Guía de uso del modelo de datos unificado

En este documento, se proporciona una descripción más detallada de los campos en el esquema del Modelo de datos unificado (UDM) y los obligatorios en comparación con los opcionales según el tipo de evento. Para la evaluación del motor de reglas, el prefijo comienza con udm., mientras que el prefijo de normalizador basado en la configuración (CBN) comienza event.idm.read_only_udm.

Población de metadatos de eventos

La sección de metadatos de eventos para eventos de UDM almacena información general sobre cada evento.

Metadata.event_type

  • Propósito: especifica el tipo de evento. Si un evento tiene varios tipos posibles, este valor debe especificar el tipo más específico.
  • Obligatorio:
  • Codificación: debe ser uno de los tipos predefinidos de event_type de UDM.
  • Valores posibles: A continuación, se enumeran todos los valores posibles para event_type dentro de UDM.

Eventos de correo electrónico:

  • CORREO ELECTR_NICO_TRANSACCI_N
  • CORREO ELECTR_NICO NO CATEGORIZADO

Eventos de archivo realizados en un extremo:

  • FILE_UNCATEGORIZED
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_READ (por ejemplo, leer un archivo de contraseña)
  • FILE_COPY (por ejemplo, copiar un archivo a una memoria miniatura)
  • FILE_OPEN (por ejemplo, abrir un archivo puede indicar una violación de la seguridad)

Eventos que no pertenecen a ninguna otra categoría, incluidos los eventos de Windows no categorizados.

  • GENERIC_EVENT

Eventos de exclusiones mutuas (objeto de exclusión mutua):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetría de red, incluidas las cargas útiles de protocolos sin procesar, como DHCP y DNS, así como resúmenes de protocolos para protocolos como HTTP, SMTP y FTP, y eventos de flujo y conexión de Netflow y firewalls.

  • RED_UNCATEGORIZED
  • NETWORK_FLOW (por ejemplo, estadísticas de flujo agregadas de Netflow)
  • NETWORK_CONNECTION (por ejemplo, detalles de conexión de red de un firewall)
  • NETWORK_FTP
  • RED_DHCP
  • DNS_RED
  • RED_HTTP
  • NETWORK_SMTP

Cualquier evento que pertenezca a un proceso, como un lanzamiento de un proceso, un proceso que cree algo malicioso, un proceso que inserte en otro proceso, un cambio de una clave de registro, un archivo malicioso en un disco, etcétera

  • Inyección
  • Process_LAUNCH
  • PROCESO_MODULE_LOAD
  • PROCESO_ABRIDO
  • PROCESO_PRIVILEGE_ESCALATION
  • PROCESO_DE_PLAZO
  • PROCESO_NO_CATEGORIZADO

Usa los eventos REGISTRY en lugar de los eventos Setting cuando se trata de eventos de registro específicos de Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventos orientados al análisis. Incluye análisis a pedido y detecciones de comportamientos realizadas por productos de seguridad de extremos (EDR, AV, DLP). Solo se usa cuando se conecta un SecurityResult a otro tipo de evento (como Process_LAUNCH).

  • SCAN_UNCATEGORIZED
  • ESCANEAR
  • SCAN_HOST
  • SCAN_Process
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tareas programadas (Windows Task Scheduler, cron, etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de servicio:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION;
  • SERVICE_START
  • SERVICE_STOP

Configura eventos, incluso cuando se cambia una configuración del sistema en un extremo.

  • CONFIGURACI_N_NO CATEGORIZADA
  • CONFIGURACI_N_CREACIATIONN
  • CONFIGURACI_N_MODIFICACITIONN
  • Parámetro de configuración

Mensajes de estado de productos de seguridad para indicar que los agentes están activos y enviar versiones, huellas digitales y otros tipos de datos

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica que el producto está activo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (actualización de software o huella dactilar)

Eventos del registro de auditoría del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventos de actividad de autenticación de usuarios:

  • USER_UNCATEGORIZED
  • USER_badge_IN (por ejemplo, cuando un usuario accede físicamente a un sitio)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USUARIO_COMUNICACIATIONN
  • USUARIO_CREACIATIONN
  • USER_DELETION
  • ACCESO_USUARIO
  • este usuario
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Propósito: Codifica la marca de tiempo GMT cuando la infraestructura de recopilación local del proveedor recopiló el evento.
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: “2019-09-10T20:32:31-08:00”
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadatos.event_timestamp

  • Propósito: Codifica la marca de tiempo GMT cuando se generó el evento.
  • Obligatorio:
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.
  • Ejemplo:
    • RFC 3339: 10-09-2019: 20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

descripcióndemetadatos.

  • Propósito: Descripción legible del evento.
  • Codificación:string alfanumérica, puntuación permitida, 1,024 bytes como máximo
  • Ejemplo: El archivo c:\bar\foo.exe no puede acceder al documento sensible c:\documents\earnings.docx.

metadata.product_event_type

  • Objetivo: Nombre o tipo de evento breve, descriptivo, legible para personas y específico del producto.
  • Codificación:string alfanumérica, puntuación permitida, 64 bytes como máximo.
  • Ejemplos:
    • Evento de creación de registro
    • ProcessRollUp
    • Se detectó una elevación de privilegios
    • Se bloqueó software malicioso

metadata.product_log_id

  • Propósito: Codifica un identificador de evento específico del proveedor para identificar de forma única el evento (un GUID). Los usuarios pueden usar este identificador para buscar el evento en cuestión en la consola exclusiva del proveedor.
  • Codificación:string alfanumérica que distingue entre mayúsculas y minúsculas, puntuación permitida, 256 bytes como máximo
  • Ejemplo: ABcd1234-98766

metadata.product_name

  • Propósito: especifica el nombre del producto.
  • Codificación:string alfanumérica que distingue entre mayúsculas y minúsculas, puntuación permitida, 256 bytes como máximo
  • Ejemplos:
    • Halcón
    • Symantec Endpoint Protection

Metadatos.product_version

  • Propósito: Especifica la versión del producto.
  • Codificación: string alfanumérico, puntos y guiones permitidos, con un máximo de 32 bytes
  • Ejemplos:
    • 1,2.3b
    • 10.3:rev1

metadata.url_back_to_product

  • Propósito: Vínculo de URL a un sitio web relevante donde puede ver más información sobre este evento específico (o la categoría del evento general)
  • Codificación:URL RFC 3986 válida con parámetros opcionales, como información del puerto, etc. Debe tener un prefijo de protocolo antes de la URL (por ejemplo, https:// o http://).
  • Ejemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

metadata.vendor_name

  • Propósito: Especifica el nombre del proveedor del producto.
  • Codificación:string con distinción entre mayúsculas y minúsculas, carácter alfanumérico, puntuación máxima de 256 bytes
  • Ejemplos:
    • CrowdStrike
    • Symantec

Población de los metadatos del sustantivo

En esta sección, la palabra sustantivo es un término general que se usa para representar las entidades. principal, src, target, intermediario, observador y sobre Estas entidades tienen atributos comunes, pero representan diferentes objetos en un evento. Para obtener más información sobre las entidades y lo que representa cada evento, consulta Da formato a los datos de registro como UDM.

