Guía de uso del modelo de datos unificado

En este documento, se proporciona una descripción más detallada de los campos del esquema del modelo de datos unificado (UDM) y de aquellos obligatorios frente a los opcionales según el tipo de evento. Para la evaluación del motor de reglas, el prefijo comienza udm., mientras que el prefijo del normalizador basado en la configuración (CBN) comienza event.idm.read_only_udm.

Propagación de metadatos de eventos

En la sección de metadatos de los eventos de UDM, se almacena información general sobre cada evento.

Metadata.event_type

  • Propósito: Especifica el tipo del evento. Si un evento tiene varios tipos posibles, este valor debe especificar el más específico.
  • Obligatorio:
  • Codificación: Debe ser uno de los tipos enumerados de event_type de UDM predefinidos.
  • Valores posibles: A continuación, se enumeran todos los valores posibles para event_type en la UDM.

Eventos de correo electrónico:

  • EMAIL_TRANSACTION
  • EMAIL_UNCATEGORIZED

Eventos de archivo realizados en un extremo:

  • FILE_UNCATEGORIZED
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_READ (por ejemplo, leer un archivo de contraseña)
  • FILE_COPY (por ejemplo, copiar un archivo a una memoria miniatura)
  • FILE_OPEN (por ejemplo, abrir un archivo puede indicar una violación de la seguridad)

Eventos que no pertenecen a ninguna otra categoría, incluidos los eventos de Windows sin clasificar.

  • GENERIC_EVENT

Eventos de exclusión mutua (objeto de exclusión mutua):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetría de red, incluidas las cargas útiles de protocolo sin procesar, como DHCP y DNS, así como resúmenes de protocolos como HTTP, SMTP y FTP y eventos de flujo y conexión de Netflow y firewalls.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (por ejemplo, estadísticas de flujo agregadas de Netflow)
  • NETWORK_CONNECTION (por ejemplo, detalles de conexión de red de un firewall)
  • NETWORK_FTP
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_HTTP
  • NETWORK_SMTP

Cualquier evento que pertenezca a un proceso, como el inicio de un proceso, un proceso que crea algo malicioso, un proceso que se inyecta en otro proceso, el cambio de una clave de registro, la creación de un archivo malicioso en el disco, etcétera.

  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Usa los eventos REGISTRY en lugar de los eventos SETTING cuando trabajes con eventos de registro específicos de Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Son eventos orientados al análisis. Incluye análisis a pedido y detecciones de comportamiento realizadas por productos de seguridad de endpoints (EDR, AV, DLP). Solo se usa cuando se adjunta un SecurityResult a otro tipo de evento (como PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tareas programadas (Programador de tareas de Windows, cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de servicio:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_START
  • SERVICE_STOP

Eventos de configuración, incluso cuando se cambia una configuración del sistema en un extremo. Para conocer los requisitos de los eventos, consulta aquí.

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_MODIFICATION
  • SETTING_DELETION

Mensajes de estado de productos de seguridad para indicar que los agentes están activos y enviar la versión, la huella digital y otros tipos de datos.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica que el producto está activo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (actualización de software o huella digital)

Eventos del registro de auditoría del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventos de actividad de autenticación de usuarios:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (por ejemplo, cuando un usuario accede físicamente a un sitio)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Propósito: Codifica la marca de tiempo GMT cuando la infraestructura de recopilación local del proveedor recopiló el evento.
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: “2019-09-10T20:32:31-08:00”
    • Formato proto3: “2012-04-23T18:25:43.511Z”

Metadata.event_timestamp

  • Propósito: Codifica la marca de tiempo GMT cuando se generó el evento.
  • Obligatorio:
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Propósito: Descripción del evento legible por humanos.
  • Codificación: String alfanumérica, se permite la puntuación, 1,024 bytes como máximo
  • Ejemplo: Se bloqueó el archivo c:\bar\foo.exe para que no pueda acceder al documento sensible c:\documents\earnings.docx.

Metadata.product_event_type

  • Propósito: Nombre o tipo de evento corto, descriptivo, legible por humanos y específico del producto.
  • Codificación: String alfanumérica, se permite la puntuación, 64 bytes como máximo.
  • Ejemplos:
    • Evento de creación de registros
    • ProcessRollUp
    • Se detectó una elevación de privilegios
    • Software malicioso bloqueado

Metadata.product_log_id

  • Propósito: Codifica un identificador de evento específico del proveedor para identificar de manera inequívoca el evento (un GUID). Los usuarios pueden usar este identificador para buscar el evento en cuestión en la consola, que es propiedad del proveedor.
  • Codificación: Distingue mayúsculas de minúsculas, cadena alfanumérica, puntuación permitida, 256 bytes como máximo.
  • Ejemplo: ABcd1234-98766

Metadata.product_name

  • Propósito: Especifica el nombre del producto.
  • Codificación: Distingue mayúsculas de minúsculas, cadena alfanumérica, puntuación permitida, 256 bytes como máximo.
  • Ejemplos:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Objetivo: Especifica la versión del producto.
  • Codificación: string alfanumérica, puntos y guiones permitidos, 32 bytes como máximo
  • Ejemplos:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Propósito: Es la URL que vincula a un sitio web relevante donde puedes ver más información sobre este evento específico (o la categoría de evento general).
  • Codificación: URL RFC 3986 válida con parámetros opcionales, como información del puerto, etc. Debe tener un prefijo de protocolo antes de la URL (por ejemplo, https:// o http://).
  • Ejemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Propósito: Especifica el nombre del proveedor del producto.
  • Codificación: Distingue mayúsculas de minúsculas, cadena alfanumérica, puntuación permitida, 256 bytes como máximo.
  • Ejemplos:
    • CrowdStrike
    • Symantec

Población de metadatos de sustantivos

En esta sección, la palabra sustantivo es un término general usado para representar las entidades. principal, src, target, intermediary, observer y about. Estas entidades tienen atributos en común, pero representan objetos diferentes en un evento. Para obtener más información sobre las entidades y lo que cada una representa en un evento, consulta cómo dar formato a los datos de registro como UDM.

