Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Guía de uso del modelo de datos unificado

En este documento, se proporciona una descripción más detallada de los campos en el esquema del Modelo de datos unificados (UDM) y los obligatorios en comparación con los opcionales, según el tipo de evento. Para la evaluación del motor de reglas, el prefijo comienza udm., mientras que el prefijo del normalizador basado en la configuración (CBN) comienza event.idm.read_only_udm.

Población de metadatos de eventos

La sección de metadatos del evento para los eventos de UDM almacena información general sobre cada evento.

Metadatos.event_type

  • Propósito: Especifica el tipo de evento; si un evento tiene varios tipos posibles, este valor debe especificar el tipo más específico.
  • Obligatorio:
  • Codificación: Debe ser uno de los tipos enumerados de event_type de UDM predefinidos.
  • Valores posibles: A continuación, se enumeran todos los valores posibles para event_type en la UDM.

Eventos por correo electrónico:

  • CORREO ELECTRÓNICO DE TRANSACCIÓN
  • EMAIL_UNCATEGORIZED

Eventos de archivo realizados en un extremo:

  • FILE_UNCATEGORIZED
  • CREACIÓN DEL ARCHIVO
  • FILE_DELETION
  • ARCHIVO MODIFICACIÓN
  • FILE_READ (por ejemplo, leer un archivo de contraseña)
  • FILE_COPY (por ejemplo, copiar un archivo a una memoria USB)
  • FILE_OPEN (por ejemplo, abrir un archivo puede indicar una violación de la seguridad).

Eventos que no corresponden a ninguna otra categoría, incluidos los eventos de Windows sin clasificar.

  • GENERIC_EVENT

Eventos de exclusión mutua (objeto de exclusión mutua):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetría de red, incluidas cargas útiles de protocolos sin procesar, como DHCP y DNS, además de resúmenes de protocolos para protocolos como HTTP, SMTP y FTP, y eventos de conexión y flujo de Netflow y firewalls.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (por ejemplo, estadísticas de flujo agregadas de Netflow)
  • NETWORK_CONNECTION (por ejemplo, detalles de conexión de red desde un firewall)
  • RED_FTP
  • NETWORK_DHCP
  • DNS_DE_RED
  • HTTP_RED
  • NETWORK_SMTP

Todos los eventos que pertenecen a un proceso, como un lanzamiento, un proceso que crea algo malicioso, un proceso que se inyecta en otro proceso, un cambio de clave de registro, la creación de un archivo malicioso en el disco, etc.

  • INSERCIÓN_PROCESO
  • LANZAMIENTO_PROCESO
  • PROCESO_DE_MODIFICACIÓN
  • PROCESO_OPEN
  • PROCESO_PRIVILEGIO_ESCALACIÓN
  • PROCESO_FINALIZACIÓN
  • PROCESO_NO CATEGORIZADO

Use los eventos REGISTRY en lugar de los eventos SETTING cuando trabaje con eventos de registro específicos de Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRO_CREACIÓN
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventos orientados al análisis. Incluye análisis a pedido y detecciones de comportamiento realizadas por productos de seguridad de extremos (EDR, AV y DLP). Solo se usa cuando se adjunta un SecurityResult a otro tipo de evento (como PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • ESCANEAR
  • ANÁLISIS SCAN
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tareas programadas (Programador de tareas de Windows, cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de servicio:

  • SERVICE_UNSPECIFIED
  • CREACIÓN DEL SERVICIO
  • SERVICE_DELETION
  • SERVICIO_START
  • SERVICE_STOP

Eventos de configuración, incluso cuando se cambia una configuración del sistema en un extremo Para configurar los requisitos de los eventos, haga clic aquí.

  • CONFIGURACIÓN_INCATEGORIZADA
  • CONFIGURACIÓN_DE CREACIÓN
  • CONFIGURACIÓN_MODIFICACIÓN
  • CONFIGURACIÓN_DELECCIÓN

Mensajes de estado de los productos de seguridad que indican que los agentes están vivos y que envían la versión, la huella digital o algún otro tipo de datos.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica que el producto está activo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (actualización de software o huella digital)

Eventos de registro de auditoría del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventos de actividad de autenticación del usuario:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (por ejemplo, cuando un usuario accede físicamente a un sitio)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • COMUNICACIÓN_DE_USUARIO
  • CREACIÓN DEL USUARIO
  • USER_DELETION
  • USUARIO_ACCEDER
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • CREACIÓN DEL RECURSO USER
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadatos.collected_timestamp

  • Propósito: Codifica la marca de tiempo de GMT en la que la infraestructura local de recopilación del proveedor recopiló el evento.
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadatos.event_timestamp

  • Propósito: Codifica la marca de tiempo de la GMT cuando se generó el evento.
  • Obligatorio:
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadatos.description

  • Propósito: Es la descripción legible del evento.
  • Codificación: string alfanumérica, puntuación permitida, 1,024 bytes como máximo
  • Ejemplo: El archivo c:\bar\foo.exe bloquea el acceso al documento sensible c:\documents\earnings.docx.

Tipo de evento de metadatos: producto

  • Propósito: Nombre o tipo de evento breve, descriptivo, legible y específico del producto.
  • Codificación: String alfanumérica, puntuación permitida, máximo de 64 bytes.
  • Ejemplos:
    • Evento de creación de registro
    • Rollup de procesos
    • Se detectó el aumento de privilegios
    • Software malicioso bloqueado

Metadatos de product_log_id

  • Propósito: Codifica un identificador de evento específico del proveedor para identificar de manera única el evento (un GUID). Los usuarios pueden utilizar este identificador para buscar el evento en cuestión en la consola del propietario del proveedor.
  • Codificación:Se distingue entre mayúsculas y minúsculas, string alfanumérica, puntuación permitida, 256 bytes como máximo.
  • Ejemplo: ABcd1234-98766

Metadatos de producto

  • Propósito: Especifica el nombre del producto.
  • Codificación:Se distingue entre mayúsculas y minúsculas, string alfanumérica, puntuación permitida, 256 bytes como máximo.
  • Ejemplos:
    • Halcón
    • Symantec Endpoint Protection

Versión de metadatos.producto

  • Propósito: Especifica la versión del producto.
  • Codificación: Se permiten strings alfanuméricas, puntos y guiones, con un máximo de 32 bytes.
  • Ejemplos:
    • 1.2.3b
    • 10.3:rev1

Metadatos.url_back_to_product

  • Propósito: Es la URL que vincula a un sitio web relevante en el que puede ver más información sobre este evento específico (o en la categoría general del evento).
  • Codificación: URL RFC 3986 válida con parámetros opcionales, como información de puerto, etc. Debe tener un prefijo de protocolo antes de la URL (por ejemplo, https:// o http://).
  • Ejemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadatos.vendor_name

  • Propósito: Especifica el nombre del proveedor del producto.
  • Codificación: distingue entre mayúsculas y minúsculas, string alfanumérica, puntuación permitida, 256 bytes como máximo
  • Ejemplos:
    • CrowdStrike
    • Symantec

Población de metadatos de sustantivos

En esta sección, la palabra Sustantivo es un término general que se usa para representar las entidades; principal, src, objetivo, intermediario, observador y acerca de. Estas entidades tienen atributos comunes, pero representan diferentes objetos de un evento. Para obtener más información sobre las entidades y lo que cada una representa en un evento, consulta Da formato a los datos de registro como UDM.

