
- NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non ha credenziali attive.
Authentication.auth_details
- Finalità: dettagli di autenticazione definiti dal fornitore.
- Codifica: stringa.
Authentication.Mechanism
- Scopo: meccanismi utilizzati per l'autenticazione.
- Codifica: tipo enumerato.
- Valori possibili:
- MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
- BADGE_READER
- BATCH: autenticazione batch.
- CACHED_INTERACTIVE: autenticazione interattiva mediante credenziali memorizzate nella cache.
- HARDWARE_KEY
- LOCALE
- MECHANISM_OTHER: alcuni altri meccanismi non definiti qui.
- RETE: autenticazione della rete.
- NETWORK_CLEAR_TEXT: autenticazione in chiaro della rete.
- NEW_CREDENTIALS: autenticazione con nuove credenziali.
- OTP
- REMOTE: autenticazione remota
- REMOTE_INTERACTIVE: RDP, servizi terminale, Virtual Network Computing (VNC) e così via.
- SERVICE: autenticazione del servizio.
- UNLOCK: autenticazione dello sblocco umano-interattivo diretto.
- USERNAME_PASSWORD
Populazione dei metadati DHCP
I campi dei metadati DHCP (Dynamic Host Control Protocol) acquisiscono le informazioni di log del protocollo di gestione della rete DHCP.
Dhcp.client_hostname
- Finalità:nome host per il cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP options and BOOTP Vendor Extensions.
- Codifica: stringa.
Dhcp.client_identifier
- Finalità: identificatore del cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
- Codifica: byte.
Dhcp.file
- Finalità: nome file per l'immagine di avvio.
- Codifica: stringa.
Dhcp.flags
- Finalità: valore per il campo dei flag DHCP.
- Codifica: numero intero senza segno a 32 bit.
Dhcp.hlen
- Finalità:lunghezza dell'indirizzo hardware.
- Codifica: numero intero senza segno a 32 bit.
Dhcp.hops
- Finalità:conteggio di hop DHCP.
- Codifica: numero intero senza segno a 32 bit.
Dhcp.htype
- Finalità:tipo di indirizzo hardware.
- Codifica: numero intero senza segno a 32 bit.
Dhcp.lease_time_seconds
- Finalità: tempo di lease richiesto dal client per un indirizzo IP in secondi. Per ulteriori informazioni, consulta la documentazione RFC 2132, DHCP options and BOOTP Vendor Extensions.
- Codifica: numero intero non firmato a 32 bit.
Dhcp.opcode
- Finalità:codice operativo BOOTP (vedi la sezione 3 di RFC 951).
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_OPCODE
- BOOTREQUEST
- AVVIA RISPOSTA
Dhcp.requested_address
- Finalità: identificatore del cliente. Per ulteriori informazioni, consulta la documentazione RFC 2132, DHCP options and BOOTP Vendor Extensions.
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
Dhcp.seconds
- Finalità: secondi trascorsi da quando il cliente ha avviato il processo di acquisizione/rinnovo dell'indirizzo.
- Codifica: numero intero senza segno a 32 bit.
Dhcp.sname
- Finalità: nome del server da cui il client ha richiesto l'avvio.
- Codifica: stringa.
Dhcp.transaction_id
- Finalità: ID transazione del cliente.
- Codifica: numero intero senza segno a 32 bit.
Dhcp.type
- Finalità: tipo di messaggio DHCP. Per ulteriori informazioni, consulta il documento RFC 1533.
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_MESSAGE_TYPE
- DISCOVER
- OFFERTA
- RICHIEDI
- RIFIUTO
- ACK
- NAK
- RELEASE
- INFORMAZIONI
- WIN_DELECTED
- WIN_EXPIRED
Dhcp.chaddr
- Finalità:indirizzo IP dell'hardware client.
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
Dhcp.ciaddr
- Scopo: indirizzo IP del client.
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
Dhcp.giaddr
- Scopo: indirizzo IP dell'agente di inoltro.
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
Dhcp.siaddr
- Scopo: indirizzo IP del successivo server di bootstrap.
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
Dhcp.yiaddr
- Finalità:il tuo indirizzo IP.
- Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
Populazione dei metadati delle opzioni DHCP
I campi dei metadati dell'opzione DHCP acquisiscono le informazioni di log delle opzioni DHCP.
Option.code
- Scopo: archiviare il codice opzione DHCP. Per ulteriori informazioni, fai riferimento a RFC 1533, DHCP options and BOOTP Vendor Extensions.
- Codifica: numero intero non firmato a 32 bit.
Option.data
- Finalità:archiviare i dati dell'opzione DHCP. Per ulteriori informazioni, fai riferimento a RFC 1533, DHCP options and BOOTP Vendor Extensions.
- Codifica: byte.
Compilazione dei metadati DNS
I campi dei metadati DNS acquisiscono informazioni relative ai pacchetti di richiesta e risposta DNS. Hanno una corrispondenza uno a uno con i dati trovati nei datagrammi di richiesta e risposta DNS.
Dns.authoritative
- Finalità: impostato su true per i server DNS autorevoli.
- Codifica: valore booleano.
Dns.id
- Finalità:archiviare l'identificatore di query DNS.
- Codifica: numero intero a 32 bit.
Dns.response
- Finalità:impostato su true se l'evento è una risposta DNS.
- Codifica: booleano.
Dns.opcode
- Finalità: archivia l'Operacode DNS utilizzato per specificare il tipo di query DNS (standard, invertita, stato del server e così via).
- Codifica: numero intero a 32 bit.
Dns.recursion_available
- Finalità:impostare su true se è disponibile una ricerca DNS ricorsiva.
- Codifica: valore booleano.
Dns.recursion_desired
- Finalità:impostare su true se viene richiesta una ricerca DNS ricorsiva.
- Codifica: booleano.
Dns.response_code
- Scopo: archiviare il codice di risposta DNS come definito da RFC 1035, Domain names - Implementation and Specification.
- Codifica: numero intero a 32 bit.
Dns.truncated
- Finalità:imposta su true se si tratta di una risposta DNS troncata.
- Codifica: valore booleano.
Dns.questions
- Finalità:archivia le domande relative ai messaggi del protocollo di dominio. Consulta la sezione Compilazione dei metadati delle domande DNS.
Dns.answers
- Finalità: memorizza la risposta alla query sul nome di dominio. Consulta Popolazione dei metadati dei record di risorse DNS.
Dns.authority
- Finalità: archivia i server dei nomi di dominio che hanno verificato la risposta alla query sul nome di dominio. Consulta Completamento dei metadati dei record di risorse DNS.