Noun.asset_id

  • Propósito: Es el identificador de dispositivo único específico del proveedor (por ejemplo, un GUID que se genera cuando se instala software de seguridad de extremos en un dispositivo nuevo que se usa para hacer un seguimiento de ese dispositivo único a lo largo del tiempo).
  • Codificación: VendorName.ProductName:ID en el que VendorName.ProductName:ID no distingue mayúsculas de minúsculas* *nombre del proveedor, como “Carbon Black”; VendorName.ProductName:ID es un nombre del producto que no distingue mayúsculas de minúsculas, como “Response” o "Endpoint Protection", y el ID es un identificador de cliente específico del proveedor que es único a nivel global dentro del entorno de su cliente (por ejemplo, un GUID o valor único que identifica un dispositivo único). VendorName y ProductName son alfanuméricos y no deben tener más de 32 caracteres. El ID puede tener un máximo de 128 caracteres y puede incluir caracteres alfanuméricos, guiones y puntos.
  • Ejemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Propósito: Dirección de correo electrónico
  • Codificación: Formato de dirección de correo electrónico estándar.
  • Ejemplo: juan@prueba.altostrat.com

Noun.file

Noun.hostname

  • Propósito: Campo de nombre de host o nombre de dominio del cliente. No incluyas si hay una URL presente.
  • Codificación: Es un nombre de host RFC 1123 válido.
  • Ejemplos:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Propósito: Sistema operativo de la plataforma.
  • Codificación: Enumeración
  • Valores posibles:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Propósito: Nivel de parche del sistema operativo de la plataforma.
  • Codificación: Es una string alfanumérica con puntuación, con un máximo de 64 caracteres.
  • Ejemplo: Compilación 17134.48

Noun.platform_version

  • Propósito: La versión del sistema operativo de la plataforma.
  • Codificación: Es una string alfanumérica con puntuación, con un máximo de 64 caracteres.
  • Ejemplo: Microsoft Windows 10 versión 1803

Noun.process

Noun.ip

  • Propósito:
    • Dirección IP única asociada con una conexión de red.
    • Una o más direcciones IP asociadas con el dispositivo del participante en el momento del evento (por ejemplo, si un producto EDR conoce todas las direcciones IP asociadas con un dispositivo, puede codificarlas dentro de los campos de IP).
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.
  • Repetibilidad:
    • Si un evento describe una conexión de red específica (por ejemplo, srcip:srcport > dstip:dstport), el proveedor debe proporcionar solo una dirección IP.
    • Si un evento describe una actividad general que ocurre en el dispositivo de un participante, pero no una conexión de red específica, el proveedor puede proporcionar todas las direcciones IP asociadas para el dispositivo en el momento del evento.
  • Ejemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Propósito: Número de puerto de red de origen o de destino cuando se describe una conexión de red específica dentro de un evento.
  • Codificación: Es un número de puerto TCP/IP válido del 1 al 65,535.

  • Ejemplos:

    • 80
    • 443

Noun.mac

  • Propósito: Una o más direcciones MAC asociadas a un dispositivo.
  • Codificación: Es una dirección MAC válida (EUI-48) en ASCII.
  • Repetibilidad: el proveedor puede proporcionar todas las direcciones MAC asociadas al dispositivo en el momento del evento.
  • Ejemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Propósito: Dominio al que pertenece el dispositivo (por ejemplo, el dominio de Windows).
  • Codificación: Es una string de nombre de dominio válida (128 caracteres como máximo).
  • Ejemplo: corp.altostrat.com

Noun.registry

Noun.url

  • Propósito: URL estándar
  • Codificación: URL (RFC 3986). Debe tener un prefijo de protocolo válido (por ejemplo, https:// o ftp://). Debe incluir el dominio y la ruta de acceso completos. Puede incluir los parámetros de la URL.
  • Ejemplo: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Propagación de metadatos de autenticación

Authentication.AuthType

  • Propósito: Tipo de sistema con el que está asociado un evento de autenticación (UDM de Google Security Operations).
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: Autenticación de máquina
    • FÍSICO: Autenticación física (por ejemplo, un lector de insignias)
    • SSO
    • TACACS: protocolo de la familia TACACS para la autenticación de sistemas en red (por ejemplo, TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Propósito: Describe el estado de autenticación de un usuario o una credencial específica.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_AUTHENTICATION_STATUS: Estado de autenticación predeterminado
    • ACTIVO: El método de autenticación se encuentra en estado activo.
    • SUSPENDED: El método de autenticación está en estado suspendido o inhabilitado.
    • DELETED: se borró el método de autenticación
    • NO_ACTIVE_CREDENTIALS: el método de autenticación no tiene credenciales activas.

Authentication.auth_details

  • Propósito: Detalles de autenticación definidos por el proveedor.
  • Codificación: string.

Authentication.Mechanism

  • Propósito: Mecanismos que se usan para la autenticación.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • MECHANISM_UNSPECIFIED: mecanismo de autenticación predeterminado.
    • BADGE_READER
    • BATCH: autenticación por lotes
    • CACHED_INTERACTIVE: autenticación interactiva con credenciales almacenadas en caché.
    • HARDWARE_KEY
    • SER LOCAL
    • MECHANISM_OTHER: otro mecanismo que no se define aquí.
    • RED: Autenticación de la red.
    • NETWORK_CLEAR_TEXT: autenticación de texto no encriptado de la red
    • NEW_CREDENTIALS: Autenticación con credenciales nuevas.
    • OTP
    • REMOTO: Autenticación remota
    • REMOTE_INTERACTIVE: RDP, servicios de terminal, computación de red virtual (VNC), etcétera
    • SERVICE: Autenticación de servicio.
    • DESBLOQUEAR: Autenticación de desbloqueo manual interactivo.
    • USERNAME_PASSWORD

Propagación de metadatos de DHCP

Los campos de metadatos del protocolo de control de host dinámico (DHCP) capturan la información de registro del protocolo de administración de redes DHCP.

Dhcp.client_hostname

  • Propósito: Nombre de host para el cliente. Para obtener más información, consulta RFC 2132, Opciones de DHCP y extensiones de proveedores de BOOTP.
  • Codificación: string.

Dhcp.client_identifier

  • Propósito: Identificador de cliente Para obtener más información, consulta RFC 2132, Opciones de DHCP y extensiones de proveedores de BOOTP.
  • Codificación: Bytes.

Dhcp.file

  • Propósito: Es el nombre de archivo de la imagen de arranque.
  • Codificación: string.

Dhcp.flags

  • Propósito: Es el valor del campo de marcas de DHCP.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.hlen

  • Propósito: Longitud de la dirección del hardware.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.hops

  • Propósito: Recuento de saltos de DHCP.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.htype

  • Propósito: Tipo de dirección de hardware.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.lease_time_seconds

  • Propósito: Tiempo de concesión solicitado por el cliente para una dirección IP en segundos. Para obtener más información, consulta RFC 2132, Opciones de DHCP y extensiones de proveedores de BOOTP.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.opcode

  • Propósito: Código de operación BOOTP (consulta la sección 3 del RFC 951).
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Propósito: Identificador de cliente Para obtener más información, consulta RFC 2132, Opciones de DHCP y extensiones de proveedores de BOOTP.
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.seconds

  • Propósito: Segundos transcurridos desde que el cliente comenzó el proceso de adquisición o renovación de la dirección.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.sname

  • Propósito: Nombre del servidor desde el que el cliente solicitó iniciar.
  • Codificación: string.

Dhcp.transaction_id

  • Propósito: ID de transacción del cliente.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.type

  • Propósito: Tipo de mensaje DHCP. Consulta RFC 1533 para obtener más información.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_MESSAGE_TYPE
    • DESCUBRE
    • OFERTA
    • SOLICITUD
    • RECHAZAR
    • Conf.
    • NAK
    • RELEASE
    • INFORMAR
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Propósito: Dirección IP para el hardware del cliente.
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.ciaddr

  • Propósito: Dirección IP para el cliente.
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.giaddr

  • Propósito: Dirección IP para el agente de retransmisión.
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.siaddr

  • Propósito: Dirección IP para el próximo servidor de arranque.
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.yiaddr

  • Propósito: Tu dirección IP.
  • Codificación: Es una dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Propagación de metadatos de opción de DHCP

Los campos de metadatos de opciones de DHCP capturan la información de registro de las opciones de DHCP.

