Panduan penggunaan UDM

Dokumen ini memberikan deskripsi mendetail tentang kolom dalam skema Model Data Terpadu (UDM). Dokumen ini mencantumkan kolom wajib dan opsional untuk setiap jenis peristiwa.

Untuk mengetahui detail tentang kolom UDM tertentu (misalnya, nomor enum), lihat daftar kolom Model Data Terpadu.

Format nama kolom UDM:

  • Untuk evaluasi mesin aturan, awalan dimulai dengan udm.
  • Untuk penormal berbasis konfigurasi (CBN), awalan dimulai dengan event.idm.read_only_udm.

Pengisian metadata Peristiwa

Bagian metadata peristiwa untuk peristiwa UDM menyimpan informasi umum tentang setiap peristiwa.

Metadata.event_type

  • Tujuan: Menentukan jenis peristiwa. Jika suatu peristiwa memiliki beberapa kemungkinan jenis, nilai ini harus menentukan jenis yang paling spesifik.
  • Wajib: Ya.
  • Encoding: Harus berupa salah satu jenis yang telah ditetapkan dan tercantum dalam event_type UDM.
  • Nilai yang mungkin: Berikut adalah daftar semua nilai yang mungkin untuk event_type dalam UDM.

Acara analis

  • ANALYST_ADD_COMMENT
  • ANALYST_UPDATE_PRIORITY
  • ANALYST_UPDATE_REASON
  • ANALYST_UPDATE_REPUTATION
  • ANALYST_UPDATE_RISK_SCORE
  • ANALYST_UPDATE_ROOT_CAUSE
  • ANALYST_UPDATE_SEVERITY_SCORE
  • ANALYST_UPDATE_STATUS
  • ANALYST_UPDATE_VERDICT

Peristiwa perangkat

  • DEVICE_CONFIG_UPDATE
  • DEVICE_FIRMWARE_UPDATE
  • DEVICE_PROGRAM_DOWNLOAD
  • DEVICE_PROGRAM_UPLOAD

Peristiwa email

  • EMAIL_UNCATEGORIZED
  • EMAIL_TRANSACTION
  • EMAIL_URL_CLICK

Peristiwa yang tidak ditentukan

  • EVENTTYPE_UNSPECIFIED

Peristiwa file yang dilakukan di endpoint

  • FILE_UNCATEGORIZED
  • FILE_COPY (misalnya, menyalin file ke flash drive)
  • FILE_CREATION
  • FILE_DELETION
  • FILE_MODIFICATION
  • FILE_MOVE
  • FILE_OPEN (misalnya, membuka file dapat mengindikasikan pelanggaran keamanan)
  • FILE_READ (misalnya, membaca file sandi)
  • FILE_SYNC

Acara yang tidak termasuk dalam kategori lainnya

Peristiwa yang tidak termasuk dalam kategori lainnya, termasuk peristiwa Windows yang tidak dikategorikan:

  • GENERIC_EVENT

Acara aktivitas grup

  • GROUP_UNCATEGORIZED
  • GROUP_CREATION
  • GROUP_DELETION
  • GROUP_MODIFICATION

Peristiwa mutex

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Peristiwa telemetri jaringan

Peristiwa telemetri jaringan, yang mencakup payload protokol mentah, seperti DHCP dan DNS, serta ringkasan protokol untuk protokol seperti HTTP, SMTP, dan FTP serta peristiwa alur dan koneksi dari NetFlow dan firewall:

  • NETWORK_UNCATEGORIZED
  • NETWORK_CONNECTION (misalnya, detail koneksi jaringan dari firewall)
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_FLOW (misalnya, statistik aliran gabungan dari Netflow)
  • NETWORK_FTP
  • NETWORK_HTTP
  • NETWORK_SMTP

Memproses peristiwa

Setiap peristiwa yang berkaitan dengan proses seperti peluncuran proses, proses yang membuat sesuatu yang berbahaya, proses yang menyuntikkan ke proses lain, perubahan kunci registri, atau pembuatan file berbahaya di disk:

  • PROCESS_UNCATEGORIZED
  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION

Peristiwa registri

Gunakan peristiwa REGISTRY berikut, bukan peristiwa SETTING saat menangani peristiwa registry khusus Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Peristiwa resource

  • RESOURCE_CREATION
  • RESOURCE_DELETION
  • RESOURCE_PERMISSIONS_CHANGE
  • RESOURCE_READ
  • RESOURCE_WRITTEN

Acara berorientasi pemindaian

Peristiwa berorientasi pemindaian mencakup pemindaian sesuai permintaan dan deteksi perilaku yang dilakukan oleh produk keamanan endpoint (EDR, AV, DLP). Objek ini hanya digunakan saat melampirkan SecurityResult ke jenis peristiwa lain (seperti PROCESS_LAUNCH).