Dns.additional
- Finalità:archivia i server dei nomi di dominio aggiuntivi che possono essere utilizzati per verificare la risposta al dominio. Consulta Popolazione dei metadati dei record di risorse DNS.
Compilazione dei metadati delle domande DNS
I campi dei metadati della domanda DNS acquisiscono le informazioni contenute nella sezione della domanda di un messaggio relativo al protocollo di dominio.
Question.name
- Finalità:archiviare il nome di dominio.
- Codifica: stringa.
Question.class
- Finalità: archiviare il codice che specifica la classe della query.
- Codifica: numero intero a 32 bit.
Question.type
- Finalità: archiviare il codice che specifica il tipo di query.
- Codifica: numero intero a 32 bit.
Completamento dei metadati dei record di risorse DNS
I campi dei metadati del record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio del protocollo di dominio.
ResourceRecord.binary_data
- Finalità:archivia i byte non elaborati di eventuali stringhe non UTF8 che potrebbero essere incluse in una risposta DNS. Questo campo deve essere utilizzato solo se i dati di risposta restituiti dal server DNS contengono dati non UTF-8. Altrimenti, inserisci la risposta DNS nel campo di dati seguente. Questo tipo di informazioni deve essere archiviato qui anziché in ResourceRecord.data.
Codifica: byte.
ResourceRecord.class
- Finalità:archivia il codice che specifica la classe del record di risorse.
- Codifica: numero intero a 32 bit.
ResourceRecord.data
- Scopo: memorizza il payload o la risposta alla domanda del DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dei dati potrebbe restituire l'indirizzo IP della macchina a cui fa riferimento il nome di dominio. Se il record di risorse riguarda un tipo o una classe diversi, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati così come sono nella risposta DNS.
- Codifica: stringa.
ResourceRecord.name
- Finalità:archivia il nome del proprietario del record di risorse
- Codifica: stringa.
ResourceRecord.ttl
- Finalità: archivia l'intervallo di tempo per cui il record di risorse può essere memorizzato nella cache prima che venga eseguita nuovamente una query sull'origine delle informazioni.
- Codifica: numero intero a 32 bit.
ResourceRecord.type
- Finalità:archiviare il codice che specifica il tipo di record di risorse.
- Codifica: numero intero a 32 bit.
Compilazione dei metadati delle email
La maggior parte dei campi dei metadati email acquisisce gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato standard dell'indirizzo email (casella di posta locale@dominio) come definito in RFC 5322. Ad esempio, franco@email.example.com.
Email.from
- Finalità:memorizza l'indirizzo email from.
- Codifica: stringa.
Email.reply_to
- Finalità: memorizza l'indirizzo email reply_to.
- Codifica: stringa.
Email.to
- Finalità: archiviare gli indirizzi email to.
- Codifica: stringa.
Email.cc
- Finalità:archiviare gli indirizzi email in Cc
- Codifica: stringa.
Email.bcc
- Finalità:archiviare gli indirizzi email in Ccn
- Codifica: stringa.
Email.mail_id
- Finalità: archiviare l'ID della posta (o del messaggio).
- Codifica: stringa.
- Esempio: 192544.132632@email.example.com
Email.subject
- Finalità: memorizza la riga dell'oggetto dell'email.
- Codifica: stringa.
- Esempio: "Leggi questo messaggio".
Popolazione dei metadati delle estensioni
Tipi di eventi con metadati di prim'ordine che non sono ancora classificati dall'UDM di Google Security Operations. Extensions.auth
- Finalità: estensione ai metadati di autenticazione.
- Codifica: stringa.
- Esempi:
- Metadati sandbox (tutti i comportamenti presentati da un file, ad esempio, FireEye).
- Dati NAC (Network Access Control).
- Dettagli LDAP su un utente (ad esempio ruolo, organizzazione e così via).
Extensions.auth.auth_details
- Finalità: specifica i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I provider di autenticazione definiscono spesso tipi come via_mfa o via_ad che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono comunque essere generalizzati in auth.type o auth.mechanism per l'usabilità e la compatibilità delle regole tra set di dati.
- Codifica: stringa.
- Esempi: via_mfa, via_ad.
Extensions.vulns
- Scopo: estensione ai metadati delle vulnerabilità.
- Codifica: stringa.
- Esempio:
- Dati dell'analisi delle vulnerabilità dell'host.
Populazione dei metadati dei file
File.file_metadata
- Finalità: metadati associati al file.
- Codifica: stringa.
- Esempi:
- Autore
- Numero di revisione
- Numero di versione
- Data ultimo salvataggio
File.full_path
- Finalità: percorso completo che identifica la posizione del file nel sistema.
- Codifica: stringa.
- Esempio: \Programmi\Custom Utilities\Test.exe
File.md5
- Finalità:valore hash MD5 per il file.
- Codifica: stringa, esadecimale minuscolo.
- Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c
File.mime_type
- Finalità: tipo MIME (Multipurpose Internet Mail Extensions) del file.
- Codifica: stringa.
- Esempi:
- PE
- script PowerShell
File.sha1
- Finalità:valore hash SHA-1 del file.
- Codifica: stringa, esadecimale minuscolo.
- Esempio: eb3520d53b45815912f2391b713011453ed8abcf
File.sha256
- Finalità: valore hash SHA-256 del file.
- Codifica: stringa, esadecimale minuscolo.
- Esempio:
- d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417
File.size
- Finalità:le dimensioni del file.
- Codifica: numero intero non firmato a 64 bit.
- Esempio: 342135.
Compilazione dei metadati FTP
Ftp.command
- Finalità:archiviare il comando FTP.
- Codifica: stringa.
- Esempi:
- binario
- delete
- get
- put
Compilazione dei metadati del gruppo
Informazioni su un gruppo di organizzazioni.
Group.creation_time
- Finalità:data e ora di creazione del gruppo.
- Codifica: RFC 3339, come appropriato per il formato di timestamp JSON o Proto3.
Group.email_addresses
- Finalità:informazioni di contatto del gruppo.
- Codifica: email.
Group.group_display_name
- Finalità: nome visualizzato del gruppo.
- Codifica: stringa.
- Esempi:
- Finanza
- RU
- Marketing
Group.product_object_id
- Finalità: identificatore di oggetto utente univoco a livello globale per il prodotto, ad esempio un identificatore di oggetto LDAP.
- Codifica: stringa.
Group.windows_sid
- Scopo: campo dell'attributo di gruppo SID (Security Identifier) di Microsoft Windows.
- Codifica: stringa.
Compilazione di metadati HTTP
Http.method
- Finalità:archiviare il metodo di richiesta HTTP.