Sustantivo.id_elemento

  • Propósito: Identificador de dispositivo único específico del proveedor (por ejemplo, un GUID que se genera cuando se instala un software de seguridad de extremo en un dispositivo nuevo que se usa para realizar un seguimiento de ese dispositivo único a lo largo del tiempo).
  • Codificación: VendorName.ProductName:ID, donde VendorName distingue entre mayúsculas y minúsculas*, el nombre del proveedor, como "Carbon Black", y ProductName, que distingue entre mayúsculas y minúsculas, como "Response" o "Endpoint Protection", y el ID es un identificador de cliente específico del proveedor que es único a nivel global en el entorno de su cliente (por ejemplo, un GUID o valor único que identifica un dispositivo único). VendorName y ProductName son alfanuméricos de no más de 32 caracteres. El ID puede tener un máximo de 128 caracteres de longitud y puede incluir caracteres alfanuméricos, guiones y puntos.
  • Ejemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Sustantivo.correo electrónico

  • Propósito: Dirección de correo electrónico
  • Codificación: Formato de dirección de correo electrónico estándar
  • Ejemplo: juan@prueba.altostrat.com

Sustantivo

Nombre de host

  • Propósito: Nombre de host del cliente o campo de nombre de dominio. No incluya si hay una URL presente.
  • Codificación: Nombre de host RFC 1123 válido.
  • Ejemplos:
    • usuariowin10
    • www.altostrat.com

Sustantivo.plataforma

  • Propósito: Sistema operativo de la plataforma.
  • Codificación: Enum
  • Valores posibles:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Sustantivo.nivel_parche_nivel

  • Propósito: Nivel de parche del sistema operativo de la plataforma.
  • Codificación: Es una string alfanumérica con puntuación de 64 caracteres como máximo.
  • Ejemplo: compilación 17134.48

Versión de la plataforma Noun.

  • Propósito: Versión del sistema operativo de la plataforma.
  • Codificación: Es una string alfanumérica con puntuación de 64 caracteres como máximo.
  • Ejemplo: Microsoft Windows 10 versión 1803

Sustantivo

Sustantivo.ip

  • Propósito:
    • Una única dirección IP asociada con una conexión de red.
    • Una o más direcciones IP asociadas con un dispositivo participante en el momento del evento (por ejemplo, si un producto de EDR reconoce todas las direcciones IP asociadas con un dispositivo, puede codificarlas todas dentro de los campos IP).
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.
  • Repetibilidad:
    • Si un evento describe una conexión de red específica (por ejemplo, srcip:srcport > dstip:dstport), el proveedor debe proporcionar solo una dirección IP.
    • Si un evento describe la actividad general que se produce en un dispositivo participante, pero no en una conexión de red específica, el proveedor puede proporcionar todas las direcciones IP asociadas al dispositivo en el momento del evento.
  • Ejemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Sustantivo.port

  • Propósito: Es el número de puerto de la red de origen o de destino cuando se describe una conexión de red específica dentro de un evento.
  • Codificación: Número de puerto TCP/IP válido del 1 al 65,535

  • Ejemplos:

    • 80
    • 443

Sustantivo.mac

  • Propósito: Una o más direcciones MAC asociadas con un dispositivo.
  • Codificación: Dirección MAC válida (EUI-48) en ASCII
  • Repetibilidad: el proveedor puede proporcionar todas las direcciones MAC asociadas al dispositivo en el momento del evento.
  • Ejemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Sustantivo.administrativo

  • Propósito: Dominio al que pertenece el dispositivo (por ejemplo, el dominio de Windows)
  • Codificación: string de nombre de dominio válida (128 caracteres como máximo).
  • Ejemplo: corp.altostrat.com

Registro de sustantivo

Sustantivo.url

  • Propósito: URL estándar
  • Codificación: URL (RFC 3986). Debe tener un prefijo de protocolo válido (por ejemplo, https:// o ftp://). Debe incluir la ruta de acceso y el dominio completos. Puede incluir los parámetros de la URL.
  • Ejemplo: https://foo.altostrat.com/bletch?a=b;c=d

Usuario sustantivo

Población de metadatos de Authentication

Authentication.AuthType.

  • Propósito: Tipo de sistema con el que se asocia un evento de autenticación (UDM de Chronicle).
  • Codificación: tipo enumerado
  • Valores posibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: Autenticación automática
    • FÍSICO: Autenticación física (por ejemplo, un lector de insignias)
    • SSO
    • TACACS: el protocolo de familia TACACS para la autenticación de sistemas conectados en red (por ejemplo, TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Propósito: Describe el estado de autenticación de un usuario o una credencial específica.
  • Codificación: tipo enumerado
  • Valores posibles:
    • UNKNOWN_AUTHENTICATION_STATUS: Estado de autenticación predeterminado
    • ACTIVO: El método de autenticación está en estado activo
    • SUSPENDED: El método de autenticación se encuentra suspendido o inhabilitado
    • BORRADO: Se borró el método de autenticación
    • NO_ACTIVE_CREDENTIALS: El método de autenticación no tiene credenciales activas.

Authentication.auth_details

  • Propósito: Detalles de autenticación definidos por el proveedor.
  • Codificación: string.

Mecanismo de autenticación

  • Propósito: Mecanismos usados para la autenticación.
  • Codificación: tipo enumerado
  • Valores posibles:
    • MECHANISM_UNSPECIFIED: Mecanismo de autenticación predeterminado.
    • BADGE_READER
    • BATCH: Autenticación por lotes
    • CACHED_INTERACTIVE: autenticación interactiva mediante credenciales almacenadas en caché.
    • HARDWARE_KEY (HARDWARE_KEY)
    • SER LOCAL
    • MECHANISM_OTHER—Otro mecanismo que no se define aquí
    • NETWORK: autenticación de red.
    • NETWORK_CLEAR_TEXT: Autenticación de texto no encriptado en la red.
    • NEW_CREDENTIALS: Autenticación con credenciales nuevas.
    • OTP
    • REMOTE: Autenticación remota
    • REMOTE_INTERACTIVE: RDP, servicios de terminal, computación en red virtual (VNC), etcétera.
    • SERVICE: Autenticación de servicio.
    • DESBLOQUEAR: Autenticación directa desbloqueada con interacción humana.
    • USERNAME_PASSWORD

Población de metadatos DHCP

Los campos de metadatos del protocolo de control de host dinámico (DHCP) capturan información de registro del protocolo de administración de red de DHCP.

Dhcp.client_hostname

  • Propósito: Nombre de host para el cliente. Consulte RFC 2132, Opciones de DHCP y extensiones del proveedor de BOOTP para obtener más información.
  • Codificación: string.

Dhcp.client_identifier

  • Propósito: Identificador de cliente. Consulte RFC 2132, Opciones de DHCP y extensiones del proveedor de BOOTP para obtener más información.
  • Codificación: bytes.

Dhcp.archivo

  • Propósito: Nombre del archivo para la imagen de inicio.
  • Codificación: string.

Dhcp.flags

  • Propósito: Valor para el campo de marcas de DHCP.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.

  • Propósito: Longitud de la dirección del hardware.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp

  • Propósito: Recuento de saltos de DHCP.
  • Codificación: Número entero de 32 bits sin firma.

DHCP.htype

  • Propósito: Tipo de dirección de hardware.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.lease_time_seconds

  • Propósito: El tiempo que el cliente solicitó para una dirección IP en segundos. Consulte RFC 2132, Opciones de DHCP y extensiones del proveedor de BOOTP para obtener más información.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.opcode

  • Propósito: Código de operación BOOTP (consulte la sección 3 de RFC 951).
  • Codificación: tipo enumerado
  • Valores posibles:
    • CÓDIGO_OPCIÓN_DESCONOCIDA
    • SOLICITUD DE LA BOT
    • BOOTRESPONDER

Dhcp.requested_address

  • Propósito: Identificador de cliente. Consulte RFC 2132, Opciones de DHCP y extensiones del proveedor de BOOTP para obtener más información.
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.segundos

  • Propósito: Segundos transcurridos desde que el cliente comenzó el proceso de adquisición o renovación de dirección.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.sname.