Option.code

  • Propósito: Almacena el código de opción DHCP. Para obtener más información, consulta RFC 1533, Opciones de DHCP y extensiones de proveedores de BOOTP.
  • Codificación: Número entero de 32 bits sin firma.

Option.data

  • Propósito: Almacena los datos de la opción DHCP. Para obtener más información, consulta RFC 1533, Opciones de DHCP y extensiones de proveedores de BOOTP.
  • Codificación: Bytes.

Propagación de metadatos de DNS

Los campos de metadatos de DNS capturan información relacionada con solicitudes de DNS y paquetes de respuesta. Tienen una correspondencia uno a uno con los datos encontrados en los datagramas de solicitud y respuesta de DNS.

Dns.authoritative

  • Propósito: Se establece como verdadero para servidores DNS autorizados.
  • Codificación: Booleano.

Dns.id

  • Propósito: Almacena el identificador de consulta de DNS.
  • Codificación: Número entero de 32 bits.

Dns.response

  • Propósito: Se establece como verdadero si el evento es una respuesta DNS.
  • Codificación: Booleano.

Dns.opcode

  • Propósito: Almacena el código de operación de DNS que se usa para especificar el tipo de consulta de DNS (estándar, inversa, estado del servidor, etcétera).
  • Codificación: Número entero de 32 bits.

Dns.recursion_available

  • Propósito: Se establece como verdadero si hay una búsqueda de DNS recurrente disponible.
  • Codificación: Booleano.

Dns.recursion_desired

  • Propósito: Se establece como verdadero si se solicita una búsqueda de DNS recursiva.
  • Codificación: Booleano.

Dns.response_code

  • Propósito: Almacena el código de respuesta de DNS según lo definido en RFC 1035, Nombres de dominio: implementación y especificación.
  • Codificación: Número entero de 32 bits.

Dns.truncated

  • Propósito: Se establece como verdadero si se trata de una respuesta DNS truncada.
  • Codificación: Booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Propagación de metadatos de preguntas de DNS

Los campos de metadatos de preguntas de DNS capturan la información contenida en la sección de preguntas de un mensaje de protocolo de dominio.

Question.name

  • Propósito: Almacena el nombre de dominio.
  • Codificación: string.

Question.class

  • Propósito: Almacena el código que especifica la clase de la consulta.
  • Codificación: Número entero de 32 bits.

Question.type

  • Propósito: Almacena el código que especifica el tipo de consulta.
  • Codificación: Número entero de 32 bits.

Propagación de metadatos de registros de recursos DNS

Los campos de metadatos del registro de recursos de DNS capturan la información contenida en el registro de recursos de un mensaje de protocolo de dominio.

ResourceRecord.binary_data

  • Propósito: Almacena los bytes sin procesar de cualquier cadena que no sea UTF8 y que se pueda incluir como parte de una respuesta DNS. Este campo solo se debe utilizar si los datos de respuesta devueltos por el servidor DNS contienen datos que no son UTF8. De lo contrario, coloca la respuesta DNS en el campo de datos a continuación. Este tipo de información se debe almacenar aquí y no en ResourceRecord.data.

  • Codificación: Bytes.

ResourceRecord.class

  • Propósito: Almacena el código que especifica la clase del registro de recursos.
  • Codificación: Número entero de 32 bits.

ResourceRecord.data

  • Propósito: Almacena la carga útil o la respuesta a la pregunta de DNS para todas las respuestas codificadas en formato UTF-8. Por ejemplo, el campo de datos podría mostrar la dirección IP de la máquina a la que hace referencia el nombre de dominio. Si el registro de recursos es para un tipo o una clase diferente, puede contener otro nombre de dominio (cuando un nombre de dominio se redirecciona a otro nombre de dominio). Los datos se deben almacenar tal como están en la respuesta de DNS.
  • Codificación: string.

ResourceRecord.name

  • Propósito: Almacena el nombre del propietario del registro de recursos.
  • Codificación: string.

ResourceRecord.ttl

  • Propósito: Almacena el intervalo de tiempo durante el cual se puede almacenar en caché el registro de recursos antes de que se vuelva a consultar la fuente de la información.
  • Codificación: Número entero de 32 bits.

ResourceRecord.type

  • Propósito: Almacena el código que especifica el tipo de registro de recursos.
  • Codificación: Número entero de 32 bits.

Propagación de metadatos de correo electrónico

La mayoría de los campos de metadatos del correo electrónico capturan las direcciones de correo electrónico incluidas en el encabezado del mensaje y deben cumplir con el formato de dirección de correo electrónico estándar (local-mailbox@domain) según lo definido en RFC 5322. Por ejemplo, francisco@correo.example.com.

Email.from

  • Propósito: Almacena la dirección de correo electrónico de.
  • Codificación: string.

Email.reply_to

  • Propósito: Almacena la dirección de correo electrónico reply_to.
  • Codificación: string.

Email.to

  • Propósito: Almacena las direcciones de correo electrónico to.
  • Codificación: string.

Email.cc

  • Propósito: Almacena las direcciones de correo electrónico cc.
  • Codificación: string.

Email.bcc

  • Propósito: Almacena las direcciones de correo electrónico Cco.
  • Codificación: string.

Email.mail_id

  • Propósito: Almacena el ID de correo electrónico (o mensaje).
  • Codificación: string.
  • Ejemplo: 192544.132632@email.example.com

Email.subject

  • Propósito: Almacena el asunto del correo electrónico.
  • Codificación: string.
  • Ejemplo: "Lee este mensaje".

Propagación de metadatos de extensiones

Tipos de eventos con metadatos de primera clase que aún no están categorizados por la UDM de Google Security Operations. Extensions.auth

  • Propósito: Extensión de los metadatos de autenticación
  • Codificación: string.
  • Ejemplos:
    • Metadatos de la zona de pruebas (todos los comportamientos exhibidos por un archivo, por ejemplo, FireEye).
    • Datos de control de acceso a la red (NAC).
    • Son los detalles de LDAP sobre un usuario (por ejemplo, rol, organización, etcétera).

Extensions.auth.auth_details

  • Propósito: Especificar los detalles específicos del proveedor para el tipo o mecanismo de autenticación. Los proveedores de autenticación suelen definir tipos como via_mfa, via_ad, etc., que proporcionan información útil sobre el tipo de autenticación. Estos tipos aún se pueden generalizar en auth.type o auth.mechanism para mejorar la usabilidad y la compatibilidad de reglas entre conjuntos de datos.
  • Codificación: string.
  • Ejemplos:via_mfa, via_ad.