- Codifica: stringa.
- Esempi:
- GET
- HEAD
- POST
Http.referral_url
- Finalità:memorizza l'URL per il referrer HTTP.
- Codifica: URL RFC 3986 valido.
- Esempio: https://www.altostrat.com
Http.response_code
- Finalità:memorizza il codice di stato della risposta HTTP, che indica se una specifica richiesta HTTP è stata completata correttamente.
- Codifica: numero intero a 32 bit.
- Esempi:
- 400
- 404
Http.user_agent
- Finalità:memorizza l'intestazione della richiesta dello user agent, che include il tipo di applicazione, il sistema operativo, il fornitore del software o la versione dello user agent del software richiedente.
- Codifica: stringa.
- Esempi:
- Mozilla/5.0 (X11; Linux x86_64)
- AppleWebKit/534.26 (KHTML, come Gecko)
- Chrome/41.0.2217.0
- Safari/527.33
Popolazione dei metadati sulla località
Location.city
- Finalità:memorizza il nome della città.
- Codifica: stringa.
- Esempi:
- Sunnyvale
- Chicago
- Malaga
Location.country_or_region
- Finalità: memorizza il nome del paese o della regione del mondo.
- Codifica: stringa.
- Esempi:
- Stati Uniti
- Regno Unito
- Spagna
Location.name
- Finalità:memorizza il nome specifico dell'azienda, ad esempio un edificio o un campus.
- Codifica: stringa.
- Esempi:
- Campus 7B
- Edificio A2
Location.state
- Finalità:memorizza il nome dello stato, della provincia o del territorio.
- Codifica: stringa.
- Esempi:
- California
- Illinois
- Ontario
Compilazione dei metadati della rete
Network.application_protocol
- Finalità:indica il protocollo dell'applicazione di rete.
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_APPLICATION_PROTOCOL
- QUIC
- HTTP
- HTTPS
- DNS
- DHCP
Network.direction
- Finalità: indica la direzione del traffico di rete.
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_DIRECTION
- INBOUND
- IN USCITA
- TRASMISSIONE
Network.email
- Finalità:specifica l'indirizzo email del mittente/destinatario.
- Codifica: stringa.
- Esempio: jcheng@azienda.example.com
Network.ip_protocol
- Finalità: indica il protocollo IP.
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_IP_PROTOCOL
- EIGRP - Protocollo di routing per i gateway interni avanzati
- ESP: incapsulamento del payload di sicurezza
- EtherIP: incapsulamento Ethernet all'interno dell'IP
- GRE: incapsulamento generico dei percorsi
- ICMP: Internet Control Message Protocol
- IGMP (Internet Group Management Protocol)
- IP6IN4—Incapsulamento IPv6
- PIM - Multicast indipendente dal protocollo
- TCP: Transmission Control Protocol
- UDP (User Datagram Protocol)
- VRRP (Virtual Router Redundancy Protocol)
Network.received_bytes
- Finalità:specifica il numero di byte ricevuti.
- Codifica: numero intero senza segno a 64 bit.
- Esempio: 12.453.654.768
Network.sent_bytes
- Finalità:specifica il numero di byte inviati.
- Codifica: numero intero senza segno a 64 bit.
- Esempio: 7.654.876
Network.session_duration
- Finalità:memorizza la durata della sessione di rete, solitamente restituita in un evento di rilascio per la sessione. Per impostare la durata, puoi impostare network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
- Codifica:
- Numero intero a 32 bit: per i secondi (network.session_duration.seconds).
- Numero intero a 64 bit: per i nanosecondi (network.session_duration.nanos).
Network.session_id
- Finalità:memorizza l'identificatore della sessione di rete.
- Codifica: stringa.
- Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34
Compilazione dei metadati di processo
Process.command_line
- Finalità: memorizza la stringa della riga di comando per il processo.
- Codifica: stringa.
- Esempio: gruppo c:\windows\system32\net.exe
Process.product_specific_process_id
- Finalità: archiviare l'ID di processo specifico del prodotto.
- Codifica: stringa.
- Esempi:
MySQL:78778
oCS:90512
Process.parent_process.product_specific_process_id
- Finalità: memorizza l'ID processo specifico del prodotto per il processo principale.
- Codifica: stringa.
- Esempi:
MySQL:78778
oCS:90512
Process.file
- Finalità:memorizza il nome del file utilizzato dalla procedura.
- Codifica: stringa.
- Esempio: report.xls
Process.parent_process
- Finalità:archivia i dettagli della procedura della rete principale.
- Codifica: sostantivo (processo)
Process.pid
- Finalità:archiviare l'ID processo.
- Codifica: stringa.
- Esempi:
- 308
- 2002
Popolazione dei metadati del registry
Registry.registry_key
- Finalità:archivia la chiave del Registro di sistema associata a un'applicazione o a un componente di sistema.
- Codifica: stringa.
- Esempio: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase
Registry.registry_value_name
- Finalità: archivia il nome del valore del registro associato a un'applicazione o a un componente di sistema.
- Codifica: stringa.
- Esempio: TEMP
Registry.registry_value_data
- Finalità: archiviare i dati associati a un valore del registro.
- Codifica: stringa.
- Esempio: %USERPROFILE%\Local Settings\Temp
Popolazione dei metadati dei risultati di sicurezza
I metadati dei risultati di sicurezza includono dettagli sui rischi per la sicurezza e sulle minacce rilevate da un sistema di sicurezza, nonché le azioni intraprese per mitigare tali rischi e minacce.
SecurityResult.about
- Scopo: fornire una descrizione del risultato relativo alla sicurezza.
- Codifica: sostantivo.
SecurityResult.action
- Finalità:specificare un'azione di sicurezza.
- Codifica: tipo enumerato.
- Valori possibili: Google Security Operations UDM definisce le seguenti azioni di sicurezza:
- CONSENTI
- ALLOW_WITH_MODIFICATION: il file o l'email sono stati disinfettati o riscritti e comunque inoltrati.
- BLOCCA
- QUARANTENA: da conservare per analisi successive (non significa blocco).
- UNKNOWN_ACTION
SecurityResult.action_details
- Finalità: dettagli forniti dal fornitore sull'azione intrapresa a seguito dell'incidente di sicurezza. Le azioni di sicurezza spesso si traducono meglio nel campo UDM Security_Result.action più generale. Tuttavia, potresti dover scrivere le regole per l'esatta descrizione dell'azione fornita dal fornitore.
- Codifica: stringa.
- Esempi: rilasciare, bloccare, decriptare, criptare.