Sustantivo.activo_id

  • Propósito: Identificador de dispositivo único específico del proveedor (por ejemplo, un GUID que se genera cuando se instala software de seguridad de extremos en un dispositivo nuevo que se usa para hacer un seguimiento de ese dispositivo único a lo largo del tiempo)
  • Codificación:VendorName.ProductName:ID, en el que VendorName no distingue entre mayúsculas y minúsculas* *nombre del proveedor, como “Carbon Black”, ProductName es un nombre de producto que no distingue entre mayúsculas y minúsculas, como "Respuesta" o "Protección de extremos", y el ID es un identificador de cliente específico del proveedor que es único a nivel global dentro del entorno de su cliente (por ejemplo, un GUID o un valor único que identifica un dispositivo único). , VendorName y ProductName son alfanuméricos y no deben tener más de 32 caracteres. ID puede tener una longitud máxima de 128 caracteres y puede incluir caracteres alfanuméricos, guiones y puntos.
  • Ejemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Sustantivo.correo electrónico

  • Propósito: Dirección de correo electrónico
  • Codificación: formato de dirección de correo electrónico estándar.
  • Ejemplo:juan@prueba.altostrat.com

Sustantivo.file

Sustantivo.nombre

  • Propósito: Nombre de host o nombre de dominio del cliente. No incluyas si hay una URL presente.
  • Codificación: nombre de host RFC 1123 válido.
  • Ejemplos:
    • userwin10
    • www.altostrat.com

Sustantivo.plataforma

  • Propósito: Sistema operativo de la plataforma.
  • Codificación:Enumeración
  • Valores posibles:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Sustantivo.platform_patch_level

  • Propósito: Nivel de parche del sistema operativo de la plataforma.
  • Codificación:string alfanumérica con puntuación, 64 caracteres como máximo.
  • Ejemplo: Compilación 17134.48

Sustantivo.versión_de_plataforma

  • Propósito: Versión del sistema operativo de la plataforma
  • Codificación:string alfanumérica con puntuación, 64 caracteres como máximo.
  • Ejemplo: Microsoft Windows 10 versión 1803

Sustantivo.proceso

Sustantivo.ip

  • Propósito:
    • Dirección IP única asociada con una conexión de red.
    • Una o más direcciones IP asociadas con un dispositivo participante en el momento en que ocurrió el evento (por ejemplo, si un producto EDR conoce todas las direcciones IP asociadas con un dispositivo, puede codificar todas estas dentro de campos IP).
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.
  • Repetibilidad:
    • Si un evento describe una conexión de red específica (por ejemplo, srcip:srcport > dstip:dstport), el proveedor debe proporcionar una sola dirección IP.
    • Si un evento describe la actividad general que se produce en un dispositivo participante, pero no en una conexión de red específica, el proveedor puede proporcionar todas las direcciones IP asociadas para el dispositivo en el momento del evento.
  • Ejemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Sustantivo.port

  • Propósito: Número de puerto de red de origen o destino cuando se describe una conexión de red específica dentro de un evento.
  • Codificación: número de puerto TCP/IP válido del 1 al 65,535.
  • Ejemplos:

    • 80
    • 443

Sustantivo.mac

  • Propósito: Una o más direcciones de MAC asociadas con un dispositivo.
  • Codificación: dirección MAC válida (EUI-48) en ASCII.
  • Repetibilidad: El proveedor puede proporcionar todas las direcciones MAC asociadas al dispositivo en el momento del evento.
  • Ejemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Sustantivo.administrador_dominio

  • Propósito: El dominio al que pertenece el dispositivo (por ejemplo, el dominio de Windows).
  • Codificación: String de nombre de dominio válida (128 caracteres como máximo).
  • Ejemplo: corp.altostrat.com

Sustantivo.registro

Sustantivo.url

  • Propósito: URL estándar
  • Codificación: URL (RFC 3986). Debe tener un prefijo de protocolo válido (por ejemplo, https:// o ftp://). Debe incluir el dominio y la ruta de acceso completos. Puede incluir los parámetros de URL.
  • Ejemplo: https://foo.altostrat.com/bletch?a=b;c=d

Sustantivo.usuario

Población de los metadatos de autenticación

Authentication.AuthType

  • Propósito: Tipo de sistema con el que está asociado un evento de autenticación (Chronicle UDM).
  • Codificación: tipo enumerado.
  • Valores posibles:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: Autenticación de máquina
    • F PHSICA: Autenticación física (por ejemplo, un lector de insignias)
    • SSO
    • TACACS: Protocolo familiar de TACACS para la autenticación de sistemas conectados en red (por ejemplo, TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Propósito: Describe el estado de autenticación de un usuario o credencial específica.
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_AUTHENTICATION_STATUS: Estado de autenticación predeterminado
    • ACTIVO: El método de autenticación está en estado activo
    • SUSPENDIDO: El método de autenticación está suspendido o inhabilitado
    • BORRADO: Se borró el método de autenticación
    • NO_ACTIVE_CREDENTIALS: El método de autenticación no tiene credenciales activas.

Authentication.auth_details

  • Propósito: Detalles de autenticación definidos por el proveedor.
  • Codificación:String.

Authentication.Mecanismo

  • Propósito: Mecanismos que se usan para la autenticación
  • Codificación: tipo enumerado.
  • Valores posibles:
    • MECHANISM_UNSPECIFIED: El mecanismo de autenticación predeterminado.
    • Insignia_READER
    • BATCH: Autenticación por lotes.
    • CACHED_INTERACTIVE: Autenticación interactiva mediante credenciales almacenadas en caché.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER: Otro mecanismo que no está definido aquí.
    • RED: autenticación de red.
    • NETWORK_CLEAR_TEXT: Autenticación de texto sin formato de red.
    • NEW_CREDENTIALS: La autenticación con credenciales nuevas.
    • OTP
    • REMOTE: Autenticación remota
    • REMOTE_INTERACTIVE: RDP, servicios de terminal, computación de red virtual (VNC), etc.
    • SERVICIO: Autenticación del servicio.
    • UNlock: Autenticación directa de desbloqueo interactivo por humanos
    • NOMBRE_DE_USUARIO

Población de metadatos DHCP

Los campos de metadatos del Protocolo de control de host dinámico (DHCP) capturan información de registro del protocolo de administración de red de DHCP.

Dhcp.client_hostname

  • Propósito: Nombre de host para el cliente. Consulta RFC 2132, Opciones de DHCP y extensiones del proveedor BOOTP para obtener más información.
  • Codificación:String.

Dhcp.client_identifier

  • Propósito: Identificador de cliente. Consulta RFC 2132, Opciones de DHCP y extensiones del proveedor BOOTP para obtener más información.
  • Codificación: Bytes.

Dhcp.file

  • Propósito: Nombre de archivo para la imagen de arranque.
  • Codificación:String.

Marcas de DHCP

  • Propósito: Valor para el campo de marcas DHCP.
  • Codificación:número entero de 32 bits sin firma.

Dhcp.hlen

  • Propósito: La longitud de la dirección del hardware.
  • Codificación:número entero de 32 bits sin firma.

Dhcp.hops

  • Propósito: Recuento de saltos de DHCP.
  • Codificación:número entero de 32 bits sin firma.

Dhcp.htype

  • Propósito: Tipo de dirección de hardware.
  • Codificación:número entero de 32 bits sin firma.