  • Propósito: Nombre del servidor que el cliente solicitó iniciar.
  • Codificación: string.

Dhcp.transaction_id

  • Propósito: ID de transacción del cliente.
  • Codificación: Número entero de 32 bits sin firma.

Dhcp.type

  • Propósito: Tipo de mensaje DHCP. Consulta RFC 1533 para obtener más información.
  • Codificación: tipo enumerado
  • Valores posibles:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFERTA
    • SOLICITUD
    • RECHAZAR
    • Confirmación
    • NAK
    • RELEASE
    • INFORMAR
    • WIN_DELECTED
    • VENCIDO

Dhcp.chaddr

  • Propósito: Dirección IP para el hardware del cliente
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.ciaddr

  • Propósito: Dirección IP del cliente.
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.giaddr

  • Propósito: dirección IP para el agente de retransmisión.
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.siaddr

  • Propósito: Dirección IP para el próximo servidor de arranque.
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Dhcp.yiaddr

  • Propósito: Su dirección IP.
  • Codificación: Dirección IPv4 o IPv6 (RFC 5942) válida codificada en ASCII.

Población de metadatos de opciones de DHCP

Los campos de metadatos de la opción DHCP capturan la información de registro de la opción DHCP.

Código de la opción

  • Propósito: Almacena el código de opción DHCP. Consulta RFC 1533, Opciones de DHCP y extensiones del proveedor de BOOTP para obtener más información.
  • Codificación: Número entero de 32 bits sin firma.

Opción.datos

  • Propósito: Almacena los datos de la opción DHCP. Consulta RFC 1533, Opciones de DHCP y extensiones del proveedor de BOOTP para obtener más información.
  • Codificación: bytes.

Población de metadatos de DNS

Los campos de metadatos de DNS capturan información relacionada con la solicitud de DNS y los paquetes de respuesta. Tienen una correspondencia uno a uno con los datos encontrados en los datagramas de solicitud y respuesta de DNS.

Dns., autoritativa

  • Propósito: Se establece como verdadero para servidores DNS autorizados.
  • Codificación: Booleano.

Dns.id

  • Propósito: Almacena el identificador de la consulta de DNS.
  • Codificación: Número entero de 32 bits.

Respuesta de DNS

  • Propósito: Se configura como verdadero si el evento es una respuesta de DNS.
  • Codificación: Booleano.

Dns.op

  • Propósito: Almacena el código abierto de DNS utilizado para especificar el tipo de consulta de DNS (estándar, inversa, estado del servidor, etc.).
  • Codificación: Número entero de 32 bits.

Dns.recursion_available

  • Propósito: Se configura como verdadero si hay una búsqueda de DNS recurrente disponible.
  • Codificación: Booleano.

DNS_Recursion_Deseos

  • Propósito: Se configura como verdadero si se solicita una búsqueda de DNS recursiva.
  • Codificación: Booleano.

Dns.response_code

  • Propósito: Almacena el código de respuesta de DNS según lo define la RFC 1035, los nombres de dominio: implementación y especificación.
  • Codificación: Número entero de 32 bits.

Dns.truncada

  • Propósito: Se configura como verdadero si se trata de una respuesta de DNS truncada.
  • Codificación: Booleano.

Preguntas de DNS

Dns.respuestas

Dns.autoridad

DNS adicional

Población de metadatos de preguntas de DNS

Los campos de metadatos de la pregunta de DNS capturan la información contenida en la sección de preguntas de un mensaje de protocolo de dominio.

Nombre de la pregunta

  • Propósito: Almacena el nombre del dominio.
  • Codificación: string.

Pregunta.

  • Propósito: Almacena el código que especifica la clase de la consulta.
  • Codificación: Número entero de 32 bits.

Tipo de pregunta

  • Propósito: Almacena el código que especifica el tipo de consulta.
  • Codificación: Número entero de 32 bits.

Población de metadatos de registros de recursos de DNS

Los campos de metadatos de registros de recursos de DNS capturan la información contenida en el registro de recursos de un mensaje de protocolo de dominio.

ResourceRecord.binary_data

  • Propósito: Almacena los bytes sin procesar de cualquier string que no sea UTF8 que pueda incluirse como parte de una respuesta DNS. Este campo solo debe usarse si los datos de respuesta que muestra el servidor DNS contienen datos que no son UTF8. De lo contrario, coloque la respuesta de DNS en el campo de datos a continuación. Aquí se debe almacenar este tipo de información en lugar de ResourceRecord.data.

  • Codificación: bytes.

ResourceRecord.class

  • Propósito: Almacena el código que especifica la clase del registro de recursos.
  • Codificación: Número entero de 32 bits.

ResourceRecord.data

  • Propósito: Almacena la carga útil o respuesta a la pregunta del DNS para todas las respuestas codificadas en formato UTF-8. Por ejemplo, el campo de datos podría mostrar la dirección IP de la máquina a la que hace referencia el nombre de dominio. Si el registro de recursos es de otro tipo o clase, puede contener otro nombre de dominio (cuando se redirecciona un nombre de dominio a otro). Los datos deben almacenarse tal como están en la respuesta de DNS.
  • Codificación: string.

ResourceRecord.name

  • Propósito: Almacena el nombre del propietario del registro de recursos.
  • Codificación: string.

ResourceRecord.ttl

  • Objetivo: Almacena el intervalo de tiempo durante el cual se puede almacenar en caché el registro de recursos antes de que se vuelva a consultar la fuente de la información.
  • Codificación: Número entero de 32 bits.

ResourceRecord.type

  • Propósito: Almacena el código que especifica el tipo de registro de recursos.
  • Codificación: Número entero de 32 bits.

Población de metadatos de correos electrónicos

La mayoría de los campos de metadatos de correo electrónico capturan las direcciones de correo electrónico incluidas en el encabezado del mensaje y deben seguir el formato de dirección de correo electrónico estándar (local-mailbox@domain), como se define en RFC 5322. Por ejemplo, frank@email.example.com.

Correo electrónico.

  • Propósito: Almacena la dirección de correo electrónico de.
  • Codificación: string.

Email.reply_to

  • Propósito: Almacena la dirección de correo electrónico reply_to.
  • Codificación: string.

Email.to

  • Propósito: Almacena las direcciones de correo electrónico en.
  • Codificación: string.

Email.cc

  • Propósito: Almacena las direcciones de correo electrónico cc.
  • Codificación: string.

Email.bcc

  • Propósito: Almacena las direcciones de correo electrónico CCO.
  • Codificación: string.

Email.mail_id

  • Propósito: Almacena el ID del correo electrónico (o mensaje).
  • Codificación: string.
  • Ejemplo: 192544.132632@email.example.com

Email.subject

  • Propósito: Almacena el asunto del correo electrónico.
  • Codificación: string.
  • Ejemplo: "Lee este mensaje".

Población de metadatos de extensiones

Tipos de eventos con metadatos de primera clase que aún no se han clasificado según el UDM de Chronicle. Extensiones.auth

  • Propósito: Extensión de los metadatos de autenticación
  • Codificación: string.
  • Ejemplos:
    • Metadatos de la zona de pruebas (todos los comportamientos que muestra un archivo, por ejemplo, FireEye).
    • Datos de Control de acceso a la red (NAC)
    • Son los detalles de LDAP sobre un usuario (por ejemplo, función, organización, etcétera).