SecurityResult.category
- Finalità: specifica una categoria di sicurezza.
- Codifica: enum.
- Valori possibili: Google Security Operations UDM definisce le seguenti categorie di sicurezza:
- ACL_VIOLATION: tentativo di accesso non autorizzato, incluso il tentativo di accesso a file, servizi web, processi, oggetti web e così via.
- AUTH_VIOLATION: autenticazione non riuscita, ad esempio password errata o autenticazione a due fattori errata.
- DATA_AT_REST: DLP: dati del sensore trovati in una scansione.
- DATA_DESTRUCTION: tentativo di eliminare/eliminare i dati.
- DATA_EXFILTRATION—DLP: trasmissione dei dati del sensore, copia su chiavetta.
- EXPLOIT: tentativi di overflow, codifiche di protocollo errate, ROP, SQL injection e così via, sia basati su rete che su host.
- MAIL_PHISHING: email di phishing, messaggi di chat e così via.
- MAIL_SPAM: email, messaggio e così via spam.
- MAIL_SPOOFING: indirizzo email di origine falsificato e così via.
- NETWORK_CATEGORIZED_CONTENT
- NETWORK_command_AND_CONTROL: se il canale di comando e controllo è noto.
- NETWORK_DENIAL_OF_SERVICE
- NETWORK_MALICIOUS: comando e controllo, exploit di rete, attività sospetta, potenziale reverse tunnel e così via.
- NETWORK_SUSPICIOUS: non correlato alla sicurezza, ad esempio l'URL è collegato a giochi e scommesse e così via.
- NETWORK_RECON: scansione delle porte rilevata da un IDS, indagine da parte di un'applicazione web.
- POLICY_VIOLATION: violazione dei criteri di sicurezza, incluse violazioni delle regole del firewall, del proxy e HIPS o azioni di blocco NAC.
- SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via.
- SOFTWARE_PUA: App potenzialmente indesiderata, come adware e così via.
- SOFTWARE_SUSPICIOUS
- UNKNOWN_CATEGORY
SecurityResult.confidence
- Finalità: specificare l'affidabilità di un evento di sicurezza come stimato dal prodotto.
- Codifica: enum.
- Valori possibili: l'UDM di Google Security Operations definisce le seguenti categorie di affidabilità del prodotto:
- UNKNOWN_CONFIDENCE
- LOW_CONFIDENCE
- MEDIUM_CONFIDENCE
- HIGH_CONFIDENCE
SecurityResult.confidence_details
- Finalità: dettagli aggiuntivi relativi all'affidabilità di un evento di sicurezza secondo le stime del fornitore del prodotto.
- Codifica: stringa.
SecurityResult.priority
- Finalità: specificare una priorità relativa a un evento di sicurezza secondo quanto stimato dal fornitore del prodotto.
- Codifica: enum.
- Valori possibili: Google Security Operations UDM definisce le seguenti categorie di priorità dei prodotti:
- UNKNOWN_PRIORITY
- LOW_PRIORITY
- MEDIUM_PRIORITY
- HIGH_PRIORITY
SecurityResult.priority_details
- Scopo: informazioni specifiche del fornitore sulla priorità dei risultati di sicurezza.
- Codifica: stringa.
SecurityResult.rule_id
- Scopo: identificatore della regola di sicurezza.
- Codifica: stringa.
- Esempi:
- 08123
- 5d2b44d0-5ef6-40f5-a704-47d61d3babbe
SecurityResult.rule_name
- Finalità:nome della regola di sicurezza.
- Codifica: stringa.
- Esempio: BlockInputToOracle.
SecurityResult.severity
- Finalità: gravità di un evento di sicurezza stimata dal fornitore del prodotto utilizzando i valori definiti dall'UDM di Google Security Operations.
- Codifica: enum.
- Valori possibili: l'UDM di Google Security Operations definisce le seguenti gravità del prodotto:
- UNKNOWN_SEVERITY: non dannosa
- INFORMATIVO: non dannoso
- ERRORE: non dannoso
- BASSO - Dannoso
- MEDIO: dannoso
- ALTA - Dannosa
SecurityResult.severity_details
- Finalità: gravità per un evento di sicurezza, stimata dal fornitore del prodotto.
- Codifica: stringa.
SecurityResult.threat_name
- Scopo: nome della minaccia alla sicurezza.
- Codifica: stringa.
- Esempi:
- W32/File-A
- Slammer
SecurityResult.url_back_to_product
- Scopo: URL che indirizza alla console del prodotto di origine per questo evento di sicurezza.
- Codifica: stringa.
Populazione dei metadati utente
User.email_addresses
- Finalità:memorizza gli indirizzi email dell'utente.
- Codifica: stringa ripetuta.
- Esempio: mariorossi@azienda.example.com
User.employee_id
- Finalità: archiviare l'ID dipendente delle Risorse umane per l'utente
- Codifica: stringa.
- Esempio: 11223344.
User.first_name
- Finalità:memorizza il nome dell'utente.
- Codifica: stringa.
- Esempio: Mario.
User.middle_name
- Finalità:memorizza il secondo nome dell'utente.
- Codifica: stringa.
- Esempio: Anthony.
User.last_name
- Finalità:memorizza il cognome dell'utente.
- Codifica: stringa.
- Esempio: Locke.
User.group_identifiers
- Finalità: memorizza gli ID gruppo (GUID, OID LDAP o simili) associati a un utente.
- Codifica: stringa ripetuta.
- Esempio: admin-users.
User.phone_numbers
- Finalità:memorizza i numeri di telefono dell'utente.
- Codifica: stringa ripetuta.
- Esempio: 800-555-0101
User.title
- Finalità: memorizza la qualifica dell'utente.
- Codifica: stringa.
- Esempio:Gestione dei rapporti con i clienti.
User.user_display_name
- Finalità:memorizza il nome visualizzato per l'utente.
- Codifica: stringa.
- Esempio: John Locke.
User.userid
- Finalità:archiviare l'ID utente.
- Codifica: stringa.
- Esempio: jlocke.
User.windows_sid
- Finalità:archivia l'identificatore di sicurezza (SID) di Microsoft Windows associato a un utente.
- Codifica: stringa.
- Esempio: S-1-5-21-1180649209-123456789-3582944384-1064
Popolazione dei metadati delle vulnerabilità
Vulnerability.about
- Finalità: se la vulnerabilità riguarda un sostantivo specifico (ad esempio eseguibile), aggiungilo qui.
- Codifica: sostantivo. Consulta Popolazione dei metadati dei nomi
- Esempio: eseguibile.