Acara berorientasi pemindaian:

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_NETWORK
  • SCAN_PROCESS
  • SCAN_PROCESS_BEHAVIORS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Peristiwa tugas terjadwal (Penjadwal Tugas Windows, cron, dll.)

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_MODIFICATION

Peristiwa layanan

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_MODIFICATION
  • SERVICE_START
  • SERVICE_STOP

Menetapkan peristiwa

Untuk menetapkan persyaratan acara, lihat Setelan - kolom wajib diisi.

Menetapkan peristiwa, termasuk saat setelan sistem diubah di endpoint:

  • SETTING_UNCATEGORIZED
  • SETTING_CREATION
  • SETTING_DELETION
  • SETTING_MODIFICATION

Pesan status dari produk keamanan

Pesan status dari produk keamanan untuk menunjukkan bahwa agen aktif dan untuk mengirim versi, sidik jari, atau jenis data lainnya:

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (menunjukkan produk aktif)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (update software atau sidik jari)

Peristiwa log audit sistem

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Peristiwa aktivitas autentikasi pengguna

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (misalnya, saat pengguna melakukan check-in fisik ke situs)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS
  • USER_STATS

Metadata.collected_timestamp

  • Tujuan: Mengenkode stempel waktu GMT saat peristiwa dikumpulkan oleh infrastruktur pengumpulan lokal vendor.
  • Encoding: RFC 3339, sebagaimana sesuai untuk format stempel waktu JSON atau Proto3.
  • Contoh:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Format Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Tujuan: Mengenkode stempel waktu GMT saat peristiwa dibuat.
  • Wajib: Ya
  • Encoding: RFC 3339, sebagaimana sesuai untuk format stempel waktu JSON atau Proto3.
  • Contoh:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Format Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Tujuan: Deskripsi peristiwa yang dapat dibaca manusia.
  • Encoding: String alfanumerik, tanda baca diizinkan, maksimum 1024 byte
  • Contoh: File c:\bar\foo.exe diblokir agar tidak dapat mengakses dokumen sensitif c:\documents\earnings.docx.

Metadata.product_event_type

  • Tujuan: Nama atau jenis acara yang singkat, deskriptif, mudah dibaca, dan khusus produk.
  • Encoding: String alfanumerik, tanda baca diizinkan, maksimum 64 byte.
  • Contoh:
    • Peristiwa Pembuatan Registry
    • ProcessRollUp
    • Eskalasi Akses Terdeteksi
    • Malware diblokir

Metadata.product_log_id

  • Tujuan: Mengenkode ID peristiwa khusus vendor untuk mengidentifikasi peristiwa secara unik (GUID). Pengguna dapat menggunakan ID ini untuk menelusuri acara yang dimaksud di konsol eksklusif vendor.
  • Encoding: String alfanumerik peka huruf besar/kecil, tanda baca diizinkan, maksimum 256 byte.
  • Contoh: ABcd1234-98766

Metadata.product_name

  • Tujuan: Menentukan nama produk.
  • Encoding: String alfanumerik peka huruf besar/kecil, tanda baca diizinkan, maksimum 256 byte.
  • Contoh:
    • Falcon
    • Symantec Endpoint Protection

Metadata.product_version

  • Tujuan: Menentukan versi produk.
  • Encoding: String alfanumerik, titik dan tanda hubung diizinkan, maksimum 32 byte
  • Contoh:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Tujuan: URL yang ditautkan ke situs yang relevan tempat Anda dapat melihat informasi selengkapnya tentang acara tertentu ini (atau kategori acara umum).
  • Encoding: URL RFC 3986 yang valid dengan parameter opsional seperti informasi port, dll. Harus memiliki awalan protokol sebelum URL (misalnya, https:// atau http://).
  • Contoh: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Tujuan: Menentukan nama vendor produk.
  • Encoding: String alfanumerik peka huruf besar/kecil, tanda baca diizinkan, maksimum 256 byte
  • Contoh:
    • CrowdStrike
    • Symantec

Pengisian metadata Kata Benda

Di bagian ini, kata Noun adalah istilah umum yang digunakan untuk merepresentasikan entitas; principal, src, target, intermediary, observer, dan about. Entitas ini memiliki atribut umum, tetapi merepresentasikan objek yang berbeda dalam suatu peristiwa. Untuk mengetahui informasi selengkapnya tentang entitas dan arti setiap entitas dalam suatu peristiwa, lihat Memformat data log sebagai UDM.