Extensiones.auth.auth_details

  • Propósito: Especifique los detalles específicos del proveedor para el mecanismo o tipo de autenticación. Los proveedores de autenticación suelen definir tipos como via_mfa, via_ad, etc., que proporcionan información útil sobre el tipo de autenticación. Todavía se pueden generalizar estos tipos en auth.type o auth.mechanism para fines de usabilidad y compatibilidad con reglas entre conjuntos de datos.
  • Codificación: string.
  • Ejemplos: via_mfa, via_ad.

Extensiones.vulns

  • Propósito: Extensión de los metadatos de vulnerabilidad.
  • Codificación: string.
  • Ejemplo:
    • Datos del análisis de vulnerabilidades del host

Población de metadatos de archivos

Archivo.archivo_metadatos

  • Propósito: Los metadatos asociados al archivo
  • Codificación: string.
  • Ejemplos:
    • Autor
    • Número de revisión
    • Número de versión
    • Fecha de la última vez que se guardó

Archivo.ruta_completa

  • Propósito: Es la ruta de acceso completa que identifica la ubicación del archivo en el sistema.
  • Codificación: string.
  • Ejemplo: \Program Files\Custom Utilities\Test.exe

Archivo.md5

  • Propósito: Valor del hash MD5 para el archivo.
  • Codificación: string, hexadecimal en minúscula
  • Ejemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

Archivo.mime_type

  • Propósito: Tipo de extensiones multipropósito de correo de Internet (MIME) para el archivo.
  • Codificación: string.
  • Ejemplos:
    • PE
    • PDF
    • secuencia de comandos de PowerShell

Archivo.sha1

  • Propósito: Valor del hash SHA-1 para el archivo.
  • Codificación: string, hexadecimal en minúscula
  • Ejemplo: eb3520d53b45815912f2391b713011453ed8abcf

Archivo.sha256

  • Propósito: Valor del hash SHA-256 para el archivo.
  • Codificación: string, hexadecimal en minúscula
  • Ejemplo:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

Archivo.size

  • Propósito: Tamaño del archivo.
  • Codificación: Número entero de 64 bits sin firma.
  • Ejemplo: 342135.

Población de metadatos FTP

Comando Ftp

  • Propósito: Almacena el comando FTP.
  • Codificación: string.
  • Ejemplos:
    • binary
    • borrar
    • get
    • put

Población de metadatos del grupo

Información sobre un grupo organizativo.

Hora de creación del grupo

  • Propósito: Hora de creación del grupo.
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.

Direcciones de grupo.correo_electrónico

  • Propósito: Información de contacto del grupo
  • Codificación: Correo electrónico.

Grupo.nombre_visualización_grupo

  • Propósito: Nombre visible del grupo.
  • Codificación: string.
  • Ejemplos:
    • Finanzas
    • RR.HH.
    • Marketing

ID del objeto de grupo

  • Propósito: Identificador de objeto de usuario único a nivel global para el producto, como un identificador de objeto LDAP.
  • Codificación: string.

Grupo.windows_sid

  • Propósito: Campo de atributo del grupo de identificador de seguridad de Microsoft Windows (SID).
  • Codificación: string.

Población de metadatos HTTP

Http.method

  • Propósito: Almacena el método de solicitud HTTP.
  • Codificación: string.
  • Ejemplos:
    • GET
    • HEAD
    • POST

URL de referencia HTTP

  • Propósito: Almacena la URL para la URL de referencia HTTP.
  • Codificación: URL RFC 3986 válida.
  • Ejemplo: https://www.altostrat.com

Código de respuesta Http.

  • Propósito: Almacena el código de estado de respuesta HTTP, que indica si una solicitud HTTP específica se completó de forma correcta.
  • Codificación: Número entero de 32 bits.
  • Ejemplos:
    • 400
    • 404

Http.useragent

  • Propósito: Almacena el encabezado de la solicitud del usuario-agente que incluye el tipo de aplicación, el sistema operativo, el proveedor de software o la versión de software del usuario-agente del software solicitante.
  • Codificación: string.
  • Ejemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Población de metadatos de ubicación

Ubicación

  • Propósito: Almacena el nombre de la ciudad.
  • Codificación: string.
  • Ejemplos:
    • Sunnyvale
    • Chicago
    • Málaga

Ubicación.país_o_región

  • Propósito: Almacena el nombre del país o la región del mundo.
  • Codificación: string.
  • Ejemplos:
    • Estados Unidos
    • Reino Unido
    • España

Nombre de la ubicación

  • Propósito: Almacena el nombre específico de la empresa, como un edificio o campus.
  • Codificación: string.
  • Ejemplos:
    • Campus 7B
    • Edificio A2

Ubicación.estado

  • Propósito: Almacena el nombre del estado, la provincia o el territorio.
  • Codificación: string.
  • Ejemplos:
    • California
    • Illinois
    • Ontario

Población de metadatos de red

Network.application_protocol

  • Propósito: Indica el protocolo de la aplicación de red.
  • Codificación: tipo enumerado
  • Valores posibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Dirección de red

  • Propósito: Indica la dirección del tráfico de red.
  • Codificación: tipo enumerado
  • Valores posibles:
    • DESCRIPCIÓN DESCONOCIDA
    • ENTRANTE
    • SALIENTE
    • TRANSMISIÓN

Correo electrónico de red

  • Propósito: Especifica la dirección de correo electrónico del remitente o destinatario.
  • Codificación: string.
  • Ejemplo: jcheng@company.example.com

Network.ip_protocol

  • Propósito: Indica el protocolo IP.
  • Codificación: tipo enumerado
  • Valores posibles:
    • UNKNOWN_IP_PROTOCOLO
    • Protocolo de enrutamiento de puerta de enlace interior mejorado (EIGRP)
    • ESP: carga útil de carga de seguridad
    • ETHERIP: Encapsulamiento Ethernet dentro de IP
    • GRE: Encapsulamiento genérico de enrutamiento
    • ICMP: Protocolo de mensajes de control de Internet
    • IGMP: Protocolo de administración de grupos de Internet
    • IP6IN4: encapsulamiento de IPv6
    • PIM: Multidifusión independiente de protocolo
    • TCP: protocolo de control de transmisión
    • UDP: protocolo de datagramas de usuario
    • VRRP: Protocolo de redundancia del router virtual

Network.received_bytes

  • Propósito: Especifica la cantidad de bytes recibidos.
  • Codificación: Número entero de 64 bits sin firma.
  • Ejemplo: 12 453 654 768

Bytes enviados de la red

  • Propósito: Especifica la cantidad de bytes enviados.
  • Codificación: Número entero de 64 bits sin firma.
  • Ejemplo: 7,654,876

Network.session_duration

  • Propósito: Almacena la duración de la sesión de red, que generalmente se muestra en un evento de soltar para la sesión. Para establecer la duración, puede establecer network.session_duration.seconds = 1, (tipo int64) o network.session_duration.nanos = 1 (tipo int32).
  • Codificación:
    • Número entero de 32 bits: para los segundos (network.session_duration.seconds).
    • Número entero de 64 bits: para nanosegundos (network.session_duration.nanos).