Dhcp.lease_time_seconds

  • Propósito: El tiempo de asignación que solicita el cliente para una dirección IP en segundos. Consulta RFC 2132, Opciones de DHCP y extensiones del proveedor BOOTP para obtener más información.
  • Codificación:número entero de 32 bits sin firma.

Dhcp.opcode

  • Propósito: Código de operación BOOTP (consulta la sección 3 de RFC 951).
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Propósito: Identificador de cliente. Consulta RFC 2132, Opciones de DHCP y extensiones del proveedor BOOTP para obtener más información.
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.segundos

  • Propósito: Segundos transcurridos desde que el cliente comenzó el proceso de adquisición/renovación de dirección.
  • Codificación:número entero de 32 bits sin firma.

Nombre de dhcp

  • Propósito: El nombre del servidor desde el que el cliente solicitó el inicio.
  • Codificación:String.

Dhcp.transaction_id

  • Propósito: ID de transacción del cliente.
  • Codificación:número entero de 32 bits sin firma.

Dhcp.type

  • Propósito: Tipo de mensaje DHCP. Consulta RFC 1533 para obtener más información.
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFERTA
    • SOLICITUD
    • RECHAZAR
    • Confirmación
    • NAK
    • RELEASE
    • INFORMAR
    • COMPLETADO
    • WIN_EXPIRED

DHCP.chaddr

  • Propósito: Dirección IP para el hardware del cliente.
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.ciaddr

  • Propósito: Dirección IP para el cliente.
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

DDPP.giaddr

  • Propósito: dirección IP para el agente de retransmisión.
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.siaddr

  • Propósito: Dirección IP para el siguiente servidor de arranque.
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Dhcp.yiaddr

  • Propósito: Tu dirección IP.
  • Codificación: dirección IPv4 o IPv6 válida (RFC 5942) codificada en ASCII.

Población de metadatos de opciones de DHCP

Los campos de metadatos de la opción DHCP capturan la información de registro de la opción DHCP.

Opción.código

  • Propósito: Almacena el código de la opción DHCP. Consulta RFC 1533, Opciones de DHCP y extensiones de proveedores de BOOTP para obtener más información.
  • Codificación: número entero de 32 bits sin firma.

Opción.data

  • Propósito: Almacena los datos de la opción DHCP. Consulta RFC 1533, Opciones de DHCP y extensiones de proveedores de BOOTP para obtener más información.
  • Codificación: Bytes.

Población de metadatos de DNS

Los campos de metadatos de DNS capturan información relacionada con las solicitudes de DNS y los paquetes de respuesta. Tienen una correspondencia uno a uno con los datos que se encuentran en los datagramas de solicitud de DNS y respuesta.

DSD

  • Propósito: Configurado como verdadero para servidores DNS autorizados.
  • Codificación:Booleano.

ID de ID

  • Propósito: Almacena el identificador de la consulta de DNS.
  • Codificación: número entero de 32 bits.

Respuesta de DNS

  • Propósito: Configurado como verdadero si el evento es una respuesta DNS.
  • Codificación:Booleano.

Código DNS.op

  • Propósito: Almacena el DNS OpCode que se usa para especificar el tipo de consulta de DNS (estándar, inverso, estado del servidor, etc.).
  • Codificación: número entero de 32 bits.

Dns.recursion_available

  • Propósito: Configúralo como verdadero si hay una búsqueda de DNS recurrente disponible.
  • Codificación:Booleano.

Dens.recursion_deseada

  • Propósito: Configurado como verdadero si se solicita una búsqueda de DNS recurrente.
  • Codificación:Booleano.

Código DS.response_code

  • Propósito: Almacena el código de respuesta del DNS como se define en RFC 1035, Nombres de dominio: Implementación y especificación.
  • Codificación: número entero de 32 bits.

DSN.truncado

  • Propósito: Configurado como verdadero si se trata de una respuesta DNS truncada.
  • Codificación:Booleano.

Preguntas de DNS

Respuestas de DNS

Dens.autoridad

DSN.adicional

Población de metadatos de preguntas de DNS

Los campos de metadatos de las preguntas de DNS capturan la información que contiene la sección de preguntas de un mensaje de protocolo de dominio.

Question.name

  • Propósito: Almacena el nombre de dominio.
  • Codificación:String.

Question.class

  • Propósito: almacena el código que especifica la clase de la consulta.
  • Codificación: número entero de 32 bits.

Question.type

  • Propósito: Almacena el código que especifica el tipo de consulta.
  • Codificación: número entero de 32 bits.

Población de los metadatos de registro de recursos de DNS

Los campos de metadatos de registro de recursos de DNS capturan la información que contiene el registro de recursos de un mensaje de protocolo de dominio.

ResourceRecord.binary_data

  • Propósito: Almacena los bytes sin procesar de cualquier string que no sea UTF8 que se pueda incluir como parte de una respuesta de DNS. Este campo solo debe usarse si los datos de respuesta que muestra el servidor DNS contienen datos que no son UTF8. De lo contrario, coloca la respuesta de DNS en el campo de datos a continuación. Este tipo de información se debe almacenar aquí y no en ResourceRecord.data.
  • Codificación: Bytes.

ResourceRecord.class

  • Propósito: Almacena el código que especifica la clase del registro del recurso.
  • Codificación: número entero de 32 bits.

ResourceRecord.data.

  • Propósito: Almacena la carga útil o la respuesta a la pregunta de DNS para todas las respuestas codificadas en formato UTF-8. Por ejemplo, el campo de datos podría mostrar la dirección IP de la máquina a la que hace referencia el nombre de dominio. Si el registro de recursos corresponde a un tipo o una clase diferentes, es posible que contenga otro nombre de dominio (cuando se redirecciona un nombre de dominio a otro nombre de dominio). Los datos deben almacenarse tal como están en la respuesta de DNS.
  • Codificación:String.

ResourceRecord.name

  • Propósito: Almacena el nombre del propietario del registro de recursos.
  • Codificación:String.

ResourceRecord.ttl

  • Propósito: Almacena el intervalo de tiempo durante el cual se puede almacenar en caché el registro de recursos antes de volver a consultar la fuente de la información.
  • Codificación: número entero de 32 bits.

ResourceRecord.type

  • Propósito: Almacena el código que especifica el tipo del registro de recursos.
  • Codificación: número entero de 32 bits.

Población de los metadatos de los correos electrónicos

La mayoría de los campos de metadatos de correo electrónico capturan las direcciones de correo electrónico incluidas en el encabezado del mensaje y deben cumplir con el formato estándar de dirección de correo electrónico (local-mailbox@domain) según se define en RFC 5322. Por ejemplo, frank@email.example.com.

Correo.de

  • Propósito: Almacena la dirección de correo electrónico de.
  • Codificación:String.

Email.reply_to

  • Propósito: Almacena la dirección de correo electrónico de reply_to.
  • Codificación:String.

Email.to

  • Propósito: Almacena las direcciones de correo electrónico a.
  • Codificación:String.

Correo.cc

  • Propósito: Almacena las direcciones de correo electrónico cc.
  • Codificación:String.

Email.bcc

  • Propósito: Almacena las direcciones de correo electrónico bcc.
  • Codificación:String.