Noun.asset_id

  • Tujuan: ID perangkat unik khusus vendor (misalnya, GUID yang dibuat saat menginstal software keamanan endpoint di perangkat baru yang digunakan untuk melacak perangkat unik tersebut dari waktu ke waktu).
  • Encoding: VendorName.ProductName:ID, dengan VendorName adalah nama vendor yang tidak peka huruf besar/kecil*, seperti "Carbon Black", ProductName adalah nama produk yang tidak peka huruf besar/kecil, seperti "Response" atau "Endpoint Protection", dan ID adalah ID pelanggan khusus vendor yang unik secara global dalam lingkungan pelanggannya (misalnya, GUID atau nilai unik yang mengidentifikasi perangkat unik). VendorName dan ProductName bersifat alfanumerik dan tidak lebih dari 32 karakter. ID dapat memiliki panjang maksimum 128 karakter dan dapat menyertakan karakter alfanumerik, tanda hubung, dan titik.
  • Contoh: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Tujuan: Alamat email
  • Encoding: Format alamat email standar.
  • Contoh: johns@test.altostrat.com

Noun.file

Noun.hostname

  • Tujuan: Kolom nama host atau nama domain klien. Jangan sertakan jika ada URL.
  • Encoding: Nama host RFC 1123 yang valid.
  • Contoh:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Tujuan: Sistem operasi platform.
  • Encoding: Enum
  • Nilai yang mungkin:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Tujuan: Tingkat patch sistem operasi platform.
  • Encoding: String alfanumerik dengan tanda baca, maksimal 64 karakter.
  • Contoh: Build 17134.48

Noun.platform_version

  • Tujuan: Versi sistem operasi platform.
  • Encoding: String alfanumerik dengan tanda baca, maksimal 64 karakter.
  • Contoh: Microsoft Windows 10 versi 1803

Noun.process

Noun.ip

  • Tujuan:
    • Alamat IP tunggal yang terkait dengan koneksi jaringan.
    • Satu atau beberapa alamat IP yang terkait dengan perangkat peserta pada saat peristiwa terjadi (misalnya, jika produk EDR mengetahui semua alamat IP yang terkait dengan perangkat, produk tersebut dapat mengenkode semua alamat IP ini dalam kolom IP).
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.
  • Pengulangan:
    • Jika peristiwa menjelaskan koneksi jaringan tertentu (misalnya, srcip:srcport > dstip:dstport), vendor hanya boleh memberikan satu alamat IP.
    • Jika suatu peristiwa menjelaskan aktivitas umum yang terjadi di perangkat peserta, tetapi bukan koneksi jaringan tertentu, vendor dapat memberikan semua alamat IP terkait untuk perangkat pada saat peristiwa tersebut terjadi.
  • Contoh:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Tujuan: Nomor port jaringan sumber atau tujuan saat koneksi jaringan tertentu dijelaskan dalam suatu peristiwa.
  • Encoding: Nomor port TCP/IP yang valid dari 1 hingga 65.535.

  • Contoh:

    • 80
    • 443

Noun.mac

  • Tujuan: Satu atau beberapa alamat MAC yang terkait dengan perangkat.
  • Encoding: Alamat MAC yang valid (EUI-48) dalam ASCII.
  • Kemampuan pengulangan: Vendor dapat memberikan semua alamat MAC terkait untuk perangkat pada saat peristiwa terjadi.
  • Contoh:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Tujuan: Domain tempat perangkat berada (misalnya, domain Windows).
  • Encoding: String nama domain yang valid (maksimum 128 karakter).
  • Contoh: corp.altostrat.com