ID de la sesión de red

  • Propósito: Almacena el identificador de sesión de red.
  • Codificación: string.
  • Ejemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Población de metadatos de procesos

Process.command_line

  • Propósito: Almacena la string de línea de comandos para el proceso.
  • Codificación: string.
  • Ejemplo: c:\windows\system32\net.exe group

ID del proceso de proceso del producto específico

  • Propósito: Almacena el ID del proceso específico del producto.
  • Codificación: string.
  • Ejemplos: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id

  • Propósito: Almacena el ID del proceso específico del producto para el proceso superior.
  • Codificación: string.
  • Ejemplos: MySQL:78778 o CS:90512

Process.file

  • Propósito: Almacena el nombre del archivo en uso en el proceso.
  • Codificación: string.
  • Ejemplo: report.xls

Proceso.parent_parent

  • Propósito: Almacena los detalles del proceso superior.
  • Codificación: sustantivo (proceso)

Process.pid

  • Propósito: Almacena el ID del proceso.
  • Codificación: string.
  • Ejemplos:
    • 308
    • 2002

Población de metadatos del registro

Registro.registro_clave

  • Propósito: Almacena la clave de registro asociada con una aplicación o un componente del sistema.
  • Codificación: string.
  • Ejemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registro.registro_valor_valor

  • Propósito: Almacena el nombre del valor del registro asociado con una aplicación o un componente del sistema.
  • Codificación: string.
  • Ejemplo: TEMP

Registros.valor_registro

  • Propósito: Almacena los datos asociados con un valor de registro.
  • Codificación: string.
  • Ejemplo: %USERPROFILE%\Configuración local\Temp

Población de metadatos de resultados de seguridad

Los metadatos del resultado de seguridad incluyen detalles sobre los riesgos y las amenazas de seguridad que detectó un sistema de seguridad, así como las acciones que se realizaron para mitigar esos riesgos y amenazas.

SecurityResult.about.

  • Propósito: Proporcionar una descripción del resultado de seguridad.
  • Codificación: Sustantivo.

SecurityResult.action.

  • Propósito: Especificar una acción de seguridad
  • Codificación: tipo enumerado
  • Valores posibles: UDM de Chronicle define las siguientes acciones de seguridad:
    • ALLOW
    • ALLOW_WITH_MODIFICATION: Se desinfectó o reescribió el archivo o correo electrónico, y aún se reenvió.
    • BLOQUEAR
    • CUARENTENA: Almacenar para análisis posteriores (no significa bloqueo).
    • DESCONOCIDO

Detalles de SecurityResult.action_details

  • Propósito: Detalles proporcionados por el proveedor de la acción realizada como resultado del incidente de seguridad. Las acciones de seguridad a menudo se traducen mejor en el campo UDM Security_Result.action más general. Sin embargo, es posible que debas escribir reglas para la descripción exacta que proporciona el proveedor de la acción.
  • Codificación: string.
  • Ejemplos:Soltar, bloquear, desencriptar y encriptar.

SecurityResult.category.

  • Propósito: Especificar una categoría de seguridad
  • Codificación: Enumeración.
  • Valores posibles: UDM de Chronicle define las siguientes categorías de seguridad:
    • ACL_VIOLATION: Intento de acceso no autorizado, incluido el intento de acceso a los archivos, los servicios web, los procesos, los objetos web, etc.
    • AUTH_VIOLATION: Falló la autenticación, como una contraseña incorrecta o una autenticación de dos factores incorrecta.
    • DATA_AT_REST: DLP: Los datos del sensor que se encuentran en reposo en un análisis.
    • DATA_DESTRUCTION: Intento de destruir o eliminar datos.
    • DATA_EXFILTRATION: DLP: transmisión de datos del sensor, copia a memoria USB.
    • EXPLOIT: Intentos de desbordamiento, mala codificación de protocolo, ROP, inyección de SQL, etc., tanto en la red como en el host.
    • MAIL_PHISHING—Correo electrónico de suplantación de identidad, mensajes de chat, etc.
    • MAIL_SPAM: correo electrónico spam, mensaje, etc.
    • MAIL_SPOOFING—Dirección de correo electrónico de origen falsificada, etc.
    • CONTENT_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: Si se conoce el comando y el canal de control.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS—Comando y control, vulnerabilidad de red, actividad sospechosa, posible túnel inverso, etc.
    • NETWORK_SUSPICIOUS: No se relaciona con la seguridad; por ejemplo, la URL está vinculada a juegos de apuestas, etcétera
    • NETWORK_RECON: Escaneo de puerto detectado por un IDS, que sondea una aplicación web.
    • POLICY_VIOLATION: incumplimiento de la política de seguridad, incluidos los incumplimientos, firewall, proxy y reglas HIPS, o las acciones de bloqueo de NAC.
    • SOFTWARE_MALICIOUS: software malicioso, software espía, rootkits, etc.
    • SOFTWARE_PUA: aplicación potencialmente no deseada, como adware, etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence;

  • Objetivo: Especificar una confianza con respecto a un evento de seguridad según la estimación del producto.
  • Codificación: Enumeración.
  • Valores posibles: UDM de Chronicle define las siguientes categorías de confianza del producto:
    • CONFIDENCIAL_DESCONOCIDA
    • INTERVALO.CONFIANZA_BAJA
    • INTERVALO.CONFIANZA_MEDIUM
    • INTERVALO.CONFIANZA

SecurityResult.confidence_details.

  • Propósito: Detalles adicionales sobre la confianza en un evento de seguridad según la estimación del proveedor del producto.
  • Codificación: string.

SecurityResult.priority.

  • Objetivo: Especificar una prioridad en relación con un evento de seguridad que estima el proveedor del producto.
  • Codificación: Enumeración.
  • Valores posibles: UDM de Chronicle define las siguientes categorías de prioridad de producto:
    • PRIORIDAD DESCONOCIDA
    • PRIORIDAD BAJA
    • PRIORIDAD MEDIUM
    • PRIORIDAD ALTA

Detalles de SecurityResult.priority_details

  • Propósito: Información específica del proveedor sobre la prioridad del resultado de seguridad.
  • Codificación: string.

SecurityResult.rule_id.

  • Propósito: Identificador de la regla de seguridad
  • Codificación: string.
  • Ejemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Propósito: Nombre de la regla de seguridad.
  • Codificación: string.
  • Ejemplo: BlockInboundToOracle.

SecurityResult.severity

  • Objetivo: La gravedad de un evento de seguridad que estima el proveedor del producto mediante valores definidos por el UDM de Chronicle.
  • Codificación: Enumeración.
  • Valores posibles: La UDM de Chronicle define la siguiente gravedad del producto:
    • UNKNOWN_SEVERITY: No es malicioso
    • INFORMATIVO: No es malicioso.
    • ERROR: No es malicioso
    • LOW-Malicioso
    • MEDIUM: Malicioso
    • ALTO: Malicioso

Detalles de SecurityResult.severity_details

  • Propósito: La gravedad de un evento de seguridad que estima el proveedor del producto.
  • Codificación: string.

SecurityResult.threat_name

  • Propósito: Nombre de la amenaza de seguridad.
  • Codificación: string.
  • Ejemplos:
    • W32/Archivo-A
    • Vencedor

SecurityResult.url_back_to_product

  • Propósito: Es la URL que lo dirigirá a la consola del producto de origen para este evento de seguridad.
  • Codificación: string.

Población de metadatos de usuarios

Direcciones de correo electrónico de usuario.

  • Propósito: Almacena las direcciones de correo electrónico del usuario.
  • Codificación: string repetida
  • Ejemplo: juanperez@empresa.ejemplo.com

ID de usuario de empleado

  • Propósito: Almacena el ID de empleado de recursos humanos para el usuario.
  • Codificación: string.
  • Ejemplo: 11223344.

Usuario.primer_nombre

  • Propósito: Almacena el nombre del usuario.
  • Codificación: string.
  • Ejemplo: Juan.