Email.mail_id

  • Propósito: Almacena el ID del correo (o mensaje).
  • Codificación:String.
  • Ejemplo: 192544.132632@email.example.com

Correo.Asunto

  • Propósito: Almacena el asunto del correo electrónico.
  • Codificación:String.
  • Ejemplo: "Lee este mensaje".

Metadatos de población de extensiones

Tipos de eventos con metadatos de primera clase que aún no están categorizados por el UDM de Chronicle. Extensions.auth

  • Propósito: Extensión de los metadatos de autenticación.
  • Codificación:String.
  • Ejemplos:
    • Metadatos de la zona de pruebas (todos los comportamientos que se muestran en un archivo, como FireEye)
    • Datos de Control de acceso a la red (NAC)
    • Detalles de LDAP sobre un usuario (por ejemplo, función, organización, etcétera)

Extensions.auth.auth_details

  • Propósito: Especifica los detalles específicos del proveedor para el tipo o mecanismo de autenticación. Los proveedores de autenticación suelen definir tipos como via_mfa, via_ad, etc. que proporcionan información útil sobre el tipo de autenticación. Estos tipos aún se pueden generalizar en auth.type o auth.mechanism para lograr la usabilidad y la compatibilidad de reglas de conjuntos de datos.
  • Codificación:String.
  • Ejemplos:via_mfa, via_ad.

Extensions.vulns

  • Propósito: Extensión de los metadatos de vulnerabilidades.
  • Codificación:String.
  • Ejemplo:
    • Datos de análisis de vulnerabilidades del host

Población de los metadatos de archivos

File.file_metadata

  • Propósito: Son los metadatos asociados con el archivo.
  • Codificación:String.
  • Ejemplos:
    • Autor
    • Número de revisión
    • Número de versión
    • Fecha de la última vez que se guardó

Archivo.full_path

  • Propósito: Ruta de acceso completa que identifica la ubicación del archivo en el sistema.
  • Codificación:String.
  • Ejemplo: \Program Files\Custom Utilities\Test.exe

File.md5

  • Propósito: Es el valor de hash MD5 para el archivo.
  • Codificación:string, hexadecimal en minúsculas.
  • Ejemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Propósito: Tipo de extensiones multipropósito de correo de Internet (MIME) para el archivo.
  • Codificación:String.
  • Ejemplos:
    • PE
    • PDF
    • secuencia de comandos de powershell

Archivo.sha1

  • Propósito: Es el valor de hash SHA-1 para el archivo.
  • Codificación:string, hexadecimal en minúsculas.
  • Ejemplo: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256;

  • Propósito: Valor de hash SHA-256 para el archivo.
  • Codificación:string, hexadecimal en minúsculas.
  • Ejemplo:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

Tamaño de archivo

  • Propósito: Tamaño del archivo.
  • Codificación: número entero de 64 bits sin firma.
  • Ejemplo: 342135.

Población de metadatos de FTP

Ftp.com

  • Propósito: Almacena el comando FTP.
  • Codificación:String.
  • Ejemplos:
    • binary
    • borrar
    • get
    • put

Población de los metadatos del grupo

Información sobre un grupo organizativo.

Group.creation_time

  • Propósito: Hora de creación del grupo.
  • Codificación: RFC 3339, según corresponda para el formato de marca de tiempo JSON o Proto3.

Group.email_address

  • Propósito: Agrupa la información de contacto.
  • Codificación:correo electrónico.

Group.group_display_name

  • Propósito: Nombre visible del grupo.
  • Codificación:String.
  • Ejemplos:
    • Finanzas
    • HR
    • Marketing

Group.product_object_id

  • Propósito: Identificador de objeto de usuario único a nivel global para el producto, como un identificador de objeto LDAP.
  • Codificación:String.

Group.windows_sid

  • Propósito: Campo de atributo del grupo del identificador de seguridad de Microsoft Windows (SID).
  • Codificación:String.

Población de metadatos HTTP

Http.method

  • Propósito: Almacena el método de solicitud HTTP.
  • Codificación:String.
  • Ejemplos:
    • GET
    • HEAD
    • POST

URL de referencia HTTP

  • Propósito: Almacena la URL para el referente HTTP.
  • Codificación: URL RFC 3986 válida.
  • Ejemplo: https://www.altostrat.com

Código HTTP.response_code

  • Propósito: Almacena el código de estado de respuesta HTTP, que indica si una solicitud HTTP específica se completó correctamente.
  • Codificación: número entero de 32 bits.
  • Ejemplos:
    • 400
    • 404

Http.useragent

  • Propósito: Almacena el encabezado de la solicitud del usuario-agente que incluye el tipo de aplicación, el sistema operativo, el proveedor de software o la versión de software del usuario-agente solicitante del software.
  • Codificación:String.
  • Ejemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Población de los metadatos de ubicación

Location.city

  • Propósito: Almacena el nombre de la ciudad.
  • Codificación:String.
  • Ejemplos:
    • Sunnyvale
    • Chicago
    • Málaga

Ubicación.país_o_región

  • Propósito: almacena el nombre del país o región del mundo.
  • Codificación:String.
  • Ejemplos:
    • United States
    • Reino Unido
    • Spain

Ubicación.name

  • Propósito: Almacena el nombre específico de la empresa, como un edificio o campus.
  • Codificación:String.
  • Ejemplos:
    • Campus 7B
    • Edificio A2

Location.state.

  • Propósito: Almacena el nombre del estado, provincia o territorio.
  • Codificación:String.
  • Ejemplos:
    • California
    • Illinois
    • Ontario

Población de los metadatos de la red

Network.application_protocol.

  • Propósito: Indica el protocolo de la aplicación de red.
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Propósito: Indica la dirección del tráfico de red.
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_DIRECTION
    • ENTRADA
    • SALIENTE
    • TRANSMITIR

Network.email

  • Propósito: Especifica la dirección de correo electrónico del remitente o destinatario.
  • Codificación:String.
  • Ejemplo: jcheng@empresa.example.com

Network.ip_protocol

  • Propósito: Indica el protocolo IP.
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP: protocolo de enrutamiento de puerta de enlace para interiores mejorado
    • ESP: Encapsulamiento de la carga útil de seguridad
    • ETHERIP: Encapsulamiento de Ethernet dentro de IP
    • GRE: Encapsulamiento de enrutamiento genérico
    • ICMP: Protocolo de mensajes de control de Internet
    • IGMP: protocolo de administración de grupos de Internet
    • IP6IN4: Encapsulamiento IPv6
    • PIM: multidifusión independiente de protocolos
    • TCP: protocolo de control de transmisión
    • UDP: Protocolo de datagramas de usuario
    • VRRP: Protocolo de redundancia de router virtual

Network.received_bytes

  • Propósito: especifica la cantidad de bytes recibidos.
  • Codificación: número entero de 64 bits sin firma.
  • Ejemplo: 12,453,654,768

Network.sent_bytes

  • Propósito: especifica la cantidad de bytes enviados.
  • Codificación: número entero de 64 bits sin firma.
  • Ejemplo: 7,654,876

Network.session_duration

  • Propósito: Almacena la duración de la sesión de red, que generalmente se muestra en un evento de soltar para la sesión. Para establecer la duración, puedes establecer network.session_duration.seconds = 1, (type int64) o network.session_duration.nanos = 1 (type int32).
  • Codificación:
    • Número entero de 32 bits: para segundos (network.session_duration.seconds).
    • Número entero de 64 bits: para nanosegundos (network.session_duration.nanos).