Noun.registry

Noun.url

  • Tujuan: URL standar
  • Encoding: URL (RFC 3986). Harus memiliki awalan protokol yang valid (misalnya, https:// atau ftp://). Harus menyertakan domain dan jalur lengkap. Mungkin menyertakan parameter URL.
  • Contoh: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

Pengisian metadata Autentikasi

Authentication.AuthType

  • Tujuan: Jenis sistem yang terkait dengan peristiwa autentikasi (UDM Google Security Operations).
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • AUTHTYPE_UNSPECIFIED
    • MESIN—Autentikasi mesin
    • FISIK—Autentikasi fisik (misalnya, pembaca kartu identitas)
    • SSO
    • TACACS—Protokol keluarga TACACS untuk autentikasi sistem jaringan (misalnya, TACACS atau TACACS+)
    • VPN

Authentication.Authentication_Status

  • Tujuan: Mendeskripsikan status autentikasi pengguna atau kredensial tertentu.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • UNKNOWN_AUTHENTICATION_STATUS—Status autentikasi default
    • AKTIF—Metode autentikasi dalam status aktif
    • DITANGGUHKAN—Metode autentikasi dalam status ditangguhkan atau dinonaktifkan
    • DIHAPUS—Metode autentikasi telah dihapus
    • NO_ACTIVE_CREDENTIALS—Metode autentikasi tidak memiliki kredensial aktif.

Authentication.auth_details

  • Tujuan: Detail autentikasi yang ditentukan vendor.
  • Encoding: String.

Authentication.Mechanism

  • Tujuan: Mekanisme yang digunakan untuk autentikasi.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • MECHANISM_UNSPECIFIED—Mekanisme autentikasi default.
    • BADGE_READER
    • BATCH—Autentikasi batch.
    • CACHED_INTERACTIVE—Autentikasi interaktif menggunakan kredensial yang di-cache.
    • HARDWARE_KEY
    • LOKAL
    • MECHANISM_OTHER—Mekanisme lain yang tidak ditentukan di sini.
    • NETWORK—Autentikasi jaringan.
    • NETWORK_CLEAR_TEXT—Autentikasi teks jelas jaringan.
    • NEW_CREDENTIALS—Autentikasi dengan kredensial baru.
    • OTP
    • REMOTE—Autentikasi jarak jauh
    • REMOTE_INTERACTIVE—RDP, layanan terminal, Virtual Network Computing (VNC), dll.
    • SERVICE—Autentikasi layanan.
    • BUKA KUNCI—Autentikasi buka kunci interaktif langsung oleh manusia.
    • USERNAME_PASSWORD

Pengisian metadata DHCP

Kolom metadata Dynamic Host Control Protocol (DHCP) merekam informasi log protokol manajemen jaringan DHCP.

Dhcp.client_hostname

  • Tujuan: Nama host untuk klien. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
  • Encoding: String.

Dhcp.client_identifier

  • Tujuan: ID klien. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
  • Encoding: Byte.

Dhcp.file

  • Tujuan: Nama file untuk image boot.
  • Encoding: String.

Dhcp.flags

  • Tujuan: Nilai untuk kolom flag DHCP.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.hlen

  • Tujuan: Panjang alamat hardware.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.hops

  • Tujuan: Jumlah lompatan DHCP.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.htype

  • Tujuan: Jenis alamat hardware.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.lease_time_seconds

  • Tujuan: Waktu sewa yang diminta klien untuk alamat IP dalam detik. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.opcode

  • Tujuan: Kode op BOOTP (lihat bagian 3 RFC 951).
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Tujuan: ID klien. Lihat RFC 2132, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.

Dhcp.seconds

  • Tujuan: Detik yang berlalu sejak klien memulai proses perolehan/perpanjangan alamat.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.sname

  • Tujuan: Nama server yang diminta klien untuk melakukan booting.
  • Encoding: String.

Dhcp.transaction_id

  • Tujuan: ID transaksi klien.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Dhcp.type

  • Tujuan: Jenis pesan DHCP. Lihat RFC 1533 untuk mengetahui informasi selengkapnya.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • PENAWARAN
    • PERMINTAAN
    • TOLAK
    • ACK
    • NAK
    • RILIS
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Tujuan: Alamat IP untuk hardware klien.
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.

Dhcp.ciaddr

  • Tujuan: Alamat IP untuk klien.
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.

Dhcp.giaddr

  • Tujuan: Alamat IP untuk agen relai.
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.