Vulnerability.cvss_base_score
- Scopo: punteggio di base per il Common Vulnerability Scoring System (CVSS).
- Codifica: virgola mobile.
- Intervallo: da 0,0 a 10,0
- Esempio: 8,5
Vulnerability.cvss_vector
Finalità: vettore per le proprietà CVSS della vulnerabilità. Un punteggio CVSS è composto dalle seguenti metriche:
- Vettore d'attacco (AV)
- Complessità dell'accesso (AC)
- Autenticazione (Au)
- Impatto sulla riservatezza (C)
- Impatto sull'integrità (I)
- Impatto sulla disponibilità (A)
Per ulteriori informazioni, visita la pagina https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.
Codifica: stringa.
Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C
Vulnerability.cvss_version
- Scopo: versione CVSS per il punteggio di vulnerabilità o il vettore.
- Codifica: stringa.
- Esempio: 3.1
Vulnerability.description
- Finalità: descrizione della vulnerabilità.
- Codifica: stringa.
Vulnerability.first_found
- Finalità: i prodotti che mantengono una cronologia di analisi delle vulnerabilità devono compilare first_found la data in cui è stata rilevata per la prima volta la vulnerabilità per questo asset.
- Codifica: stringa.
Vulnerability.last_found
- Finalità: i prodotti che mantengono una cronologia di analisi delle vulnerabilità devono compilare il campo last_found con l'ora in cui la vulnerabilità per questo asset è stata rilevata più di recente.
- Codifica: stringa.
Vulnerability.name
- Finalità: nome della vulnerabilità.
- Codifica: stringa.
- Esempio: è stata rilevata una versione del sistema operativo non supportata.
Vulnerability.scan_end_time
- Finalità: se la vulnerabilità è stata scoperta durante una scansione delle risorse, compila questo campo con l'ora di fine della scansione. Lascia vuoto questo campo se l'ora di fine non è disponibile o non è applicabile.
- Codifica: stringa.
Vulnerability.scan_start_time
- Finalità: se la vulnerabilità è stata rilevata durante una scansione degli asset, compila questo campo con l'ora in cui è stata avviata la scansione. Lascia vuoto questo campo se l'ora di inizio non è disponibile o non è applicabile.
- Codifica: stringa.
Vulnerability.severity
- Finalità: gravità della vulnerabilità.
- Codifica: tipo enumerato.
- Valori possibili:
- UNKNOWN_SEVERITY
- BASSO
- MEDIO
- ALTO
Vulnerability.severity_details
- Finalità: dettagli sulla gravità specifica del fornitore.
- Codifica: stringa.
Popolazione dei metadati di avviso
idm.is_significant
- Finalità:specifica se visualizzare l'avviso in Enterprise Insights.
- Codifica: booleana
idm.is_alert
- Finalità:identifica se l'evento è un avviso.
- Codifica: booleana
Campi obbligatori e facoltativi in base al tipo di evento
Questa sezione descrive i campi obbligatori e facoltativi da compilare in base al tipo di evento UDM. Per una descrizione di questi campi, consulta l'elenco dei campi del modello dei dati unificato.
EMAIL_TRANSACTION
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal: compila con informazioni sulla macchina che invia l'email da cui proviene il messaggio. Ad esempio, l'indirizzo IP del mittente.
Campi facoltativi:
- about: URL, IP, domini ed eventuali file allegati incorporati negli corpo dell'email.
- securityResult.about: URL, IP e file incorporati nell'email non validi del testo.
- network.email: informazioni su mittente/destinatario dell'email.
- principal: se esistono dati del computer client relativi a chi ha inviato l'email, compilare i dettagli del server nell'entità (ad esempio, processo client, numeri di porta, nome utente e così via).
- target: se sono presenti dati del server email di destinazione, compila il server dettagli nel target (ad esempio, l'indirizzo IP).
- intermediario: se sono presenti dati del server di posta o del proxy di posta, compila i dettagli del server nella posizione intermedia.
Note:
- Non compilare mai principal.email o target.email.
- Compila il campo dell'email solo in security_result.about o network.email.
- Per i risultati di sicurezza di primo livello è generalmente impostato un nome (facoltativo per lo spam).
FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal:
- Almeno un identificatore della macchina.
- (Facoltativo) Completare principal.process con le informazioni sul processo accede al file.
- target:
- Se il file è remoto (ad esempio, condivisione SMB), la destinazione deve includere almeno un identificatore di macchina per la macchina di destinazione, altrimenti tutti gli identificatori automatici devono essere vuoti.
- Compila target.file con le informazioni sul file.
Facoltativamente,
- security_result: descrivi l'attività dannosa rilevata.
- principal.user: compila se sono disponibili informazioni sull'utente e il processo di sviluppo.
FILE_COPY
Campi obbligatori:
- metadata: includi i campi obbligatori come descritto.
- principal:
- Almeno un identificatore di macchina.
- (Facoltativo) Compila principal.process con le informazioni sul metodo che esegue l'operazione di copia del file.
- src:
- Completa src.file con le informazioni sul file di origine.
- Se il file è remoto (ad esempio, condivisione SMB), src deve includere almeno un identificatore di macchina per la macchina di origine in cui è archiviato il file di origine.
- target:
- Completa target.file con le informazioni sul file di destinazione.
- Se il file è remoto (ad esempio una condivisione SMB), il campo target deve includere almeno un identificatore della macchina di destinazione che contiene il file di destinazione.
Campi facoltativi:
- security_result: descrivi l'attività dannosa rilevata.
- principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.
MUTEX_CREATION
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal:
- Almeno un identificatore di macchina.
- Compila a principal.process con informazioni sul processo di creazione il mutex.
- target:
- Compila il campo target.resource.
- Completa target.resource.type con MUTEX.
- Compila target.resource.name con il nome del mutex creato.
Facoltativamente,
- security_result: descrivi l'attività dannosa rilevata.
- principal.user: compila se sono disponibili informazioni sull'utente e il processo di sviluppo.
Esempio di UDM per MUTEX_CREATION
L'esempio seguente illustra come sarebbe un evento di tipo MUTEX_CREATION formattato per l'UDM Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: MUTEX_CREATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "test.altostrat.com"
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
target {
resource {
type: "MUTEX"
name: "test-mutex"
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:
- metadati: informazioni di base sull'evento.
- principal: dettagli su dispositivo e processo.
- target: informazioni sul mutex.
NETWORK_CONNECTION
Campi obbligatori:
- metadata: event_timestamp
- principal: include i dettagli sulla macchina che ha avviato la rete connessione attiva (ad es. origine).
- target: includi dettagli sulla macchina di destinazione, se diversa dal macchina principale.