Network.session_id

  • Propósito: Almacena el identificador de la sesión de red.
  • Codificación:String.
  • Ejemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Población de metadatos de procesos

Process.command_line

  • Propósito: Almacena la string de la línea de comandos para el proceso.
  • Codificación:String.
  • Ejemplo: c:\windows\system32\net.exe group

Process.product_specific_process_id

  • Propósito: Almacena el ID del proceso específico del producto.
  • Codificación:String.

Process.parent_process.product_specific_process_id

  • Propósito: Almacena el ID del proceso específico del producto para el proceso superior.
  • Codificación:String.

Procesar.file

  • Propósito: almacena el nombre del archivo que usa el proceso.
  • Codificación:String.
  • Ejemplo: report.xls

Process.parent_process

  • Propósito: Almacena los detalles del proceso superior.
  • Codificación:sustantivo (proceso)

Process.pid

  • Propósito: Almacena el ID del proceso.
  • Codificación:String.
  • Ejemplos:
    • 308
    • 2002

Población de los metadatos de registro

Registro.registry_key

  • Propósito: Almacena la clave de registro asociada con una aplicación o un componente del sistema.
  • Codificación:String.
  • Ejemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Propósito: Almacena el nombre del valor del registro asociado con una aplicación o un componente del sistema.
  • Codificación:String.
  • Ejemplo: TEMP

Registro.registry_value_data

  • Propósito: Almacena los datos asociados con un valor de registro.
  • Codificación:String.
  • Ejemplo: %USERPROFILE%\Configuración local\Temp

Población de los metadatos de resultados de seguridad

En los metadatos de los resultados de seguridad, se incluyen detalles sobre los riesgos y las amenazas de seguridad que encontró un sistema de seguridad, así como las medidas que se tomaron para mitigarlos.

SecurityResult.about

  • Propósito: Proporciona una descripción del resultado de seguridad.
  • Codificación:sustantivo

SecurityResult.action

  • Propósito: especifica una acción de seguridad.
  • Codificación: tipo enumerado.
  • Valores posibles: Chronicle UDM define las siguientes acciones de seguridad:
    • ALLOW
    • ALLOW_WITH_MODIFICATION: Se desinfectó o reescribió el archivo o el correo electrónico y aún se lo reenvió.
    • BLOQUEAR
    • CUARENTENA: Debe almacenarse para un análisis posterior (no significa bloqueo).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Propósito: Detalles proporcionados por el proveedor de la acción tomada como resultado del incidente de seguridad Las acciones de seguridad suelen traducirse mejor al campo de UDM Security_Result.action más general. Sin embargo, es posible que debas escribir reglas para la descripción exacta de la acción que proporciona el proveedor.
  • Codificación:String.
  • Ejemplos: Soltar, bloquear, desencriptar, encriptar.

SecurityResult.category

  • Propósito: especifica una categoría de seguridad.
  • Codificación:Enumeración
  • Valores posibles: Chronicle UDM define las siguientes categorías de seguridad:
    • LCA_VIOLATION: Intento de acceso no autorizado, incluido el intento de acceso a los archivos, servicios web, procesos, objetos web, etcétera
    • AUTH_VIOLATION: La autenticación falló, como una mala contraseña o una autenticación de dos factores.
    • DATA_AT_REST: DLP: datos del sensor que se encuentran en reposo en un análisis.
    • DATA_DESTRUCTION: Intento de destrucción o eliminación de datos.
    • DATA_EXFILTRATION—DLP: transmisión de datos del sensor, copia a unidad miniatura.
    • EXPLORAR: desbordamientos intentados, codificaciones de protocolo incorrectas, ROP, inserción de SQL, etc., tanto en redes como en hosts.
    • Mail_PHISHING: Correo electrónico de suplantación de identidad (phishing), mensajes de chat, etcétera
    • Mail_SPAM: Spam, correo electrónico, mensaje, etc.
    • Mail_SPOOFING: La dirección de correo electrónico de origen falsificada, etc.
    • CONTENIDO_DE_RED_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: Si se conoce el canal de comando y control.
    • RED_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: Comando y control, explotación de red, actividad sospechosa, posible túnel inverso, etc.
    • NETWORK_SUSPICIOUS: No se relaciona con la seguridad, por ejemplo, la URL está vinculada a juegos de apuestas, etcétera.
    • NETWORK_RECON: Análisis de puertos detectado por un IDS, que sondea una aplicación web.
    • POLICY_VIOLATION: Incumplimiento de la política de seguridad, incluidos los incumplimientos de las reglas de firewall, proxy y HIPS o las acciones de bloqueo de NAC
    • SOFTWARE_MALICIOUS: Software malicioso, software espía, rootkits, etcétera
    • SOFTWARE_PUA: Aplicación potencialmente no deseada, como adware, etcétera.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Propósito: Especifique una confianza con respecto a un evento de seguridad, tal como lo estima el producto.
  • Codificación:Enumeración
  • Valores posibles: Chronicle UDM define las siguientes categorías de confianza de productos:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Propósito: Detalles adicionales con respecto a la confianza de un evento de seguridad, tal como lo estima el proveedor del producto.
  • Codificación:String.

SecurityResult.priority

  • Propósito: Especifique una prioridad con respecto a un evento de seguridad según la estimación del proveedor del producto.
  • Codificación:Enumeración
  • Valores posibles: Chronicle UDM define las siguientes categorías de prioridades de productos:
    • UNKNOWN_PRIORITY
    • BAJO_PRIORIDAD
    • MEDIUM_PRIORITY
    • ALTA_PRIORIDAD

SecurityResult.priority_details

  • Propósito: Información específica del proveedor sobre la prioridad del resultado de seguridad.
  • Codificación:String.

SecurityResult.rule_id

  • Propósito: Identificador de la regla de seguridad.
  • Codificación:String.
  • Ejemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Propósito: Nombre de la regla de seguridad.
  • Codificación:String.
  • Ejemplo: BlockEntrantToOracle.

SecurityResult.gravedad

  • Propósito: La gravedad de un evento de seguridad, tal como la estima el proveedor del producto, con los valores definidos por la UDM de Chronicle.
  • Codificación:Enumeración
  • Valores posibles: Chronicle UDM define las siguientes gravedads de productos:
    • UNKNOWN_SEVERITY: No malicioso
    • INFORMACI—N: No malicioso
    • ERROR: No malicioso
    • LOW: Malicioso
    • MEDIUM: Malicioso
    • ALTO: Malicioso

SecurityResult.grav_details

  • Propósito: Gravedad para un evento de seguridad, según la estimación del proveedor del producto.
  • Codificación:String.

SecurityResult.threat_name

  • Propósito: Nombre de la amenaza de seguridad.
  • Codificación:String.
  • Ejemplos:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Propósito: URL que te dirige a la consola de productos de origen para este evento de seguridad.
  • Codificación:String.

Población de los metadatos del usuario

User.email_address

  • Propósito: Almacena las direcciones de correo electrónico del usuario.
  • Codificación: String repetida.
  • Ejemplo:juanperez@empresa.example.com

ID de empleado.

  • Propósito: Almacena el ID de empleado de recursos humanos del usuario.
  • Codificación:String.
  • Ejemplo: 11223344.