Dhcp.siaddr

  • Tujuan: Alamat IP untuk server bootstrap berikutnya.
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.

Dhcp.yiaddr

  • Tujuan: Alamat IP Anda.
  • Encoding: Alamat IPv4 atau IPv6 yang valid (RFC 5942) yang dienkode dalam ASCII.

Pengisian metadata Opsi DHCP

Kolom metadata opsi DHCP merekam informasi log opsi DHCP.

Option.code

  • Tujuan: Menyimpan kode opsi DHCP. Lihat RFC 1533, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
  • Encoding: Bilangan bulat 32-bit tanpa tanda.

Option.data

  • Tujuan: Menyimpan data opsi DHCP. Lihat RFC 1533, DHCP Options and BOOTP Vendor Extensions, untuk mengetahui informasi selengkapnya.
  • Encoding: Byte.

Pengisian metadata DNS

Kolom metadata DNS mencatat informasi yang terkait dengan paket permintaan dan respons DNS. Keduanya memiliki korespondensi satu-ke-satu dengan data yang ditemukan dalam datagram permintaan dan respons DNS.

Dns.authoritative

  • Tujuan: Setel ke benar (true) untuk server DNS otoritatif.
  • Encoding: Boolean.

Dns.id

  • Tujuan: Menyimpan ID kueri DNS.
  • Encoding: Bilangan bulat 32-bit.

Dns.response

  • Tujuan: Setel ke benar (true) jika peristiwa adalah respons DNS.
  • Encoding: Boolean.

Dns.opcode

  • Tujuan: Menyimpan OpCode DNS yang digunakan untuk menentukan jenis kueri DNS (standar, terbalik, status server, dll.).
  • Encoding: Bilangan bulat 32-bit.

Dns.recursion_available

  • Tujuan: Setel ke benar (true) jika pencarian DNS berulang tersedia.
  • Encoding: Boolean.

Dns.recursion_desired

  • Tujuan: Setel ke benar (true) jika pencarian DNS rekursif diminta.
  • Encoding: Boolean.

Dns.response_code

  • Tujuan: Menyimpan kode respons DNS seperti yang ditentukan oleh RFC 1035, Nama Domain - Implementasi dan Spesifikasi.
  • Encoding: Bilangan bulat 32-bit.

Dns.truncated

  • Tujuan: Setel ke benar (true) jika ini adalah respons DNS yang terpotong.
  • Encoding: Boolean.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Pengisian metadata Pertanyaan DNS

Kolom metadata pertanyaan DNS merekam informasi yang terdapat dalam bagian pertanyaan pesan protokol domain.

Question.name

  • Tujuan: Menyimpan nama domain.
  • Encoding: String.

Question.class

  • Tujuan: Menyimpan kode yang menentukan class kueri.
  • Encoding: Bilangan bulat 32-bit.

Question.type

  • Tujuan: Menyimpan kode yang menentukan jenis kueri.
  • Encoding: Bilangan bulat 32-bit.

Pengisian metadata Data Resource DNS

Kolom metadata data resource DNS merekam informasi yang terdapat dalam data resource pesan protokol domain.

ResourceRecord.binary_data

  • Tujuan: Menyimpan byte mentah dari string non-UTF8 yang mungkin disertakan sebagai bagian dari respons DNS. Kolom ini hanya boleh digunakan jika data respons yang ditampilkan oleh server DNS berisi data non-UTF8. Jika tidak, masukkan respons DNS di kolom data di bawah. Jenis informasi ini harus disimpan di sini, bukan di ResourceRecord.data.

  • Encoding: Byte.

ResourceRecord.class

  • Tujuan: Menyimpan kode yang menentukan class catatan resource.
  • Encoding: Bilangan bulat 32-bit.

ResourceRecord.data

  • Tujuan: Menyimpan payload atau respons terhadap pertanyaan DNS untuk semua respons yang dienkode dalam format UTF-8. Misalnya, kolom data dapat menampilkan alamat IP mesin yang dirujuk oleh nama domain. Jika catatan resource ditujukan untuk jenis atau class yang berbeda, catatan tersebut mungkin berisi nama domain lain (saat satu nama domain dialihkan ke nama domain lain). Data harus disimpan seperti yang ada dalam respons DNS.
  • Encoding: String.

ResourceRecord.name

  • Tujuan: Menyimpan nama pemilik data resource.
  • Encoding: String.