- network: acquisisci i dettagli della connessione di rete (porte, protocollo, e così via).
Campi facoltativi:
- principal.process e target.process: includono le informazioni relative al processo associato al principale e al target della connessione di rete (se disponibili).
- principal.user e target.user: includono le informazioni sull'utente associate con l'entità e la destinazione della connessione di rete (se disponibili).
NETWORK_HTTP
Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un principale a un server web di destinazione.
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal: rappresenta il client che avvia la richiesta web e include Almeno un identificatore macchina (ad esempio nome host, IP, MAC, proprietario l'identificatore asset) o un identificatore utente (ad esempio, il nome utente). Se una connessione di rete specifica e un numero di porta del client disponibile, è necessario specificare un solo indirizzo IP insieme al numero di porta associati alla connessione di rete (sebbene altri identificatori di macchine per descrivere meglio il dispositivo del partecipante). Se non è presente alcuna fonte la porta sia disponibile, tutti gli indirizzi IP e MAC, gli identificatori di asset e È possibile specificare valori del nome host che descrivono il dispositivo principale.
- target: rappresenta il server web e include le informazioni del dispositivo e facoltativamente un numero di porta. Se è disponibile un numero di porta di destinazione, specifica solo un indirizzo IP oltre al numero di porta associato alla rete (sebbene possano essere forniti più identificatori di macchine per il target). Per target.url, inserisci l'URL a cui è stato eseguito l'accesso.
- network e network.http: include i dettagli sulla rete HTTP
connessione. Devi compilare i seguenti campi:
- network.ip_protocol
- network.application_protocol
- network.http.method
Campi facoltativi:
- about: rappresenta altre entità trovate nella transazione HTTP (ad ad esempio un file caricato o scaricato).
- intermediario: rappresenta un server proxy (se diverso dall'entità) o target).
- metadata: compila gli altri campi dei metadati.
- network: compila gli altri campi della rete.
- network.email: se la connessione di rete HTTP proviene da un URL visualizzato in un messaggio email, compila la rete.email con i dettagli.
- observer: rappresenta uno sniffer passivo (se presente).
- security_result: aggiungi uno o più elementi al campo security_result per rappresentare l'attività dannosa rilevata.
Esempio UDM per NETWORK_HTTP
L'esempio seguente illustra come un evento antivirus Sophos di tipo NETWORK_HTTP verrà convertito nel formato UDM di Google Security Operations.
Di seguito è riportato l'evento antivirus originale di Sophos:
date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA
Ecco come formattare le stesse informazioni in Proto3 utilizzando Google Security Operations Sintassi UDM:
metadata {
event_timestamp: "2013-08-07T13:27:41+00:00"
event_type: NETWORK_HTTP
product_name: "Sophos Antivirus"
product_log_id: "030906208001"
}
principal {
hostname: "CC500ia"
asset_id: "Sophos.AV:C070123456-ABCDE"
ip: "10.10.2.10"
port: 60671
user { userid: "john.smith" }
}
target {
hostname: "altostrat.fr"
ip: "203.0.113.31"
port: 80
url: "altostrat.fr/img/logo.gif"
}
network {
ip_protocol: TCP
}
security_result {
about {
url: "altostrat.fr/img/logo.gif"
category: SOFTWARE_MALICIOUS
category_details: "Virus"
threat_name: "TR/ElderadoB.A.78"
severity: HIGH # Google Security Operations-normalized severity
severity_details: "Critical" # Vendor-specific severity string
}
}
additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }
Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:
- metadati: informazioni di base sull'evento.
- principal: dispositivo di sicurezza che ha rilevato l'evento.
- target: il dispositivo che ha ricevuto il software dannoso.
- network: informazioni di rete relative all'host dannoso.
- security_result: dettagli sulla sicurezza del software dannoso.
- aggiuntive: informazioni sul fornitore che non rientrano nell'ambito dell'UDM.
PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal:
- Almeno un identificatore di macchina.
- Per gli eventi di inserimento ed arresto dei processi, se disponibili: principal.process deve includere informazioni sulla procedura avviare l'azione (ad esempio, per un evento di lancio di un processo, principal.process deve includere i dettagli sul processo padre se disponibile).
- target:
- target.process: include informazioni sul processo in corso inseriti, aperti, avviati o terminati.
- Se il processo di destinazione è remoto, il target deve includerne almeno uno identificatore di macchina per la macchina di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore di asset di terze parti).
Campi facoltativi:
- security_result: descrivi l'attività dannosa rilevata.
- principal.user e target.user: compilano il processo iniziale. (entità) e il processo target, se le informazioni utente sono disponibili.
Esempio UDM per PROCESS_LAUNCH
L'esempio seguente illustra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM di Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: PROCESS_LAUNCH
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "altostrat.com"
}
target {
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:
- metadati: informazioni di base sull'evento.
- principal: dettagli del dispositivo.
- target: dettagli del processo.
PROCESS_MODULE_LOAD
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal:
- Almeno un identificatore di macchina.
- principal.process: processo in fase di caricamento del modulo.
- target:
- target.process: include informazioni sul processo.
- target.process.file: modulo caricato (ad esempio, la DLL o ).
Campi facoltativi:
- security_result: descrivi l'attività dannosa rilevata.
- principal.user: da compilare se sono disponibili informazioni sull'utente relative al processo.
Esempio UDM per PROCESS_MODULE_LOAD
L'esempio seguente illustra come formattare un PROCESS_MODULE_LOAD utilizzando la sintassi UDM di Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: PROCESS_MODULE_LOAD
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "example.com"
process {
pid: "0x123"
}
}
target {
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:
- metadati: informazioni di base sull'evento.
- principal: dettagli sul dispositivo e sul processo di caricamento del modulo.
- target: dettagli del processo e del modulo.
PROCESS_PRIVILEGE_ESCALATION
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal:
- Almeno un identificatore di macchina.
- principal.process: processo del caricamento del modulo.
- principal.user: utente che carica il modulo.
Campi facoltativi:
- security_result: descrivi l'attività dannosa rilevata.
Esempio UDM per PROCESS_PRIVILEGE_ESCALATION
L'esempio seguente illustra come formattare un Evento PROCESS_PRIVILEGE_ESCALATION con la sintassi UDM di Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: PROCESS_PRIVILEGE_ESCALATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "example.com"
process {
pid: "0x123"
}
user {
userid: "test"
windows_sid: "ABCDEFGH-123456789-1111111-1000"
}
}
target {
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:
- metadati: informazioni di base sull'evento.