User.first_name

  • Propósito: almacena el nombre del usuario.
  • Codificación:String.
  • Ejemplo:Juan.

User.middle_name

  • Propósito: Almacena el segundo nombre del usuario.
  • Codificación:String.
  • Ejemplo:Antonio.

User.last_name

  • Propósito: Almacena el apellido del usuario.
  • Codificación:String.
  • Ejemplo: Locke.

Identificadores de grupo de usuarios

  • Propósito: Almacena los ID del grupo (un GUID, OID de LDAP o similar) asociados con un usuario.
  • Codificación: String repetida.
  • Ejemplo:usuarios admin.

User.phone_numbers

  • Propósito: Almacena los números de teléfono para el usuario.
  • Codificación: String repetida.
  • Ejemplo: 800-555-0101

Título de usuario

  • Propósito: Almacena el cargo del usuario.
  • Codificación:String.
  • Ejemplo: Administrador de relaciones con clientes.

User.user_display_name

  • Propósito: Almacena el nombre visible del usuario.
  • Codificación:String.
  • Ejemplo: John Locke.

User.userid

  • Propósito: Almacena el ID del usuario.
  • Codificación:String.
  • Ejemplo: jlocke.

User.windows_sid

  • Propósito: Almacena el identificador de seguridad (SID) de Microsoft Windows asociado con un usuario.
  • Codificación:String.
  • Ejemplo: S-1-5-21-1180649209-123456789-3582944384-1064

Población de metadatos de vulnerabilidades

Vulnerabilidad.acerca de

  • Propósito: Si la vulnerabilidad se trata de un sustantivo específico (por ejemplo, ejecutable), agrégalo aquí.
  • Codificación:sustantivo Consulta Población de los metadatos del sustantivo.
  • Ejemplo: ejecutable.

Vulnerabilidad.cvss_base_score

  • Propósito: Puntuación base para el sistema de puntuación de vulnerabilidades comunes (CVSS).
  • Codificación:Punto flotante.
  • Rango: de 0.0 a 10.0
  • Ejemplo: 8.5

Vulnerabilidad.cvss_vector

  • Propósito: vector para las propiedades de CVSS de la vulnerabilidad. La puntuación CVSS está compuesta por las siguientes métricas:

    • Vector de ataque (AV)
    • Complejidad de acceso (AC)
    • Authentication (Au)
    • Impacto en la confidencialidad (C)
    • Impacto en la integridad (I)
    • Impacto en la disponibilidad (A)

    Para obtener más información, consulta https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=VALUE.

  • Codificación:String.

  • Ejemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Propósito: Versión de CVSS para la puntuación de vulnerabilidad o el vector.
  • Codificación:String.
  • Ejemplo: 3.1

Vulnerabilidad.descripción

  • Propósito: Descripción de la vulnerabilidad.
  • Codificación:String.

Vulnerabilidad.primero

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben propagarse first_found con el momento en que se detectó por primera vez la vulnerabilidad para este elemento.
  • Codificación:String.

Vulnerabilidad.último_encontrado

  • Propósito: Los productos que mantienen un historial de análisis de vulnerabilidades deben propagarse Last_found con el momento en que la vulnerabilidad de este elemento se detectó por última vez.
  • Codificación:String.

Vulnerability.name

  • Propósito: Nombre de la vulnerabilidad.
  • Codificación:String.
  • Ejemplo: Se detectó una versión de SO no compatible.

Vulnerabilidad.cancan_end_time

  • Propósito: Si se descubrió la vulnerabilidad durante un análisis de elementos, propaga este campo con la hora en que finalizó el análisis. Deja este campo vacío si la hora de finalización no está disponible o no corresponde.
  • Codificación:String.

Vulnerabilidad.cancan_start_time

  • Propósito: Si se descubrió la vulnerabilidad durante un análisis de elementos, propaga este campo con la hora en que comenzó el análisis. Deja este campo vacío si la hora de inicio no está disponible o no corresponde.
  • Codificación:String.

Vulnerabilidad

  • Propósito: Gravedad de la vulnerabilidad.
  • Codificación: tipo enumerado.
  • Valores posibles:
    • UNKNOWN_SEVERITY
    • BAJO
    • MEDIO
    • ALTO

Vulnerability.grav_details

  • Propósito: Detalles de gravedad específica del proveedor.
  • Codificación:String.

Población de metadatos de alertas

idm.is_significa

  • Propósito: especifica si se debe mostrar la alerta en Enterprise Insights.
  • Codificación:Booleano

idm.is_alert

  • Propósito: Identifica si el evento es una alerta.
  • Codificación:Booleano

Campos opcionales y obligatorios basados en el tipo de evento

En esta sección, se describen los campos obligatorios o opcionales que se deben propagar según el tipo de evento de UDM. Para obtener una descripción de estos campos, consulta la lista de campos de Modelo de datos unificado.

CORREO ELECTR_NICO_TRANSACCI_N

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Propaga la información acerca de la máquina en la que se originó el mensaje de correo electrónico. Por ejemplo, la dirección IP del remitente.

Campos opcionales:

  • acerca de: URL, IP, dominios y cualquier archivo adjunto en el cuerpo del correo electrónico.
  • securityResult.about: URL, IP y archivos incorrectos incorporados en el cuerpo del correo electrónico
  • network.email: Información del remitente o el destinatario del correo electrónico
  • principal: si hay datos de la máquina cliente sobre quién envió el correo electrónico, propaga los detalles del servidor en el principal (por ejemplo, el proceso del cliente, los números de puerto, el nombre de usuario, etcétera).
  • target: Si hay datos del servidor de correo electrónico de destino, propaga los detalles del servidor en el destino (por ejemplo, la dirección IP).
  • Intermediario: si hay datos del servidor de correo o del proxy de correo electrónico, propaga los detalles del servidor en el intermediario.

Notas:

  • Nunca propagues principal.email ni target.email.
  • Propaga el campo de correo electrónico solo en security_result.about o network.email.
  • Por lo general, los resultados de seguridad de nivel superior tienen un sustantivo establecido (opcional para el spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ y FILE_OPEN

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Propaga el elemento principal.process con información sobre el proceso que accede al archivo.
  • objetivo:
    • Si el archivo es remoto (por ejemplo, el uso compartido de SMB), el destino debe incluir al menos un identificador de máquina para la máquina de destino; de lo contrario, todos los identificadores de máquina deben estar en blanco.
    • Propaga el archivo target.file con información sobre el archivo.

Opcional:

  • security_result: describe la actividad maliciosa que se detectó.
  • principal.user: propaga si la información del usuario está disponible sobre el proceso.

ARCHIVO_ARCHIVO

Campos obligatorios:

  • metadata: Incluye los campos obligatorios como se describe.
  • principal:
    • Al menos un identificador de máquina.
    • (Opcional) Propaga principal.process con información sobre el proceso que realiza la operación de copia de archivo.
  • src:
    • Propaga src.file con información sobre el archivo de origen.
    • Si el archivo es remoto (por ejemplo, archivo compartido de SMB), src debe incluir al menos un identificador de máquina para la máquina de origen que almacena el archivo de origen.
  • objetivo:
    • Propaga target.file con la información del archivo de destino.
    • Si el archivo es remoto (por ejemplo, archivo compartido de SMB), el campo target debe incluir al menos un identificador de máquina para la máquina de destino que contenga el archivo de destino.