ResourceRecord.ttl

  • Tujuan: Menyimpan interval waktu yang memungkinkan rekaman resource di-cache sebelum sumber informasi harus dikueri lagi.
  • Encoding: Bilangan bulat 32-bit.

ResourceRecord.type

  • Tujuan: Menyimpan kode yang menentukan jenis data resource.
  • Encoding: Bilangan bulat 32-bit.

Pengisian metadata Email

Sebagian besar kolom Metadata Email mencatat alamat email yang disertakan dalam header pesan dan harus sesuai dengan format alamat email standar (local-mailbox@domain) sebagaimana ditentukan dalam RFC 5322. Misalnya, frank@email.example.com.

Email.from

  • Tujuan: Menyimpan alamat email dari.
  • Encoding: String.

Email.reply_to

  • Tujuan: Menyimpan alamat email reply_to.
  • Encoding: String.

Email.to

  • Tujuan: Menyimpan alamat email to.
  • Encoding: String.

Email.cc

  • Tujuan: Menyimpan alamat email cc.
  • Encoding: String.

Email.bcc

  • Tujuan: Menyimpan alamat email bcc.
  • Encoding: String.

Email.mail_id

  • Tujuan: Menyimpan ID email (atau pesan).
  • Encoding: String.
  • Contoh: 192544.132632@email.example.com

Email.subject

  • Tujuan: Menyimpan baris subjek email.
  • Encoding: String.
  • Contoh: "Baca pesan ini."

Pengisian metadata Ekstensi

Jenis peristiwa dengan metadata kelas satu yang belum dikategorikan oleh UDM Google SecOps.

Extensions.auth

  • Tujuan: Ekstensi untuk metadata autentikasi.
  • Encoding: String.
  • Contoh:
    • Metadata sandbox (semua perilaku yang ditunjukkan oleh file, misalnya, FireEye).
    • Data Network Access Control (NAC).
    • Detail LDAP tentang pengguna (misalnya, peran, organisasi, dll.).

Extensions.auth.auth_details

  • Tujuan: Tentukan detail khusus vendor untuk jenis atau mekanisme autentikasi. Penyedia autentikasi sering kali menentukan jenis seperti via_mfa atau via_ad yang memberikan informasi berguna tentang jenis autentikasi. Jenis ini masih dapat digeneralisasi dalam auth.type atau auth.mechanism untuk kegunaan dan kompatibilitas aturan lintas set data.
  • Encoding: String.
  • Contoh: via_mfa, via_ad.

Extensions.vulns

  • Tujuan: Ekstensi ke metadata kerentanan.
  • Encoding: String.
  • Contoh: Data pemindaian kerentanan host.

Pengisian metadata File

File.file_metadata

  • Tujuan: Metadata yang terkait dengan file.
  • Encoding: String.
  • Contoh:
    • Penulis
    • Nomor revisi
    • Nomor versi
    • Tanggal terakhir disimpan

File.full_path

  • Tujuan: Jalur lengkap yang mengidentifikasi lokasi file di sistem.
  • Encoding: String.
  • Contoh: \Program Files\Custom Utilities\Test.exe

File.md5

  • Tujuan: Nilai hash MD5 untuk file.
  • Encoding: String, heksadesimal huruf kecil.
  • Contoh: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Tujuan: Jenis Multipurpose Internet Mail Extensions (MIME) untuk file.
  • Encoding: String.
  • Contoh:
    • PE
    • PDF
    • skrip powershell

File.sha1

  • Tujuan: Nilai hash SHA-1 untuk file.
  • Encoding: String, heksadesimal huruf kecil.
  • Contoh: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Tujuan: Nilai hash SHA-256 untuk file.
  • Encoding: String, heksadesimal huruf kecil.
  • Contoh: d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Tujuan: Ukuran file.
  • Encoding: Bilangan bulat 64-bit tanpa tanda.
  • Contoh: 342135

Pengisian metadata FTP

Ftp.command

  • Tujuan: Menyimpan perintah FTP.
  • Encoding: String.
  • Contoh:
    • binary
    • delete
    • get
    • put

Pengisian metadata Grup

Informasi tentang grup organisasi.

Group.creation_time

  • Tujuan: Waktu pembuatan grup.
  • Encoding: RFC 3339, sebagaimana sesuai untuk format stempel waktu JSON atau Proto3.