- principal: dettagli sul dispositivo, sull'utente e sul processo di caricamento in maggior dettaglio più avanti in questo modulo.
- target: dettagli su processo e modulo.
REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal:
- Almeno un identificatore della macchina.
- Se la modifica del Registro di sistema viene eseguita da un processo in modalità utente, principal.process deve includere informazioni sul processo che modifica il Registro di sistema.
- Se un processo kernel esegue la modifica del registro, principal non deve includere informazioni sul processo.
- target:
- target.registry: se il registro di destinazione è remoto, la destinazione deve dovrai includere almeno un identificatore per la macchina di destinazione (ad esempio, indirizzo IP, MAC, nome host o identificatore di asset di terze parti).
- target.registry.registry_key: tutti gli eventi del registry devono includere il parametro chiave del Registro di sistema interessata.
Facoltativamente,
- security_result::descrivi l'attività dannosa rilevata. Ad esempio, una chiave del Registro di sistema non valida.
- principal.user: inserisci se sono disponibili informazioni sull'utente e il processo di sviluppo.
Esempio UDM per REGISTRY_MODIFICATION
L'esempio seguente illustra come formattare una REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM di Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: REGISTRY_MODIFICATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "test-win"
user {
userid: "test"
windows_sid: "ABCDEFGH-123456789-1111111-1000"
}
process {
pid: "0xc45"
file {
full_path: "C:\\Windows\\regedit.exe"
}
}
}
target {
registry {
registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
registry_value_name: "Description"
registry_value_data: "For extending battery life."
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:
- metadata: informazioni di contesto sull'evento.
- principal: dettagli su dispositivo, utente e processo.
- target: voce del registro interessata dalla modifica.
SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK
Campi obbligatori:
- estensioni: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la usando il campo extensions.vuln.
- metadata: event_timestamp
- observer: acquisisci informazioni sullo scanner. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo osservatore. Per un scanner locale, lascia vuoto.
- target: acquisisci informazioni sulla macchina che contiene l'oggetto scansione. Se viene eseguita la scansione di un file, target.file deve acquisire informazioni sul file scansionato. Se è in corso la scansione di un processo, target.process deve acquisire informazioni sul processo sottoposto a scansione.
Campi facoltativi:
- target: dettagli dell'utente relativi all'oggetto target (ad esempio, creatore del file) o del proprietario del processo) devono essere acquisiti in target.user.
- security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCAN_HOST
L'esempio seguente illustra come viene formattato un evento di tipo SCAN_HOST per l'UDM di Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1571386978
}
event_type: SCAN_HOST
vendor_name: "vendor"
product_name: "product"
product_version: "1.0"
}
target: {
hostname: "testHost"
asset_id: "asset"
ip: "192.168.200.200"
}
observer: {
hostname: "testObserver"
ip: "192.168.100.100"
}
security_result: {
severity: LOW
confidence: HIGH_CONFIDENCE
}
Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:
- metadati: informazioni di base sull'evento.
- target: dispositivo che ha ricevuto il software dannoso.
- osservatore: il dispositivo che rileva e segnala l'evento in questione.
- security_result: dettagli sulla sicurezza del software dannoso.
SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED
Campi obbligatori:
- principal: per tutti gli eventi SCHEDULED_TASK, l'entità deve includere un identificatore di macchina e un identificatore utente.
- target: la destinazione deve includere una risorsa valida e un tipo di risorsa definito come "ATTIVITÀ".
Campi facoltativi:
- security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION
L'esempio seguente illustra come un evento di tipo SCHEDULED_TASK_CREATION potrebbe essere formattato per l'UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1577577998
}
event_type: SCHEDULED_TASK_CREATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal: {
hostname: "fake-host.altostrat.com"
user: {
userid: "TestUser"
windows_sid: "AB123CDE"
}
process {
pid: "1234"
}
}
target: {
resource: {
type: "TASK"
name: "\\Adobe Acrobat Update Task"
}
}
intermediary: {
hostname: "fake-intermediary.altostrat.com"
}
security_result: {
rule_name: "EventID: 6789"
summary: "A scheduled task was created."
severity: INFORMATIONAL
}
Come mostrato in questo esempio, l'evento è stato suddiviso nel seguente UDM: categorie:
- metadati: informazioni di base sull'evento.
- principal: il dispositivo che ha pianificato l'attività sospetta.
- target: software preso di mira dall'attività sospetta.
- intermediario: intermediario coinvolto nell'attività sospetta.
- security_result: dettagli sulla sicurezza dell'attività sospetta.
SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION
Campi obbligatori:
- principal: deve essere presente, non vuoto e includere un identificatore della macchina.
- target: deve essere presente, non vuoto e includere una risorsa con il tipo specificato come SETTING
Esempio UDM per il tipo di evento SETTING_MODIFICATION
L'esempio seguente illustra come verrà formattato un evento di tipo SETTING_MODIFICATION per l'UDM Google SecOps:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: SETTING_MODIFICATION
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "test.win.com"
}
target {
resource {
type: "SETTING"
name: "test-setting"
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:
- metadati: informazioni di base sull'evento.
- principal: informazioni sul dispositivo su cui è avvenuta la modifica dell'impostazione.
- target: dettagli della risorsa.
SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP
Campi obbligatori:
- target: includi l'identificatore utente e specifica il processo o l'applicazione.
- principal: includi almeno un identificatore macchina (INDIRIZZO IP o MAC, nome host, o identificatore della risorsa).
Esempio UDM per SERVICE_UNSPECIFIED
L'esempio seguente illustra come verrebbe fatto un evento di tipo SERVICE_UNSPECIFIED deve essere formattato per l'UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1595656745
nanos: 832000000
}
event_type: SERVICE_UNSPECIFIED
vendor_name: "Preempt"
product_name: "PREEMPT_AUTH"
product_event_type: "SERVICE_ACCESS"
description: "Remote Procedures (RPC)"
}
principal: {
hostname: "XXX-YYY-ZZZ"
ip: "10.10.10.10"
}
target: {
hostname: "TestHost"
user: {
userid: "ORG\\User"
user_display_name: "user name"
}
application: "application.name"
resource: {
type: "Service Type"
name: "RPC"
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:
- metadata: informazioni di contesto sull'evento.
- principal: dettagli del dispositivo e della località.
- target: nome host e identificatore utente.
- applicazione: nome applicazione e tipo di risorsa.
STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal: almeno un identificatore macchina (INDIRIZZO IP o MAC, nome host, o identificatore della risorsa).