Usuario.middle_name

  • Propósito: Almacena el segundo nombre del usuario.
  • Codificación: string.
  • Ejemplo: Antonio.

Usuario.apellido

  • Propósito: Almacena el apellido del usuario.
  • Codificación: string.
  • Ejemplo: Locke.

Identificadores de grupo de usuarios

  • Propósito: Almacena los ID de grupo (un GUID, OID de LDAP o similar) asociados con un usuario.
  • Codificación: string repetida
  • Ejemplo: administradores-usuarios.

Números de teléfono

  • Propósito: Almacena los números de teléfono del usuario.
  • Codificación: string repetida
  • Ejemplo: 800-555-0101

Usuario.title

  • Propósito: Almacena el cargo para el usuario.
  • Codificación: string.
  • Ejemplo: administrador de relaciones con clientes.

Nombre_usuario_visual_usuario

  • Propósito: Almacena el nombre visible del usuario.
  • Codificación: string.
  • Ejemplo: Juan Pérez.

User.userid

  • Propósito: Almacena el ID del usuario.
  • Codificación: string.
  • Ejemplo:jlocke.

Usuario.windows_sid

  • Propósito: Almacena el identificador de seguridad (SID) de Microsoft Windows asociado con un usuario.
  • Codificación: string.
  • Ejemplo: S-1-5-21-1180649209-123456789-3582944384-1064

Población de metadatos de vulnerabilidades

Vulnerabilidad.about

  • Propósito: Si la vulnerabilidad está relacionada con un sustantivo específico (por ejemplo, ejecutable), agrégalo aquí.
  • Codificación: Sustantivo. Consulta Metadatos de población de sustantivos
  • Ejemplo: ejecutable.

Vulnerabilidad.cvss_score_base

  • Propósito: Puntuación base para el Sistema de puntuación de vulnerabilidades común (CVSS).
  • Codificación: Punto flotante.
  • Rango: de 0.0 a 10.0
  • Ejemplo: 8,5

Vulnerabilidad.cvss_vector

  • Propósito: Vector de las propiedades CVSS de la vulnerabilidad. Una puntuación de CVSS está compuesta por las siguientes métricas:

    • Vector de ataque (AV)
    • Complejidad de acceso (AC)
    • Authentication (au)
    • Impacto en la confidencialidad (C)
    • Impacto en la integridad (I)
    • Impacto en la disponibilidad (A)

    Para obtener más información, consulta https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=VALUE.

  • Codificación: string.

  • Ejemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerabilidad.cvss_version

  • Propósito: Versión de CVSS para el vector o la puntuación de vulnerabilidad.
  • Codificación: string.
  • Ejemplo: 3.1

Vulnerabilidad.descripción

  • Propósito: Descripción de la vulnerabilidad.
  • Codificación: string.

Vulnerabilidad.primer_descubrimiento

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben propagarse primero en el momento en que se detecta por primera vez la vulnerabilidad de este recurso.
  • Codificación: string.

Vulnerabilidad.último_encontrado

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben propagarse al final con la fecha y hora en las que se detectó la vulnerabilidad más reciente en este activo.
  • Codificación: string.

Nombre de la vulnerabilidad

  • Propósito: Nombre de la vulnerabilidad.
  • Codificación: string.
  • Ejemplo: Se detectó una versión del SO no compatible.

Vulnerabilidad.análisis_tiempo_finalización

  • Propósito: Si se descubrió la vulnerabilidad durante un análisis de recursos, propaga este campo con la hora en la que finalizó el análisis. Deja este campo vacío si la hora de finalización no está disponible o no es aplicable.
  • Codificación: string.

Vulnerabilidad.análisis_inicio_hora

  • Propósito: Si se descubrió la vulnerabilidad durante un análisis de recursos, propaga este campo con la hora en que comenzó el análisis. Deja este campo vacío si la hora de inicio no está disponible o no es aplicable.
  • Codificación: string.

Vulnerabilidad

  • Propósito: La gravedad de la vulnerabilidad.
  • Codificación: tipo enumerado
  • Valores posibles:
    • UNKNOWN_SEVERITY
    • BAJO
    • MEDIO
    • ALTO

Detalles de vulnerabilidad.severity_details

  • Propósito: Detalles de gravedad específicos del proveedor.
  • Codificación: string.

Población de metadatos de alertas

idm.is_significativo

  • Propósito: Especifica si se debe mostrar la alerta en Enterprise Insights.
  • Codificación: booleana

idm.is_alert

  • Propósito: Identifica si el evento es una alerta.
  • Codificación: booleana

Campos obligatorios y opcionales según el tipo de evento

En esta sección, se describen los campos obligatorios y opcionales para que se propaguen, según el tipo de evento de UDM. Para obtener una descripción de estos campos, consulta la lista de campos del modelo de datos unificado.

CORREO ELECTRÓNICO DE TRANSACCIÓN

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal: Propaga con información sobre la máquina de donde proviene el mensaje de correo electrónico. Por ejemplo, la dirección IP del remitente.

Campos opcionales:

  • about: URL, direcciones IP, dominios y archivos adjuntos adjuntos en el cuerpo del correo electrónico.
  • securityResult.about: las URL, las IP y los archivos incorporados de forma incorrecta dentro del cuerpo del correo electrónico
  • network.email: La información de remitente o destinatario del correo electrónico.
  • Principal: Si hay datos de máquina del cliente sobre quién envió el correo electrónico, propaga los detalles del servidor en la principal (por ejemplo, el proceso del cliente, los números de puerto, el nombre de usuario, etcétera).
  • target: si hay datos de servidor de correo electrónico de destino, propaga los detalles del servidor de destino (por ejemplo, la dirección IP).
  • Intermediario: Si hay datos del servidor de correo electrónico o datos del proxy de correo, propaga los detalles del servidor en el intermediario.

Notas:

  • Nunca propagues principal.email o target.email.
  • Solo propaga el campo de correo electrónico en security_result.about o network.email.
  • Los resultados de seguridad de nivel superior generalmente tienen un sustantivo establecido (opcional para spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ y FILE_OPEN

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Propagar principal.process con información sobre el proceso que accede al archivo
  • target:
    • Si el archivo es remoto (por ejemplo, el recurso compartido SMB), el destino debe incluir al menos un identificador de máquina para la máquina de destino; de lo contrario, todos los identificadores de máquina deben quedar en blanco.
    • Propagar target.file con información sobre el archivo.

Opcional:

  • security_result: describe la actividad maliciosa detectada.
  • principal.user: Propaga si la información del usuario está disponible sobre el proceso.

FILE_COPY

Campos obligatorios:

  • Metadatos: Incluye los campos obligatorios como se describe.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Propaga principal.process con información sobre el proceso que realiza la operación de copia del archivo.
  • src:
    • Propaga src.file con información sobre el archivo de origen.
    • Si el archivo es remoto (por ejemplo, el recurso compartido SMB), src debe incluir al menos un identificador de máquina para la máquina de origen que almacena el archivo de origen.
  • target:
    • Propaga target.file con información sobre el archivo de destino.
    • Si el archivo es remoto (por ejemplo, el recurso compartido de SMB), el campo objetivo debe incluir al menos un identificador de máquina para la máquina de destino que contiene el archivo de destino.

Campos opcionales:

  • security_result: describe la actividad maliciosa detectada.
  • principal.user: Propaga si la información del usuario está disponible sobre el proceso.