Campos opcionales:

  • security_result: describe la actividad maliciosa que se detectó.
  • principal.user: propaga si la información del usuario está disponible sobre el proceso.

MUTEX_CREATION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Propaga el elemento principal.process con información sobre el proceso que crea la exclusiones mutua.
  • objetivo:
    • Propaga target.resource.
    • Propaga target.resource.type con MUTEX.
    • Propaga target.resource.name con el nombre de la exclusiones mutua.

Opcional:

  • security_result: describe la actividad maliciosa que se detectó.
  • principal.user: propaga si la información del usuario está disponible sobre el proceso.
Ejemplo de UDM para MUTEX_CREATION

En el siguiente ejemplo, se ilustra cómo se formatearía un evento del tipo MUTEX_CREATION para la UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles del dispositivo y el proceso.
  • target: Información sobre la exclusiones mutua.

CONNECTION_NETWORK

Campos obligatorios:

  • metadata: evento_marca de tiempo
  • principal: incluye detalles sobre la máquina que inició la conexión de red (por ejemplo, fuente).
  • target: Incluye detalles sobre la máquina de destino si es diferente de la máquina principal.
  • network: captura detalles sobre la conexión de red (puertos, protocolo, etc.).

Campos opcionales:

  • principal.process y target.process: Incluye la información del proceso asociada con el principal y el destino de la conexión de red (si está disponible).
  • principal.user y target.user: Incluye la información del usuario asociada con el principal y el objetivo de la conexión de red (si está disponible).

RED_HTTP

El tipo de evento NETWORK_HTTP representa una conexión de red HTTP de un principal a un servidor web de destino.

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Representa al cliente que inicia la solicitud web e incluye al menos un identificador de máquina (por ejemplo, nombre de host, IP, MAC, identificador de activo de propiedad) o un identificador de usuario (por ejemplo). (nombre de usuario). Si se describe una conexión de red específica y hay un número de puerto del cliente disponible, solo se debe especificar una dirección IP junto con el número de puerto asociado con esa conexión de red (aunque otros identificadores de máquina podrían para describir mejor el dispositivo del participante). Si no hay un puerto de origen disponible, se podrían especificar todas las direcciones IP y MAC, los identificadores de elementos y los valores de nombre de host que describan el dispositivo principal.
  • target: Representa el servidor web y, además, incluye la información del dispositivo y, opcionalmente, un número de puerto. Si hay un número de puerto de destino disponible, especifica solo una dirección IP además del número de puerto asociado con esa conexión de red (aunque se pueden proporcionar varios otros identificadores de máquinas para el destino). Para target.url, propaga con la URL a la que accediste.
  • network y network.http: Incluye detalles sobre la conexión de red HTTP. Debes propagar los siguientes campos:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method [método_red]

Campos opcionales:

  • about: Representa otras entidades que se encuentran en la transacción HTTP (por ejemplo, un archivo subido o descargado).
  • intermediary: representa un servidor proxy (si es diferente del principal o del destino).
  • metadata: propaga los otros campos de metadatos.
  • network: propaga otros campos de red.
  • network.email: Si la conexión de red HTTP se originó desde una URL que apareció en un mensaje de correo electrónico, propaga network.email con los detalles.
  • observar: Representa un detector pasivo (si está presente).
  • security_result: agrega uno o más elementos al campo security_result para representar la actividad maliciosa detectada.
Ejemplo de UDM para NETWORK_HTTP

El siguiente ejemplo ilustra cómo un evento antivirus de Sophos del tipo NETWORK_HTTP se convertiría al formato de Chronicle UDM.

A continuación, se muestra el evento de antivirus original de Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

A continuación, se muestra cómo dar formato a la misma información en Proto3 mediante la sintaxis de Chronicle UDM:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Es el dispositivo de seguridad que detectó el evento.
  • target: Dispositivo que recibió software malicioso.
  • network: información de red sobre el host malicioso
  • security_result: detalles de seguridad del software malicioso
  • additional: La información de los proveedores actualmente fuera del alcance de la UDM.

Process_INJECTION, Process_LAUNCH, Process_OPEN, Process_TERMINATION, Process_UNCATEGORIZED

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Para los eventos de inserción y finalización de procesos, si están disponibles, principal.process debe incluir información sobre el proceso que inicia la acción (por ejemplo, para un evento de lanzamiento de procesos, principal.process debe incluir detalles sobre el proceso superior, si está disponible.
  • objetivo:
    • target.process: Incluye información sobre el proceso que se inserta, abre, inicia o finaliza.
    • Si el proceso de destino es remoto, el destino debe incluir al menos un identificador de máquina para la máquina de destino (por ejemplo, una dirección IP, una MAC, un nombre de host o un identificador de recursos de terceros).

Campos opcionales:

  • security_result: describe la actividad maliciosa que se detectó.
  • principal.user y target.user: Propaga el proceso de inicio (principal) y el proceso de destino si hay información disponible del usuario.
Ejemplo de UDM para Process_LAUNCH

En el siguiente ejemplo, se ilustra cómo darías formato a un evento Process_LAUNCH mediante la sintaxis de Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles del dispositivo
  • target: Detalles del proceso.

PROCESO_MODULE_LOAD

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: Procesa la carga del módulo.
  • objetivo:
    • target.process: Incluye información sobre el proceso.
    • target.process.file: Módulo cargado (por ejemplo, el DLL o el objeto compartido).

Campos opcionales:

  • security_result: describe la actividad maliciosa que se detectó.
  • principal.user: propaga si la información del usuario está disponible sobre el proceso.
Ejemplo de UDM para Process_MODULE_LOAD

El siguiente ejemplo ilustra cómo darías formato a un evento Process_MODULE_LOAD con la sintaxis de Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles sobre el dispositivo y el proceso de carga del módulo
  • target: Detalles del proceso y el módulo.

PROCESO_PRIVILEGE_ESCALATION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • principal.process: Procesa la carga del módulo.
    • principal.user: Usuario que carga el módulo.

Campos opcionales:

  • security_result: describe la actividad maliciosa que se detectó.
Ejemplo de UDM para Process_PRIVILEGE_ESCALATION

En el siguiente ejemplo, se ilustra cómo darías formato a un evento Process_PRIVILEGE_ESCALATION mediante la sintaxis de Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles sobre el dispositivo, el usuario y el proceso de carga del módulo
  • target: Detalles del proceso y el módulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal:
    • Al menos un identificador de máquina.
    • Si un proceso en modo de usuario realiza la modificación del registro, principal.process debe incluir información sobre el proceso que modifica el registro.
    • Si un proceso de kernel realiza la modificación del registro, el principal no debe incluir información de proceso.
  • objetivo:
    • target.registry: si el registro de destino es remoto, el destino debe incluir al menos un identificador para la máquina de destino (por ejemplo, una dirección IP, MAC, un nombre de host o un tercero) identificador de recursos).
    • target.registry.registry_key: todos los eventos de registro deben incluir la clave de registro afectada.

Opcional:

  • security_result:describe la actividad maliciosa que se detectó. Por ejemplo, una clave de registro incorrecta.
  • principal.user: Completa si la información del usuario está disponible sobre el proceso.
Ejemplo de UDM para REGISTRY_MODIFICATION

En el siguiente ejemplo, se muestra cómo dar formato a un evento REGISTRY_MODIFICATION en Proto3 mediante la sintaxis de Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles del dispositivo, el usuario y el proceso.
  • target: Entrada de registro afectada por la modificación.