Extensions.vulns

  • Propósito: Extensión de los metadatos de vulnerabilidad.
  • Codificación: string.
  • Ejemplo:
    • Alojar los datos del análisis de vulnerabilidades

Propagación de metadatos de archivos

File.file_metadata

  • Propósito: Metadatos asociados al archivo
  • Codificación: string.
  • Ejemplos:
    • Autor
    • Número de revisión
    • Número de versión
    • Fecha de la última vez que se guardó

File.full_path

  • Propósito: Ruta completa que identifica la ubicación del archivo en el sistema.
  • Codificación: string.
  • Ejemplo: \Program Files\Custom Utilities\Test.exe

File.md5

  • Propósito: Valor de hash MD5 para el archivo.
  • Codificación: string, hexadecimal en minúsculas.
  • Ejemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Propósito: Tipo de extensiones de correo de Internet multipropósito (MIME) para el archivo.
  • Codificación: string.
  • Ejemplos:
    • PE
    • PDF
    • secuencia de comandos de PowerShell

File.sha1

  • Propósito: Valor de hash SHA-1 para el archivo.
  • Codificación: string, hexadecimal en minúsculas.
  • Ejemplo: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Propósito: Valor de hash SHA-256 para el archivo.
  • Codificación: string, hexadecimal en minúsculas.
  • Ejemplo:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Propósito: Tamaño del archivo.
  • Codificación: Número entero de 64 bits sin firma.
  • Ejemplo: 342135.

Propagación de metadatos de FTP

Ftp.command

  • Propósito: Almacena el comando de FTP.
  • Codificación: string.
  • Ejemplos:
    • binary
    • delete
    • get
    • put

Propagación de los metadatos de un grupo

Información sobre un grupo organizativo.

Group.creation_time

  • Propósito: Hora de creación del grupo.
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.

Group.email_addresses

  • Propósito: Información de contacto del grupo.
  • Codificación: Correo electrónico.

Group.group_display_name

  • Propósito: Nombre visible del grupo.
  • Codificación: string.
  • Ejemplos:
    • Finanzas
    • RR.HH.
    • Marketing

Group.product_object_id

  • Propósito: Es el identificador de objeto de usuario único a nivel global para el producto, como un identificador de objeto LDAP.
  • Codificación: string.

Group.windows_sid

  • Propósito: Campo de atributo del grupo del identificador de seguridad (SID) de Microsoft Windows.
  • Codificación: string.

Propagación de metadatos de HTTP

Http.method

  • Propósito: Almacena el método de solicitud HTTP.
  • Codificación: string.
  • Ejemplos:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Propósito: Almacena la URL de la URL de referencia de HTTP.
  • Codificación: URL RFC 3986 válida.
  • Ejemplo: https://www.altostrat.com

Http.response_code

  • Propósito: Almacena el código de estado de respuesta HTTP, que indica si una solicitud HTTP específica se completó correctamente.
  • Codificación: Número entero de 32 bits.
  • Ejemplos:
    • 400
    • 404

Http.useragent

  • Propósito: Almacena el encabezado de la solicitud de usuario-agente, que incluye el tipo de aplicación, el sistema operativo, el proveedor de software o la versión de software del usuario-agente del software solicitante.
  • Codificación: string.
  • Ejemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Propagación de metadatos de ubicación

Location.city

  • Propósito: Almacena el nombre de la ciudad.
  • Codificación: string.
  • Ejemplos:
    • Sunnyvale
    • Chicago
    • Málaga

Location.country_or_region

  • Propósito: Almacena el nombre del país o la región del mundo.
  • Codificación: string.
  • Ejemplos:
    • Estados Unidos
    • Reino Unido
    • España

Location.name

  • Propósito: Almacena el nombre específico de la empresa, como un edificio o campus.
  • Codificación: string.
  • Ejemplos:
    • Campus 7B
    • Edificio A2

Location.state

  • Propósito: Almacena el nombre del estado, la provincia o el territorio.
  • Codificación: string.
  • Ejemplos:
    • California
    • Illinois
    • Ontario

Propagación de metadatos de la red

Network.application_protocol

  • Propósito: Indica el protocolo de aplicación de red.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Propósito: Indica la dirección del tráfico de red.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_DIRECTION
    • ENTRANTE
    • SALIENTE
    • TRANSMISIÓN

Network.email

  • Propósito: Especifica la dirección de correo electrónico del remitente o del destinatario.
  • Codificación: string.
  • Ejemplo: jcheng@company.example.com

Network.ip_protocol

  • Propósito: Indica el protocolo IP.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP: Protocolo mejorado de enrutamiento de puerta de enlace interna
    • ESP: carga útil de seguridad de encapsulación
    • ETHERIP: Encapsulamiento de Ethernet dentro de IP
    • GRE: Encapsulamiento de enrutamiento genérico
    • ICMP: protocolo de mensajes de control de Internet
    • IGMP: Protocolo de administración de grupos de Internet
    • IP6IN4: encapsulamiento de IPv6
    • PIM: Protocolo de multidifusión independiente
    • TCP: protocolo de control de transmisión
    • UDP: protocolo de datagramas de usuario
    • VRRP: protocolo de redundancia de router virtual

Network.received_bytes

  • Propósito: Especifica la cantidad de bytes recibidos.
  • Codificación: Número entero de 64 bits sin firma.
  • Ejemplo: 12,453,654,768

Network.sent_bytes

  • Propósito: Especifica la cantidad de bytes enviados.
  • Codificación: Número entero de 64 bits sin firma.
  • Ejemplo: 7,654,876

Network.session_duration

  • Propósito: Almacena la duración de la sesión de red que, por lo general, se muestra en un evento de caída para la sesión. Para establecer la duración, puedes establecer network.session_duration.seconds = 1 (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
  • Codificación:
    • Número entero de 32 bits: por segundos (network.session_duration.seconds)
    • Número entero de 64 bits: para nanosegundos (network.session_duration.nanos).

Network.session_id

  • Propósito: Almacena el identificador de sesión de red.
  • Codificación: string.
  • Ejemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Propagación de metadatos de procesos

Process.command_line

  • Propósito: Almacena la string de línea de comandos para el proceso.
  • Codificación: string.
  • Ejemplo: c:\windows\system32\ngrupo et.exe

Process.product_specific_process_id

  • Propósito: Almacena el ID de proceso específico del producto.
  • Codificación: string.
  • Ejemplos: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

  • Propósito: Almacena el ID de proceso específico del producto para el proceso superior.
  • Codificación: string.
  • Ejemplos: MySQL:78778 o CS:90512

Process.file

  • Propósito: Almacena el nombre del archivo que usa el proceso.
  • Codificación: string.
  • Ejemplo: report.xls

Process.parent_process

  • Propósito: Almacena los detalles del proceso superior.
  • Codificación: Sustantivo (proceso)

Process.pid

  • Propósito: Almacena el ID del proceso.
  • Codificación: string.
  • Ejemplos:
    • 308
    • 2002

Propagación de los metadatos del registro

Registry.registry_key

  • Propósito: Almacena la clave de registro asociada con una aplicación o un componente del sistema.
  • Codificación: string.
  • Ejemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Propósito: Almacena el nombre del valor del registro asociado con una aplicación o un componente del sistema.
  • Codificación: string.
  • Ejemplo: TEMP

Registry.registry_value_data

  • Propósito: Almacena los datos asociados con un valor de registro.
  • Codificación: string.
  • Ejemplo: %USERPROFILE%\Configuración local\Temp

Propagación de metadatos de resultados de seguridad

Los metadatos de Resultado de seguridad incluyen detalles sobre los riesgos y las amenazas de seguridad que se encontraron en un sistema de seguridad, así como las medidas que se tomaron para mitigar esos riesgos y amenazas.