MUTEX_CREATION

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal:
    • Al menos un identificador de máquina.
    • Propaga principal.process con información sobre el proceso que crea la exclusión mutua.
  • target:
    • Propaga target.resource.
    • Propaga target.resource.type con MUTEX.
    • Propaga target.resource.name con el nombre de la exclusión mutua creada.

Opcional:

  • security_result: describe la actividad maliciosa detectada.
  • principal.user: Propaga si la información del usuario está disponible sobre el proceso.
Ejemplo de UDM para MUTEX_CREATION

En el siguiente ejemplo, se muestra cómo se formatearía un evento del tipo MUTEX_CREATION para la UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Detalles del dispositivo y proceso
  • target: Información sobre la exclusión mutua.

CONEXIÓN DE RED

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye detalles sobre la máquina que inició la conexión de red (por ejemplo, la fuente).
  • target: Incluye detalles sobre la máquina de destino si es diferente de la máquina principal.
  • network: Captura detalles sobre la conexión de red (puertos, protocolo, etcétera).

Campos opcionales:

  • principal.process y target.process: incluye información del proceso asociado con el principal y el destino de la conexión de red (si está disponible)
  • principal.user y target.user: incluye la información del usuario asociada con la principal y el destino de la conexión de red (si está disponible).

HTTP_RED

El tipo de evento NETWORK_HTTP representa una conexión de red HTTP de una principal a un servidor web de destino.

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal: Representa al cliente que inicia la solicitud web e incluye al menos un identificador de máquina (por ejemplo, nombre de host, IP, MAC, identificador de recurso de propiedad) o un identificador de usuario (por ejemplo, nombre de usuario). Si se describe una conexión de red específica y hay un número de puerto de cliente disponible, solo se debe especificar una dirección IP junto con el número de puerto asociado a esa conexión de red (aunque se podrían proporcionar otros identificadores de máquina para describir mejor el dispositivo del participante). Si no hay un puerto de origen disponible, se pueden especificar todas las direcciones IP y MAC, los identificadores de recursos y los valores de nombre de host que describan el dispositivo principal.
  • target: Representa el servidor web e incluye información del dispositivo y, de forma opcional, un número de puerto. Si hay un número de puerto de destino disponible, especifica solo una dirección IP además del número de puerto asociado a esa conexión de red (aunque se podrían proporcionar varios otros identificadores de máquina para el destino). Para target.url, propágalo con la URL a la que se accedió.
  • network y network.http: incluye detalles sobre la conexión de red HTTP. Debes propagar los siguientes campos:
    • network.ip_protocol
    • network.application_protocol
    • red.http.method

Campos opcionales:

  • about: Representa otras entidades encontradas en la transacción HTTP (por ejemplo, un archivo subido o descargado).
  • Intermediario: Representa un servidor proxy (si es diferente del principal o de la orientación).
  • metadata: Propaga los otros campos de los metadatos.
  • network: Llene otros campos de redes.
  • network.email: si la conexión de red HTTP se originó a partir de una URL que apareció en un mensaje de correo electrónico, propaga network.email con los detalles.
  • observer: Representa un detector pasivo (si está presente).
  • security_result: agrega uno o más elementos al campo security_result para representar la actividad maliciosa detectada.
Ejemplo de UDM para NETWORK_HTTP

En el siguiente ejemplo, se ilustra cómo un evento antivirus de Sophos de tipo NETWORK_HTTP se convierte al formato UDM de Chronicle.

A continuación, se detalla el evento original del antivirus Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

A continuación, se muestra cómo dar formato a la misma información en Proto3 mediante la sintaxis de UDM de Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Dispositivo de seguridad que detectó el evento.
  • target: Dispositivo que recibió el software malicioso.
  • network: información de red sobre el host malicioso
  • security_result: Detalles de seguridad del software malicioso
  • adicional: La información del proveedor se encuentra fuera del alcance de la UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal:
    • Al menos un identificador de máquina.
    • Para la inserción de procesos y los eventos de finalización de procesos, si están disponibles, principal.process debe incluir información sobre el proceso que inicia la acción (por ejemplo, para un evento de lanzamiento de proceso, principal.process debe incluir detalles sobre el proceso superior si está disponible).
  • target:
    • target.process: incluye información sobre el proceso que se incorpora, abre, inicia o finaliza.
    • Si el proceso de destino es remoto, el destino debe incluir al menos un identificador de máquina para la máquina de destino (por ejemplo, una dirección IP, una MAC, un nombre de host o un identificador de recursos de terceros).

Campos opcionales:

  • security_result: describe la actividad maliciosa detectada.
  • principal.user y target.user: Propaga el proceso de inicio (principal) y el proceso de destino si la información de usuario está disponible.
Ejemplo de UDM para PROCESS_LAUNCH

En el siguiente ejemplo, se muestra cómo dar formato a un evento PROCESS_LAUNCH mediante la sintaxis de UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Detalles del dispositivo.
  • target: Detalles del proceso.

PROCESO_DE_MODIFICACIÓN

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: proceso de carga del módulo.
  • target:
    • target.process: incluye información sobre el proceso.
    • target.process.file: Módulo cargado (por ejemplo, el DLL o el objeto compartido)

Campos opcionales:

  • security_result: describe la actividad maliciosa detectada.
  • principal.user: Propaga si la información del usuario está disponible sobre el proceso.
Ejemplo de UDM para PROCESS_MODULE_LOAD

En el siguiente ejemplo, se muestra cómo dar formato a un evento PROCESS_MODULE_LOAD mediante la sintaxis de UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Son los detalles sobre el dispositivo y el proceso de carga del módulo.
  • target: Detalles del módulo y del proceso.

PROCESO_PRIVILEGIO_ESCALACIÓN

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: proceso de carga del módulo.
    • principal.user: Usuario que carga el módulo.

Campos opcionales:

  • security_result: describe la actividad maliciosa detectada.
Ejemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

En el siguiente ejemplo, se muestra cómo dar formato a un evento PROCESS_PRIVILEGE_ESCALATION mediante la sintaxis UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Son los detalles sobre el dispositivo, el usuario y el proceso de carga del módulo.
  • target: Detalles del módulo y del proceso.

REGISTRY_CREATION, REGISTRY_MODIFICATION y REGISTRY_DELETION

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal:
    • Al menos un identificador de máquina.
    • Si un proceso de modo de usuario realiza la modificación del registro, principal.process debe incluir información sobre el proceso que modifica el registro.
    • Si un proceso de kernel realiza la modificación del registro, el principal no debe incluir información del proceso.
  • target:
    • target.registry: si el registro de destino es remoto, el destino debe incluir al menos un identificador para la máquina de destino (por ejemplo, una dirección IP, una MAC, un nombre de host o un identificador de recursos de terceros).
    • target.registry.registry_key: todos los eventos de registro deben incluir la clave de registro afectada.

Opcional:

  • security_result: Describe la actividad maliciosa detectada. Por ejemplo, una clave de registro incorrecta.
  • principal.user: Propaga la información del usuario si está disponible sobre el proceso.
Ejemplo de UDM para REGISTRY_MODIFICATION

En el siguiente ejemplo, se muestra cómo dar formato a un evento REGISTRY_MODIFICATION en Proto3 mediante la sintaxis Uhr de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Dispositivo, usuario y detalles del proceso.
  • target: Entrada de registro afectada por la modificación

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obligatorios:

  • extensions: para SCAN_VULN_HOST y SCAN_VULN_NETWORK, define la vulnerabilidad mediante el campo extensions.vuln.
  • metadata: event_timestamp
  • observer: captura información sobre el escáner. Si el escáner es remoto, el campo del observador debe capturar los detalles de la máquina. Para un escáner local, deja vacío.
  • target: Captura información sobre la máquina que contiene el objeto que se analiza. Si se está analizando un archivo, target.file debe capturar información sobre el archivo analizado. Si se está analizando un proceso, target.process debe capturar la información sobre el proceso analizado.