SCAN_FILE, SCAN_HOST, SCAN_Process, SCAN_VULN_HOST, SCAN_VULN_NETWORK)

Campos obligatorios:

  • extensions: Para SCAN_VULN_HOST y SCAN_VULN_NETWORK, define la vulnerabilidad mediante el campo extensions.vuln.
  • metadata: evento_marca de tiempo
  • observar: captura información sobre el escáner. Si el escáner es remoto, el campo del observador debe capturar los detalles de la máquina. Para un escáner local, deja el campo en blanco.
  • target: captura información sobre la máquina que contiene el objeto analizado. Si se está analizando un archivo, target.file debe capturar información sobre él. Si se está analizando un proceso, target.process debe capturar la información sobre el proceso analizado.

Campos opcionales:

  • target: Los detalles del usuario sobre el objeto de destino (por ejemplo, el creador del archivo o el propietario del proceso) deben capturarse en target.user.
  • security_result: describe la actividad maliciosa que se detectó.
Ejemplo de UDM para SCAN_HOST

En el siguiente ejemplo, se ilustra cómo se formatearía un evento del tipo SCAN_HOST para la UDM de Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200".200
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • target: Dispositivo que recibió software malicioso.
  • observador: dispositivo que observa e informa sobre el evento en cuestión.
  • security_result: detalles de seguridad del software malicioso

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obligatorios:

  • principal: para todos los eventos SCHEDULED_TASK, el principal debe incluir un identificador de máquina y un identificador de usuario.
  • target: El objetivo debe incluir un recurso válido y un tipo de recurso definido como “TASK”.

Campos opcionales:

  • security_result: describe la actividad maliciosa que se detectó.
Ejemplo de UDM para SCHEDULED_TASK_CREATION

En el siguiente ejemplo, se ilustra cómo se podría formatear un evento del tipo SCHEDULED_TASK_CREATION para la UDM de Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Dispositivo que programó la tarea sospechosa.
  • target: Software orientado por la tarea sospechosa.
  • intermediario: intermediario que realiza una tarea sospechosa
  • security_result: detalles de seguridad de la tarea sospechosa

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: al menos un identificador de máquina (IP o MAC ADDRESS, nombre de host o identificador de recursos).
Ejemplo de UDM para STATUS_HEARTBEAT

En el siguiente ejemplo, se ilustra cómo se formatearía un evento del tipo STATUS_HEARTBEAT para el UDM de Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles del dispositivo y la ubicación
  • intermediario: dirección IP del dispositivo
  • security_result: detalles de los resultados de seguridad

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obligatorios:

  • Principal: Incluye un identificador de usuario para el usuario que realizó la operación en el registro y un identificador de máquina para la máquina en la que se almacenó o estuvo (en el caso de la limpieza) ,
Ejemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

El siguiente ejemplo ilustra el formato de un evento de tipo SYSTEM_AUDIT_LOG_WIPE para UDM de Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Como se muestra en este ejemplo, el evento se dividió en las siguientes categorías de UDM:

  • metadata: información de fondo sobre el evento.
  • principal: Detalles del dispositivo y del usuario

USER_login, USER_LOGOUT, USER_CHANGE_PASSWORD y USER_CHANGE_PERMISSIONS

Campos obligatorios:

  • metadata: Incluye los campos obligatorios.
  • principal: Propaga la información acerca de la máquina que originó el acceso. Para un acceso remoto, el principal también debe incluir al menos un identificador de máquina que identifique la máquina que originó el acceso.
  • Destino: para el acceso directo a máquinas, VPN, servicios en la nube y SSO, el destino debe incluir información en la aplicación objetivo, la máquina de destino o el servidor VPN de destino.
  • Intermediario: En los accesos con SSO, el intermediario debe incluir al menos un identificador de máquina para el servidor de SSO, si está disponible.
  • network y network.http: Si el acceso se realiza a través de HTTP, debes colocar todos los detalles disponibles en network.ip_protocol, network.application_protocol y network. .http
  • Extensión autenticación: Debe identificar el tipo de sistema de autenticación con el que está relacionado el evento (por ejemplo, máquina, SSO o VPN) y el mecanismo empleado (nombre de usuario y contraseña, OTP) , etcétera).
  • security_result: agrega un campo security_result para representar el estado de acceso si falla. Especifica security_result.category con el valor AUTH_VIOLATION si la autenticación falla.

USUARIO_COMUNICACIATIONN

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con la comunicación iniciada por el usuario (remitente), como un mensaje de chat en Google Chat o Slack. , una videoconferencia o voz en Zoom en Google Meet o Google Meet, o una conexión de VoIP.

Campos opcionales:

  • target: (Recomendado) Propaga el campo target.user con información sobre el usuario de destino (receptor) del recurso de comunicación en la nube. Propaga el campo target.application con información sobre la aplicación de comunicación en la nube.

USER_CREATION o USER_DELETION

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye información sobre la máquina en la que se originó la solicitud para crear o borrar el usuario. Para la creación o eliminación de un usuario local, el principal debe incluir al menos un identificador de máquina para la máquina de origen
  • target: La ubicación donde se crea el usuario. También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

  • Principal: Detalles del usuario y del proceso para la máquina en la que se inició la solicitud de creación o eliminación de usuarios
  • target: Información sobre la máquina de destino (si es diferente de la máquina principal).

USER_RESOURCE_ACCESS

Campos obligatorios:

  • Principal: Propaga el campo principal.user con detalles sobre los intentos de acceso a un recurso de nube (por ejemplo, un caso de Salesforce, un calendario de Office365 o un documento de Google). o ServiceNow).
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obligatorios:

  • Principal: Propaga el campo principal.user con los detalles asociados con el usuario creado dentro de un recurso de nube (por ejemplo, un caso de Salesforce, el calendario de Office365, documento de Google o ticket de Now).
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con el usuario cuyo contenido se actualizó dentro de un recurso de nube (por ejemplo, un caso de Salesforce, calendario de Office365, un documento de Google o un ticket de ServiceNow.
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obligatorios:

  • principal: Propaga el campo principal.user con los detalles asociados con el usuario cuyos permisos se actualizaron dentro de un recurso de nube (por ejemplo, un caso de Salesforce, calendario de Office365, un documento de Google o un ticket de ServiceNow.
  • target: Propaga el campo target.resource con información sobre el recurso de nube de destino.

Campos opcionales:

  • target.application: (Recomendado) Propaga el campo target.application con información sobre la aplicación de nube de destino.

USER_UNCATEGORIZED

Campos obligatorios:

  • metadata: event_timestamp
  • principal: Incluye información sobre la máquina en la que se originó la solicitud para crear o borrar el usuario. Para la creación o eliminación de un usuario local, el principal debe incluir al menos un identificador de máquina para la máquina de origen
  • target: La ubicación donde se crea el usuario. También debe incluir información del usuario (por ejemplo, target.user).

Campos opcionales:

  • Principal: Detalles del usuario y del proceso para la máquina en la que se inició la solicitud de creación o eliminación de usuarios
  • target: Información sobre la máquina de destino (si es diferente de la máquina principal).