SecurityResult.about

  • Propósito: Proporcionar una descripción del resultado de seguridad
  • Codificación: Sustantivo.

SecurityResult.action

  • Propósito: Especificar una acción de seguridad.
  • Codificación: Es el tipo enumerado.
  • Valores posibles: La UDM de Google Security Operations define las siguientes acciones de seguridad:
    • PERMITIR
    • ALLOW_WITH_MODIFICATION: Se desinfectó o reescribió el archivo o el correo electrónico, y aún se reenvió.
    • BLOQUEAR
    • EN CUARENTENA: Almacenar para un análisis posterior (no significa bloquear).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Propósito: Detalles de la acción realizada como resultado del incidente de seguridad proporcionados por el proveedor. Las acciones de seguridad suelen traducirse mejor en el campo UDM Security_Result.action, que es más general. Sin embargo, es posible que debas escribir reglas para la descripción exacta de la acción proporcionada por el proveedor.
  • Codificación: string.
  • Ejemplos: Soltar, bloquear, desencriptar, encriptar.

SecurityResult.category

  • Propósito: Especifica una categoría de seguridad.
  • Codificación: Enumeración.
  • Valores posibles: La UDM de Google Security Operations define las siguientes categorías de seguridad:
    • LCA_VIOLATION: Intentos de acceso no autorizado, incluidos intentos de acceso a archivos, servicios web, procesos, objetos web, etc.
    • AUTH_VIOLATION: Error de autenticación, por ejemplo, una contraseña incorrecta o una autenticación de dos factores incorrecta.
    • DATA_AT_REST—DLP: Datos de sensores que se encontraron en reposo en un análisis.
    • DATA_DESTRUCTION: intenta destruir o borrar datos.
    • DATA_EXFILTRATION—DLP: Transmisión de datos del sensor, copiar en una unidad USB.
    • EXPLOT: intentos de desbordamientos, codificaciones de protocolo incorrectas, ROP, inyección de SQL, etc., basadas en la red y en el host.
    • Mail_PHISHING: Correo electrónico de phishing, mensajes de chat, etc.
    • EMAIL_SPAM: Correo electrónico, mensaje, etc. de spam
    • EMAIL_SPOOFING: Dirección de correo electrónico de origen falsificada, etcétera
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: si se conoce el canal de comando y control.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando y control, explotación de red, actividad sospechosa, posible túnel inverso, etcétera
    • NETWORK_SUSPICIOUS: No se relacionan con la seguridad, por ejemplo, la URL está vinculada a juegos de apuestas, etcétera.
    • NETWORK_RECON: análisis de puertos detectado por un IDS, sondeando por una aplicación web.
    • VIOLACIÓN DE POLÍTICA: Incumplimiento de la política de seguridad, que incluye incumplimientos de reglas de firewall, proxy y HIPS o acciones de bloqueo de NAC.
    • SOFTWARE_MALICIOUS: malware, software espía, rootkits, etcétera
    • SOFTWARE_PUA: Aplicación potencialmente no deseada, como software con anuncios, etcétera.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Propósito: Especificar un nivel de confianza con respecto a un evento de seguridad según la estimación del producto.
  • Codificación: Enumeración.
  • Valores posibles: La UDM de Google Security Operations define las siguientes categorías de confianza de los productos:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Propósito: Es un detalle adicional sobre la confianza de un evento de seguridad según las estimaciones del proveedor del producto.
  • Codificación: string.

SecurityResult.priority

  • Propósito: Especificar una prioridad con respecto a un evento de seguridad según la estimación del proveedor del producto.
  • Codificación: Enumeración.
  • Valores posibles: La UDM de Google Security Operations define las siguientes categorías de prioridad de producto:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Propósito: Información específica del proveedor sobre la prioridad de los resultados de seguridad.
  • Codificación: string.

SecurityResult.rule_id

  • Propósito: Identificador de la regla de seguridad
  • Codificación: string.
  • Ejemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Propósito: Nombre de la regla de seguridad.
  • Codificación: string.
  • Ejemplo: BlockInboundToOracle.

SecurityResult.severity

  • Propósito: La gravedad de un evento de seguridad según la estimación del proveedor del producto con los valores definidos por la UDM de Google Security Operations.
  • Codificación: Enumeración.
  • Valores posibles: La UDM de Google Security Operations define la siguiente gravedad del producto:
    • UNKNOWN_SEVERITY: no malicioso
    • INFORMACIÓN: no malicioso
    • ERROR: No malicioso
    • LOW: malicioso
    • MEDIUM: Malicioso
    • HIGH: malicioso

SecurityResult.severity_details

  • Propósito: La gravedad de un evento de seguridad según las estimaciones del proveedor del producto.
  • Codificación: string.

SecurityResult.threat_name

  • Propósito: Nombre de la amenaza de seguridad.
  • Codificación: string.
  • Ejemplos:
    • W32/Archivo-A
    • Ataques

SecurityResult.url_back_to_product

  • Propósito: URL para dirigirte a la consola del producto de origen correspondiente a este evento de seguridad.
  • Codificación: string.

Propagación de metadatos de usuarios

User.email_addresses

  • Propósito: Almacena las direcciones de correo electrónico del usuario.
  • Codificación: Es una string repetida.
  • Ejemplo: juanperez@empresa.example.com

User.employee_id

  • Propósito: Almacena el ID de empleado de Recursos Humanos del usuario.
  • Codificación: string.
  • Ejemplo: 11223344.

User.first_name

  • Propósito: Almacena el nombre del usuario.
  • Codificación: string.
  • Ejemplo: Juan.

User.middle_name

  • Propósito: Almacena el segundo nombre del usuario.
  • Codificación: string.
  • Ejemplo: Antonio.

User.last_name

  • Propósito: Almacena el apellido del usuario.
  • Codificación: string.
  • Ejemplo: Locke.

User.group_identifiers

  • Propósito: Almacena los IDs de grupo (un GUID, OID de LDAP o similares) asociados con un usuario.
  • Codificación: Es una string repetida.
  • Ejemplo: usuarios-administrador.

User.phone_numbers

  • Propósito: Almacena los números de teléfono del usuario.
  • Codificación: Es una string repetida.
  • Ejemplo: 800-555-0101

User.title

  • Propósito: Almacena el cargo del usuario.
  • Codificación: string.
  • Ejemplo: Administrador de relaciones con clientes.

User.user_display_name

  • Propósito: Almacena el nombre visible del usuario.
  • Codificación: string.
  • Ejemplo: Juan Pérez.

User.userid

  • Propósito: Almacena el ID de usuario.
  • Codificación: string.
  • Ejemplo:jlocke.