Campos opcionales:

  • target: Los detalles del usuario sobre el objeto de destino (por ejemplo, el creador del archivo o el propietario del proceso) se deben capturar en target.user.
  • security_result: describe la actividad maliciosa detectada.
Ejemplo de UDM para SCAN_HOST

En el siguiente ejemplo, se ilustra cómo se formatearía un evento del tipo SCAN_HOST para el UDM de Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • target: Dispositivo que recibió el software malicioso.
  • observador: Dispositivo que observa e informa sobre el evento en cuestión.
  • security_result: Detalles de seguridad del software malicioso

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obligatorios:

  • principal: Para todos los eventos SCHEDULED_TASK, la principal debe incluir un identificador de máquina y un identificador de usuario.
  • target: El objetivo debe incluir un recurso válido y un tipo de recurso definido como "TASK".

Campos opcionales:

  • security_result: describe la actividad maliciosa detectada.
Ejemplo de UDM para SCHEDULED_TASK_CREATION

En el siguiente ejemplo, se ilustra cómo se puede formatear un evento de tipo SCHEDULED_TASK_CREATION para el UDM de Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Dispositivo que programó la tarea sospechosa.
  • target: software orientado por la tarea sospechosa.
  • intermediario: Intermediario en una tarea sospechosa.
  • security_result: Detalles de seguridad de la tarea sospechosa.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campos obligatorios:

  • principal: Debe estar presente, no debe estar vacío y debe incluir un identificador de máquina.
  • target: Debe estar presente, no debe estar vacío y debe incluir un recurso cuyo tipo se especifique como SETTING.
Ejemplo de UDM para el tipo de evento SETTING_MODIFICATION

En el siguiente ejemplo, se muestra cómo se formatearía un evento del tipo SETTING_MODIFICATION para el UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Información sobre el dispositivo en el que se modificó la configuración.
  • target: Detalles del recurso.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campos obligatorios:

  • target: Incluye el identificador del usuario y especifica el proceso o la aplicación.
  • Principal: Incluye al menos un identificador de máquina (DIRECCIÓN MAC o MAC, nombre de host o identificador de recurso).
Ejemplo de UDM para SERVICE_UNSPECIFIED

En el siguiente ejemplo, se muestra cómo se formatearía un evento del tipo SERVICE_UNSPECIFIED para el UDM de Chronicle:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Detalles del dispositivo y la ubicación.
  • target: el nombre de host y el identificador de usuario.
  • application: el nombre de la aplicación y el tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • principal: Al menos un identificador de máquina (IP o MAC ADDRESS, nombre de host o identificador de recurso).
Ejemplo de UDM para STATUS_HEARTBEAT

En el siguiente ejemplo, se muestra cómo se formatearía un evento del tipo STATUS_HEARTBEAT para el UDM de Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Detalles del dispositivo y la ubicación.
  • intermediario: Dirección IP del dispositivo
  • security_result: Detalles del resultado de seguridad.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obligatorios:

  • principal: Incluye un identificador de usuario para el usuario que realizó la operación en el registro y un identificador de máquina para la máquina en la que se encuentra (o en el caso de la limpieza) el registro.
Ejemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

En el siguiente ejemplo, se muestra cómo se formatearía un evento del tipo SYSTEM_AUDIT_LOG_WIPE para el UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadatos: información general sobre el evento.
  • principal: Detalles del dispositivo y el usuario.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • Principal: Si la cuenta de usuario se modifica desde una ubicación remota, propaga la principal con información sobre la máquina desde donde se originó la modificación del usuario.
  • target: Llene el campo target.user con información sobre el usuario que se modificó.
  • Intermediario: En los accesos de SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.

COMUNICACIÓN_DE_USUARIO

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con la comunicación iniciada por el usuario (remitente), como un mensaje de chat en Google Chat o Slack, una videoconferencia o una llamada de voz en Zoom o Google Meet, o una conexión VoIP.

Campos opcionales:

  • target: (Recomendado) Propaga el campo target.user con información sobre el usuario de destino (el receptor) del recurso de comunicación en la nube. Propaga el campo target.application con información sobre la aplicación de comunicación en la nube de destino.

USER_CREATION, USER_DELETION

Campos obligatorios:

  • metadata: event_timestamp
  • Principal: Incluye información sobre la máquina de la que se originó la solicitud para crear o borrar el usuario. Para una creación o eliminación de usuario local, la principal debe incluir al menos un identificador de máquina para la máquina de origen.
  • target: Ubicación donde se crea el usuario También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

  • Principal: Detalles del usuario y del proceso de la máquina en la que se inició la solicitud de creación o eliminación del usuario
  • target: Información sobre la máquina de destino (si es diferente de la máquina principal)

USER_LOGIN, USER_LOGOUT

Campos obligatorios:

  • metadata: Incluir los campos obligatorios
  • Principal: Para la actividad remota del usuario (por ejemplo, el acceso remoto), completa la principal con información sobre la máquina que originó la actividad del usuario. Para la actividad del usuario local (por ejemplo, acceso local), no configures principal.
  • target: Propaga target.user con información sobre el usuario que accedió o cerró la sesión. Si la principal no está configurada (por ejemplo, acceso local), el destino también debe incluir al menos un identificador de máquina que identifique la máquina de destino. Para la actividad de usuario de máquina a máquina (por ejemplo, acceso remoto, SSO, servicio de Cloud, VPN), el destino debe incluir información en la aplicación de destino, la máquina de destino o el servidor de VPN de destino.
  • Intermediario: En los accesos de SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.
  • network y network.http: si el acceso se produce a través de HTTP, debes colocar todos los detalles disponibles en network.ip_protocol, network.application_protocol y network.http.
  • Extensión authentication: Debe identificar el tipo de sistema de autenticación relacionado con el evento (por ejemplo, máquina, SSO o VPN) y el mecanismo empleado (nombre de usuario y contraseña, OTP, etcétera).
  • security_result: agrega un campo security_result para representar el estado de acceso si falla. Especifica security_result.category con el valor AUTH_VIOLATION si falla la autenticación.

USER_RESOURCE_ACCESS

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles sobre los intentos de acceso a un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office365, un documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de la nube de destino.

Campos opcionales:

  • target.application: (Recomendada) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con el usuario creado dentro de un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office365, un documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de la nube de destino.

Campos opcionales:

  • target.application: (Recomendada) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con el usuario cuyo contenido se actualizó dentro de un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office365, un Documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de la nube de destino.

Campos opcionales:

  • target.application: (Recomendada) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con el usuario cuyos permisos se actualizaron dentro de un recurso de la nube (por ejemplo, un caso de Salesforce, un calendario de Office365, un documento de Google o un ticket de ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de la nube de destino.

Campos opcionales:

  • target.application: (Recomendada) Propaga el campo target.application con información sobre la aplicación en la nube de destino.

USER_UNCATEGORIZED

Campos obligatorios:

  • metadata: event_timestamp
  • Principal: Incluye información sobre la máquina de la que se originó la solicitud para crear o borrar el usuario. Para una creación o eliminación de usuario local, la principal debe incluir al menos un identificador de máquina para la máquina de origen.
  • target: Ubicación donde se crea el usuario También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

  • Principal: Detalles del usuario y del proceso de la máquina en la que se inició la solicitud de creación o eliminación del usuario
  • target: Información sobre la máquina de destino (si es diferente de la máquina principal)