Esempio UDM per STATUS_HEARTBEAT
L'esempio seguente illustra come verrebbe fatto un evento di tipo STATUS_HEARTBEAT deve essere formattato per l'UDM Google Security Operations:
metadata: {
event_timestamp: {
seconds: 1588180305
}
event_type: STATUS_HEARTBEAT
vendor_name: "DMP"
product_name: "ENTRE"
}
principal: {
hostname: "testHost"
location: {
name: "Building 1"
}
}
intermediary: {
ip: "8.8.8.8"
}
security_result: {
summary: "Event - Locked"
description: "description"
severity: LOW
severity_details: "INFO"
}
Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:
- metadata: informazioni di contesto sull'evento.
- principal: dettagli del dispositivo e della posizione.
- intermediary: indirizzo IP del dispositivo.
- security_result: dettagli del risultato sulla sicurezza.
SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE
Campi obbligatori:
- principal: includi un identificatore utente per l'utente che ha eseguito la sul log e un identificatore di macchina per la macchina in cui vengono archiviati o sono stati archiviati (nel caso della cancellazione dei dati).
Esempio UDM per SYSTEM_AUDIT_LOG_WIPE
L'esempio seguente illustra come viene formattato un evento di tipo SYSTEM_AUDIT_LOG_WIPE per l'UDM di Google Security Operations:
metadata {
event_timestamp: "2020-01-01T13:27:41+00:00"
event_type: SYSTEM_AUDIT_LOG_WIPE
vendor_name: "Microsoft"
product_name: "Windows"
}
principal {
hostname: "altostrat.com"
user {
userid: "test"
windows_sid: "ABCDEFGH-123456789-1111111-1000"
}
}
Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:
- metadata: informazioni di contesto sull'evento.
- principal: dettagli dispositivo e utente.
USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal: se l'account utente viene modificato da una posizione remota, popola l'entità con informazioni sulla macchina da cui l'utente ha avuto origine dalla modifica.
- target: compila target.user con le informazioni sull'utente che è stato modificato.
- intermediario: per gli accessi SSO, l'intermediario deve includere almeno una macchina per il server SSO, se disponibile.
USER_COMMUNICATION
Campi obbligatori:
- principal: compila il campo principal.user con i dettagli associati con comunicazioni avviate dall'utente (mittente), ad esempio un messaggio di chat in Google. Chat o Slack, una videoconferenza o una conferenza vocale in Zoom o Google Meet oppure un VoIP connessione.
Campi facoltativi:
- target: (consigliato) Compila il campo target.user con informazioni sull'utente di destinazione (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con informazioni su l'applicazione di comunicazione cloud di destinazione.
USER_CREATION, USER_DELETION
Campi obbligatori:
- metadata: event_timestamp
- principal: include informazioni sulla macchina da cui è stata originata la richiesta di creazione o eliminazione dell'utente. Per la creazione di utenti locali o l'eliminazione, principal deve includere almeno un identificatore di macchina per dalla macchina di origine.
- target:località in cui è stato creato l'utente. Deve includere anche l'utente informazioni (ad esempio, target.user).
Campi facoltativi:
- principal: dettagli sull'utente e sul processo per la macchina su cui l'utente è stata avviata una richiesta di creazione o eliminazione.
- target: informazioni sulla macchina di destinazione (se diversa da quella macchina principale).
USER_LOGIN, USER_LOGOUT
Campi obbligatori:
- metadata: includi i campi obbligatori.
- principal: per le attività utente da remoto (ad esempio, l'accesso remoto), popola l'entità con informazioni sulla macchina che ha originato l'utente attività. Per le attività locali degli utenti (ad esempio, l'accesso locale), non impostare principale.
- target: compila target.user con informazioni sull'utente di cui connesso o disconnesso. Se l'entità non è impostata (ad esempio, accesso locale), il target deve includere almeno un identificatore di macchina che lo identifica in una macchina virtuale. Per le attività utente da computer a macchina (ad esempio, accesso remoto, SSO, servizio Cloud, VPN), la destinazione deve includere informazioni sulla destinazione macchina o server VPN di destinazione.
- intermediario: per gli accessi SSO, l'intermediario deve includere almeno una macchina per il server SSO, se disponibile.
- network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti dettagli disponibili in network.ip_protocol, network.application_protocol, e network.http.
- Estensione authentication: deve identificare il tipo di sistema di autenticazione a cui è correlato l'evento (ad esempio macchina, SSO o VPN) e meccanismo utilizzato (nome utente e password, OTP e così via).
- security_result: aggiungi un campo security_result per rappresentare lo stato dell'accesso in caso di errore. Specifica security_result.category con AUTH_VIOLATION se l'autenticazione non riesce.
USER_RESOURCE_ACCESS
Campi obbligatori:
- principal: compila il campo principal.user con i dettagli su tenta di accedere a una risorsa cloud (ad esempio, un caso Salesforce, calendario di Office 365, documento Google o ticket ServiceNow).
- target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.
Campi facoltativi:
- target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.
USER_RESOURCE_CREATION, USER_RESOURCE_DELETION
Campi obbligatori:
- principal: compila il campo principal.user con i dettagli associati con l'utente creato all'interno di una risorsa cloud (ad esempio, un case, calendario di Office 365, documento Google o ticket ServiceNow).
- target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.
Campi facoltativi:
- target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.
USER_RESOURCE_UPDATE_CONTENT
Campi obbligatori:
- principal: compila il campo principal.user con i dettagli associati con l'utente il cui contenuto è stato aggiornato all'interno di una risorsa cloud (ad ad esempio una richiesta Salesforce, un calendario di Office 365, un documento Google o ServiceNow. ticket).
- target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.
Campi facoltativi:
- target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.
USER_RESOURCE_UPDATE_PERMISSIONS
Campi obbligatori:
- principal: compila il campo principal.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud (ad esempio una richiesta Salesforce, un calendario di Office 365, un documento Google o un ticket ServiceNow).
- target: compila il campo target.resource con informazioni su la risorsa cloud di destinazione.
Campi facoltativi:
- target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.
USER_UNCATEGORIZED
Campi obbligatori:
- metadata: event_timestamp
- principal: include informazioni sulla macchina da cui è stata originata la richiesta di creazione o eliminazione dell'utente. Per la creazione di utenti locali o l'eliminazione, principal deve includere almeno un identificatore di macchina per dalla macchina di origine.
- target:località in cui è stato creato l'utente. Deve includere anche l'utente informazioni (ad esempio, target.user).
Campi facoltativi:
- principal: dettagli sull'utente e sul processo per la macchina su cui l'utente è stata avviata una richiesta di creazione o eliminazione.
- target: informazioni sulla macchina di destinazione (se diversa da quella macchina principale).