User.windows_sid

  • Propósito: Almacena el identificador de seguridad (SID) de Microsoft Windows asociado con un usuario.
  • Codificación: string.
  • Ejemplo: S-1-5-21-1180649209-123456789-3582944384-1064

Propagación de metadatos de vulnerabilidades

Vulnerability.about

  • Propósito: Si la vulnerabilidad se relaciona con un sustantivo específico (por ejemplo, ejecutable), agrégalo aquí.
  • Codificación: Sustantivo. Consulta Propagación de metadatos de sustantivos.
  • Ejemplo: ejecutable.

Vulnerability.cvss_base_score

  • Propósito: Puntuación base del sistema Common Vulnerability Scoring System (CVSS).
  • Codificación: Punto flotante.
  • Rango: De 0.0 a 10.0
  • Ejemplo: 8.5

Vulnerability.cvss_vector

  • Propósito: Vector de las propiedades CVSS de la vulnerabilidad. Una puntuación de CVSS se compone de las siguientes métricas:

    • Vector de ataque (AV)
    • Complejidad de acceso (AC)
    • Autenticación (Au)
    • Impacto de la confidencialidad (C)
    • Impacto en la integridad (I)
    • Impacto en la disponibilidad (A)

    Para obtener más información, consulta https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Codificación: string.

  • Ejemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Propósito: Versión de CVSS para la puntuación o el vector de vulnerabilidad.
  • Codificación: string.
  • Ejemplo: 3.1

Vulnerability.description

  • Propósito: Descripción de la vulnerabilidad.
  • Codificación: string.

Vulnerability.first_found

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben propagarse a first_found con la fecha en que se detectó la vulnerabilidad para este recurso por primera vez.
  • Codificación: string.

Vulnerability.last_found

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben propagarse en last_found con la hora en que se detectó la vulnerabilidad para este recurso por última vez.
  • Codificación: string.

Vulnerability.name

  • Propósito: Nombre de la vulnerabilidad.
  • Codificación: string.
  • Ejemplo: Se detectó una versión del SO no compatible.

Vulnerability.scan_end_time

  • Propósito: Si se descubrió la vulnerabilidad durante un análisis de recursos, propaga este campo con la hora en que finalizó el análisis. Deja este campo vacío si la hora de finalización no está disponible o no corresponde.
  • Codificación: string.

Vulnerability.scan_start_time

  • Propósito: Si se descubrió la vulnerabilidad durante un análisis de recursos, propaga este campo con la hora de inicio del análisis. Deja este campo vacío si la hora de inicio no está disponible o no corresponde.
  • Codificación: string.

Vulnerability.severity

  • Propósito: Gravedad de la vulnerabilidad.
  • Codificación: Es el tipo enumerado.
  • Valores posibles:
    • UNKNOWN_SEVERITY
    • BAJO
    • MEDIO
    • ALTO

Vulnerability.severity_details

  • Propósito: Detalles de gravedad específica del proveedor.
  • Codificación: string.

Propagación de metadatos de alertas

idm.is_significant

  • Propósito: Especifica si se debe mostrar la alerta en Enterprise Insights.
  • Codificación: Booleano

idm.is_alert

  • Propósito: Identifica si el evento es una alerta.
  • Codificación: Booleano

Campos obligatorios y opcionales basados en el tipo de evento

En esta sección, se describen los campos obligatorios y los opcionales que se deben propagar según el tipo de evento de UDM. Para una descripción de estos campos, consulta la lista de campos del modelo de datos unificado.

EMAIL_TRANSACTION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Completa con información sobre la máquina a la que se envían el origen del mensaje. Por ejemplo, la dirección IP del remitente.

Campos opcionales:

  • about: URL, IP, dominios y cualquier archivo adjunto incorporado en cuerpo del correo electrónico.
  • securityResult.about: URL, IP y archivos incorporados en el correo electrónico incorrectos cuerpo.
  • network.email: Información del remitente o del destinatario del correo electrónico.
  • principal: Si hay datos de la máquina cliente sobre quién envió el correo electrónico, propagar los detalles del servidor en la principal (por ejemplo, el proceso del cliente, números de puerto, nombre de usuario, etcétera).
  • target: Si hay datos del servidor de correo electrónico de destino, propaga el servidor. más detalles en el destino (por ejemplo, la dirección IP).
  • intermediary: Si hay datos del servidor de correo o del proxy de correo, completar los detalles del servidor en el intermediario.

Notas:

  • Nunca propagues principal.email ni target.email.
  • Solo completa el campo de correo electrónico en security_result.about o network.email.
  • Por lo general, los resultados de seguridad de nivel superior tienen un conjunto de sustantivos (opcional para el spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ y FILE_OPEN

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Propaga principal.process con la información sobre el proceso antes de acceder al archivo.
  • objetivo:
    • Si el archivo es remoto (por ejemplo, recurso compartido SMB), el destino debe incluir al menos un identificador de máquina para la máquina de destino; de lo contrario, identificadores de máquina deben quedar en blanco.
    • Propaga el archivo target.file con la información sobre este.

Opcional:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Propaga si hay información del usuario disponible sobre las el proceso de administración de recursos.

FILE_COPY

Campos obligatorios:

  • metadata: Incluye los campos obligatorios tal como se describe.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Completa principal.process con información sobre el que realiza la operación de copia del archivo.
  • src:
    • Propaga el archivo src.file con la información sobre el archivo fuente.
    • Si el archivo es remoto (por ejemplo, recurso compartido SMB), src debe incluir, al menos, un identificador de máquina para la máquina de origen que almacena el archivo de origen.
  • objetivo:
    • Propaga target.file con la información sobre el archivo de destino.
    • Si el archivo es remoto (por ejemplo, recurso compartido SMB), el campo target debe incluye al menos un identificador de máquina para la máquina de destino que contiene el archivo de destino.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Propaga si hay información del usuario disponible sobre las el proceso de administración de recursos.

MUTEX_CREATION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Propaga principal.process con la información sobre el proceso que crea la exclusión mutua.
  • objetivo:
    • Propaga target.resource.
    • Propaga target.resource.type con MUTEX.
    • Propaga target.resource.name con el nombre de la exclusión mutua que se creó.

Opcional:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Propaga si hay información del usuario disponible sobre las el proceso de administración de recursos.
Ejemplo de UDM para MUTEX_CREATION

El siguiente ejemplo ilustra cómo sería un evento de tipo MUTEX_CREATION formateado para la UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles del dispositivo y los procesos.
  • target: Información sobre la exclusión mutua.

NETWORK_CONNECTION

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye detalles sobre la máquina que inició la red. de entrada (por ejemplo, fuente).
  • target: incluye detalles sobre la máquina de destino si es diferente de la máquina principal.
  • network: Captura detalles sobre la conexión de red (puertos, protocolo, etcétera).

Campos opcionales:

  • principal.process y target.process: Incluir información de proceso asociada con la principal y el destino de la conexión de red (si disponibles).
  • principal.user y target.user: Incluyen la información del usuario asociada. con la principal y el destino de la conexión de red (si está disponible).

NETWORK_HTTP

El tipo de evento NETWORK_HTTP representa una conexión de red HTTP de un principal a un servidor web de destino.