Group.email_addresses

  • Tujuan: Mengelompokkan informasi kontak.
  • Encoding: Email.

Group.group_display_name

  • Tujuan: Nama tampilan grup.
  • Encoding: String.
  • Contoh:
    • Keuangan
    • HR
    • Pemasaran

Group.product_object_id

  • Tujuan: ID objek pengguna yang unik secara global untuk produk, seperti ID objek LDAP.
  • Encoding: String.

Group.windows_sid

  • Tujuan: Kolom atribut grup ID Keamanan (SID) Microsoft Windows.
  • Encoding: String.

Pengisian metadata HTTP

Http.method

  • Tujuan: Menyimpan metode permintaan HTTP.
  • Encoding: String.
  • Contoh:
    • DAPATKAN
    • HEAD
    • POST

Http.referral_url

  • Tujuan: Menyimpan URL untuk perujuk HTTP.
  • Encoding: URL RFC 3986 yang valid.
  • Contoh: https://www.altostrat.com

Http.response_code

  • Tujuan: Menyimpan kode status respons HTTP, yang menunjukkan apakah permintaan HTTP tertentu telah berhasil diselesaikan.
  • Encoding: Bilangan bulat 32-bit.
  • Contoh:
    • 400
    • 404

Http.user_agent

  • Tujuan: Menyimpan header permintaan Agen Pengguna yang mencakup jenis aplikasi, sistem operasi, vendor software, atau versi software agen pengguna software yang meminta.
  • Encoding: String.
  • Contoh:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, like Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Metadata Populasi Lokasi

Location.city

  • Tujuan: Menyimpan nama kota.
  • Encoding: String.
  • Contoh:
    • Sunnyvale
    • Chicago
    • Málaga

Location.country_or_region

  • Tujuan: Menyimpan nama negara atau wilayah di dunia.
  • Encoding: String.
  • Contoh:
    • Amerika Serikat
    • Inggris Raya
    • Spanyol

Location.name

  • Tujuan: Menyimpan nama khusus untuk perusahaan, seperti gedung atau kampus.
  • Encoding: String.
  • Contoh:
    • Campus 7B
    • Bangunan A2

Location.state

  • Tujuan: Menyimpan nama negara bagian, provinsi, atau wilayah.
  • Encoding: String.
  • Contoh:
    • California
    • Illinois
    • Ontario

Pengisian metadata Jaringan

Network.application_protocol

  • Tujuan: Menunjukkan protokol aplikasi jaringan.
  • Encoding: Jenis yang di-enum.

  • Nilai yang mungkin:

    • UNKNOWN_APPLICATION_PROTOCOL
    • AFP
    • APPC
    • AMQP
    • ATOM
    • BEEP
    • BITCOIN
    • BIT_TORRENT
    • CFDP
    • CIP
    • COAP
    • COTP
    • DCERPC
    • DDS
    • DEVICE_NET
    • DHCP
    • DICOM
    • DNP3
    • DNS
    • E_DONKEY
    • ENRP
    • FAST_TRACK
    • JARI
    • FREENET
    • FTAM
    • GOOSE
    • GOPHER
    • GRPC
    • HL7
    • H323
    • HTTP
    • HTTPS
    • IEC104
    • IRCP
    • KADEMLIA
    • KRB5
    • LDAP
    • LPD
    • MIME
    • MMS
    • MODBUS
    • MQTT
    • NETCONF
    • NFS
    • NIS
    • NNTP
    • NTCIP
    • NTP
    • OSCAR
    • PNRP
    • PTP
    • QUIC
    • RDP
    • RELP
    • RIP
    • RLOGIN
    • RPC
    • RTMP
    • RTP
    • RTPS
    • RTSP
    • SAP
    • SDP
    • SIP
    • SLP
    • SMB
    • SMTP
    • SNMP
    • SNTP
    • SSH
    • SSMS
    • STYX
    • SV
    • TCAP
    • TDS
    • TOR
    • TSP
    • VTP
    • WHOIS
    • WEB_DAV
    • X400
    • X500
    • XMPP

Network.direction

  • Tujuan: Menunjukkan arah traffic jaringan.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • UNKNOWN_DIRECTION
    • INBOUND
    • OUTBOUND
    • SIARAN