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Representa al cliente que inicia la solicitud web y, además, incluye lo siguiente: al menos un identificador de máquina (por ejemplo, nombre de host, IP, MAC, nombre de propiedad identificador de recursos) o un identificador de usuario (por ejemplo, nombre de usuario). Si un se describe una conexión de red específica y se describe el número de puerto disponible, solo se debe especificar una dirección IP junto con el número de puerto asociada con esa conexión de red (aunque otros identificadores de máquina para describir mejor el dispositivo del participante). Si no hay ninguna fuente está disponible, todas y cada una de las direcciones IP y MAC, los identificadores de recursos y se pueden especificar valores de nombre de host que describan el dispositivo principal.
  • target: Representa el servidor web e incluye información del dispositivo y Opcionalmente, un número de puerto. Si hay un número de puerto de destino disponible, especifica solo una dirección IP, además del número de puerto asociado a esa red (aunque se pueden proporcionar otros múltiples identificadores para el objetivo). En target.url, propágalo con la URL a la que accediste.
  • network y network.http: Incluye detalles sobre la red HTTP conexión. Debes completar los siguientes campos:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campos opcionales:

  • about: Representa otras entidades encontradas en la transacción HTTP (para por ejemplo, un archivo subido o descargado).
  • intermediario: Representa un servidor proxy (si es diferente del principal). o el objetivo).
  • metadata: Propaga los otros campos de metadatos.
  • network: Propaga los demás campos de red.
  • network.email: Si la conexión de red HTTP se originó desde una URL que aparecían en un mensaje de correo electrónico, propaga network.email con los detalles.
  • observador: Representa un detector pasivo (si está presente).
  • security_result: Agrega uno o más elementos al campo security_result para representan la actividad maliciosa detectada.
Ejemplo de UDM para NETWORK_HTTP

En el siguiente ejemplo, se ilustra cómo un evento de antivirus de Sophos de tipo NETWORK_HTTP se convertirá al formato UDM de Google Security Operations.

A continuación, se muestra el evento del antivirus original de Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

A continuación, te mostramos cómo debes dar formato a la misma información en Proto3 con el paquete de operaciones de seguridad de Google. Sintaxis de UDM:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: el dispositivo de seguridad que detectó el evento.
  • target: Dispositivo que recibió el software malicioso.
  • network: Información de red sobre el host malicioso.
  • security_result: Detalles de seguridad sobre el software malicioso
  • adicional: Información del proveedor que actualmente se encuentra fuera del alcance de la UDM

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Para la inserción de procesos y los eventos de finalización de procesos, si están disponibles, principal.process debe incluir información sobre el proceso iniciar la acción (por ejemplo, para un evento de inicio de proceso, principal.process debe incluir detalles sobre el proceso superior si disponibles).
  • objetivo:
    • target.process: Incluye información sobre el proceso que se está llevando a cabo. insertar, abrir, lanzar o finalizar.
    • Si el proceso de destino es remoto, el destino debe incluir al menos uno de máquina de la máquina de destino (por ejemplo, una dirección IP, MAC, nombre de host o identificador de recursos de terceros).

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user y target.user: Propaga el proceso de inicio. (principal) y el proceso objetivo, si la información del usuario está disponible.
Ejemplo de UDM para PROCESS_LAUNCH

El siguiente ejemplo ilustra cómo aplicarías el formato a un evento PROCESS_LAUNCH. con la sintaxis de UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles del dispositivo.
  • target: Detalles del proceso.

PROCESS_MODULE_LOAD

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: Procesa la carga del módulo.
  • objetivo:
    • target.process: Incluye información sobre el proceso.
    • target.process.file: Es el módulo cargado (por ejemplo, la DLL o ).

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
  • principal.user: Propaga si hay información del usuario disponible sobre las el proceso de administración de recursos.
Ejemplo de UDM para PROCESS_MODULE_LOAD

El siguiente ejemplo ilustra cómo aplicarías el formato a PROCESS_MODULE_LOAD con la sintaxis de UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles sobre el dispositivo y el proceso de carga del módulo.
  • target: Detalles del módulo y del proceso.

PROCESS_PRIVILEGE_ESCALATION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: Procesa la carga del módulo.
    • principal.user: Usuario que carga el módulo.

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
Ejemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

El siguiente ejemplo ilustra cómo aplicarías el formato en un PROCESS_PRIVILEGE_ESCALATION con la sintaxis UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Son los detalles sobre el dispositivo, el usuario y el proceso de carga de la módulo.
  • target: Detalles del módulo y del proceso.

REGISTRY_CREATION, REGISTRY_MODIFICATION y REGISTRY_DELETION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Si un proceso de modo de usuario modifica el registro, principal.process debe incluir información sobre el proceso modificar el registro.
    • Si un proceso de kernel realiza la modificación del registro, el principal no deben incluir información del proceso.
  • objetivo:
    • target.registry: Si el registro de destino es remoto, el destino debe incluir al menos un identificador para la máquina de destino (por ejemplo, un dirección IP, MAC, nombre de host o identificador de activo de terceros).
    • target.registry.registry_key: Todos los eventos de registro deben incluir la clave de registro afectada.

Opcional:

  • security_result: Describe la actividad maliciosa detectada. Por ejemplo: una clave de registro incorrecta.
  • principal.user: Propaga si hay información del usuario disponible sobre las el proceso de administración de recursos.
Ejemplo de UDM para REGISTRY_MODIFICATION

El siguiente ejemplo ilustra cómo aplicarías el formato a una instancia de REGISTRY_MODIFICATION evento en Proto3 con la sintaxis UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles del dispositivo, el usuario y el proceso.
  • target: Entrada de registro afectada por la modificación.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obligatorios:

  • extensions: para SCAN_VULN_HOST y SCAN_VULN_NETWORK, define la en el campo extensions.vuln.
  • metadata: event_timestamp
  • observer: Captura información sobre el escáner. Si el escáner es remota, los detalles de la máquina deben capturarse en el campo del observador. Para un el escáner local, déjalo vacío.
  • target: Captura información sobre la máquina que contiene el objeto que se está analizando. Si se analiza un archivo, el archivo target.file debe capturarlo. información sobre el archivo analizado. Si se analiza un proceso, El objeto target.process debe capturar información sobre el proceso analizado.

Campos opcionales:

  • target: Es el detalle del usuario sobre el objeto de destino (por ejemplo, el creador de archivos). o propietario del proceso) deben capturarse en target.user.
  • security_result: Describe la actividad maliciosa detectada.
Ejemplo de UDM para SCAN_HOST

El siguiente ejemplo ilustra cómo sería un evento de tipo SCAN_HOST. formateado para la UDM de Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • target: Dispositivo que recibió el software malicioso.
  • observador: Es un dispositivo que observa el evento en cuestión e informa sobre él.
  • security_result: Detalles de seguridad sobre el software malicioso

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obligatorios:

  • principal: Para todos los eventos SCHEDULED_TASK, la principal debe incluir una un identificador de máquina y un identificador de usuario.
  • target: El destino debe incluir un recurso válido y un tipo de recurso definido. como "TAREA".

Campos opcionales:

  • security_result: Describe la actividad maliciosa detectada.
Ejemplo de UDM para SCHEDULED_TASK_CREATION

En el siguiente ejemplo, se muestra cómo un evento de tipo SCHEDULED_TASK_CREATION se puede formatear para la UDM de Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Dispositivo que programó la tarea sospechosa.
  • target: Software al que se dirige la tarea sospechosa.
  • intermediario: El intermediario involucrado en la tarea sospechosa.
  • security_result: Detalles de seguridad sobre la tarea sospechosa.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campos obligatorios:

  • principal: Debe estar presente, no puede estar vacío y debe incluir un identificador de máquina.
  • target: Debe estar presente, no estar vacío y, además, incluir un recurso con su tipo especificado como SETTING.
Ejemplo de UDM para el tipo de evento SETTING_MODIFICATION

En el siguiente ejemplo, se muestra cómo se formatearía un evento de tipo SETTING_MODIFICATION para la UDM de Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: Información general sobre el evento.
  • principal: Información sobre el dispositivo en el que se modificó la configuración.
  • target: Detalles del recurso.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START y SERVICE_STOP

Campos obligatorios:

  • target: Incluye el identificador de usuario y especifica el proceso o la aplicación.
  • principal: Incluye al menos un identificador de máquina (IP o MAC ADDRESS, nombre de host, o identificador de recursos).
Ejemplo de UDM para SERVICE_UNSPECIFIED

El siguiente ejemplo ilustra cómo un evento de tipo SERVICE_UNSPECIFIED podría formato para la UDM de Google Security Operations:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles del dispositivo y la ubicación.
  • target: Nombre de host e identificador del usuario.
  • application: Nombre de la aplicación y tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN y STATUS_UPDATE

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: al menos un identificador de máquina (IP o MAC ADDRESS, nombre de host, o identificador de recursos).
Ejemplo de UDM para STATUS_HEARTBEAT

El siguiente ejemplo ilustra cómo un evento de tipo STATUS_HEARTBEAT formato para la UDM de Google Security Operations:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles del dispositivo y la ubicación.
  • intermediario: La dirección IP del dispositivo.
  • security_result: Detalles del resultado de seguridad

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obligatorios:

  • principal: Incluye un identificador de usuario para el usuario que realizó la en el registro y un identificador de máquina para la máquina en la que se encuentra se almacenó (en el caso de la limpieza).
Ejemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

El siguiente ejemplo ilustra cómo un evento de tipo SYSTEM_AUDIT_LOG_WIPE tendrá el formato correspondiente a la UDM de Google Security Operations:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes UDM: categorías:

  • metadatos: Información general sobre el evento.
  • principal: Detalles del dispositivo y del usuario.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Si la cuenta de usuario se modifica desde una ubicación remota, propagar la principal con información sobre la máquina desde la que se encuentra se originó la modificación.
  • target: Propaga el archivo target.user con información sobre el usuario que se modificó.
  • intermediario: Para los accesos a SSO, el intermediario debe incluir, al menos, una máquina. o el identificador del servidor de SSO, si está disponible.

USER_COMMUNICATION

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados. con una comunicación iniciada por el usuario (el remitente), como un mensaje de chat en Google Chat o Slack, una videoconferencia o una conferencia de voz en Zoom o Google Meet, o una reunión conexión.

Campos opcionales:

  • target: (Recomendado) Propaga el campo target.user con información sobre el usuario objetivo (receptor) de la comunicación en la nube recurso. Propaga el campo target.application con información sobre la aplicación de comunicación en la nube objetivo.

CREACIÓN_DE_USUARIO, DELECIÓN_DE_USUARIO

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Debe incluir información sobre la máquina en la que se realiza la solicitud crear o eliminar el usuario. Para crear un usuario local eliminación, el principal debe incluir, al menos, un identificador de máquina para el máquina de origen.
  • target: La ubicación en la que se crea el usuario. También debe incluir el usuario información (por ejemplo, target.user).

Campos opcionales:

  • principal: Detalles de usuario y procesamiento de la máquina en la que el usuario se inició una solicitud de creación o eliminación.
  • target: La información sobre la máquina de destino (si es diferente de la máquina principal).

ACCESO_DE_USUARIO, USER_LOGOUT

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: En el caso de la actividad de usuario remoto (por ejemplo, acceso remoto), propagar la principal con información sobre la máquina que originó al usuario actividad. Para la actividad del usuario local (por ejemplo, acceso local), no establezcas principal.
  • target: Propaga el archivo target.user con información sobre el usuario que conectado o desconectado. Si no se establece la principal (por ejemplo, acceso local), el destino también debe incluir, al menos, un identificador de máquina que identifique al destino máquina. Para la actividad del usuario entre máquinas (por ejemplo, acceso remoto, SSO, Cloud Service o VPN), el destino debe incluir información sobre él de destino, una máquina de destino o un servidor de VPN de destino.
  • intermediario: Para los accesos a SSO, el intermediario debe incluir, al menos, una máquina. o el identificador del servidor de SSO, si está disponible.
  • network y network.http: Si el acceso se realiza a través de HTTP, debes colocar todos disponibles en network.ip_protocol, network.application_protocol y network.http.
  • authentication: Debe identificar el tipo de sistema de autenticación. con el que está relacionado el evento (por ejemplo, máquina, SSO o VPN) y el mecanismo de uso (nombre de usuario y contraseña, OTP, etc.).
  • security_result: Agrega un campo security_result para representar el estado de acceso. si falla. Especifica security_result.category con AUTH_VIOLATION. si la autenticación falla.

USER_RESOURCE_ACCESS

Campos obligatorios:

  • principal: Completa el campo principal.user con los detalles sobre intentos de acceso a un recurso en la nube (por ejemplo, un caso de Salesforce, Calendario de Office365, Documento de Google o ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube objetivo.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube objetivo.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados. con el usuario creado dentro de un recurso en la nube (por ejemplo, una cuenta de caso, calendario de Office365, Documentos de Google o ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube objetivo.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube objetivo.

USER_RESOURCE_UPDATE_CONTENT

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados. con el usuario cuyo contenido se actualizó en un recurso de la nube (para por ejemplo, un caso de Salesforce, un calendario de Office365, un Documento de Google o ServiceNow de un boleto).
  • target: Propaga el campo target.resource con información sobre el recurso de nube objetivo.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube objetivo.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados. con el usuario cuyos permisos se actualizaron en un recurso de la nube (para por ejemplo, un caso de Salesforce, un calendario de Office365, un Documento de Google o ServiceNow de un boleto).
  • target: Propaga el campo target.resource con información sobre el recurso de nube objetivo.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube objetivo.

USER_UNCATEGORIZED

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Debe incluir información sobre la máquina en la que se realiza la solicitud crear o eliminar el usuario. Para crear un usuario local eliminación, el principal debe incluir, al menos, un identificador de máquina para el máquina de origen.
  • target: La ubicación en la que se crea el usuario. También debe incluir el usuario información (por ejemplo, target.user).

Campos opcionales:

  • principal: Detalles de usuario y procesamiento de la máquina en la que el usuario se inició una solicitud de creación o eliminación.
  • target: La información sobre la máquina de destino (si es diferente de la máquina principal).