Network.email

  • Tujuan: Menentukan alamat email untuk pengirim/penerima.
  • Encoding: String.
  • Contoh: jcheng@company.example.com

Network.ip_protocol

  • Tujuan: Menunjukkan protokol IP.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP—Enhanced Interior Gateway Routing Protocol
    • ESP—Encapsulating Security Payload
    • ETHERIP—Enkapsulasi Ethernet dalam IP
    • GRE—Generic Routing Encapsulation
    • ICMP—Internet Control Message Protocol
    • IGMP—Internet Group Management Protocol
    • IP6IN4—Enkapsulasi IPv6
    • PIM—Protocol Independent Multicast
    • TCP—Transmission Control Protocol
    • UDP—User Datagram Protocol
    • VRRP—Virtual Router Redundancy Protocol

Network.received_bytes

  • Tujuan: Menentukan jumlah byte yang diterima.
  • Encoding: Bilangan bulat 64-bit tanpa tanda.
  • Contoh: 12.453.654.768

Network.sent_bytes

  • Tujuan: Menentukan jumlah byte yang dikirim.
  • Encoding: Bilangan bulat 64-bit tanpa tanda.
  • Contoh: 7.654.876

Network.session_duration

  • Tujuan: Menyimpan durasi sesi jaringan, biasanya ditampilkan dalam peristiwa pelepasan untuk sesi. Untuk menyetel durasi, Anda dapat menyetel network.session_duration.seconds = 1, (jenis int64) atau network.session_duration.nanos = 1 (jenis int32).
  • Encoding:
    • Bilangan bulat 32-bit—Untuk detik (network.session_duration.seconds).
    • Bilangan bulat 64-bit—Untuk nanodetik (network.session_duration.nanos).

Network.session_id

  • Tujuan: Menyimpan ID sesi jaringan.
  • Encoding: String.
  • Contoh: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Pengisian metadata Proses

Process.command_line

  • Tujuan: Menyimpan string command line untuk proses.
  • Encoding: String.
  • Contoh: grup c:\windows\system32\net.exe.

Process.product_specific_process_id

  • Tujuan: Menyimpan ID proses khusus produk.
  • Encoding: String.
  • Contoh: MySQL:78778 atau CS:90512

Process.parent_process.product_specific_process_id

  • Tujuan: Menyimpan ID proses khusus produk untuk proses induk.
  • Encoding: String.
  • Contoh: MySQL:78778 atau CS:90512

Process.file

  • Tujuan: Menyimpan nama file yang sedang digunakan oleh proses.
  • Encoding: String.
  • Contoh: report.xls

Process.parent_process

  • Tujuan: Menyimpan detail proses induk.
  • Encoding: Kata benda (Proses)

Process.pid

  • Tujuan: Menyimpan ID proses.
  • Encoding: String.
  • Contoh:
    • 308
    • 2002

Pengisian metadata Registry

Registry.registry_key

  • Tujuan: Menyimpan kunci registry yang terkait dengan aplikasi atau komponen sistem.
  • Encoding: String.
  • Contoh: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Tujuan: Menyimpan nama nilai registry yang terkait dengan aplikasi atau komponen sistem.
  • Encoding: String.
  • Contoh: TEMP

Registry.registry_value_data

  • Tujuan: Menyimpan data yang terkait dengan nilai registri.
  • Encoding: String.
  • Contoh: %USERPROFILE%\Local Settings\Temp

Pengisian metadata Hasil Keamanan

Metadata Hasil Keamanan mencakup detail tentang risiko dan ancaman keamanan yang ditemukan oleh sistem keamanan serta tindakan yang diambil untuk memitigasi risiko dan ancaman tersebut.

SecurityResult.about

  • Tujuan: Berikan deskripsi hasil keamanan.
  • Encoding: Kata benda.

SecurityResult.action

  • Tujuan: Tentukan tindakan keamanan.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin: UDM Google SecOps menentukan tindakan keamanan berikut:
    • IZINKAN
    • ALLOW_WITH_MODIFICATION—File atau email telah dibersihkan atau ditulis ulang dan masih diteruskan.
    • BLOKIR
    • KARANTINA—Simpan untuk analisis nanti (tidak berarti diblokir).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Tujuan: Detail tindakan yang diambil sebagai akibat dari insiden keamanan yang disediakan oleh vendor. Tindakan keamanan sering kali paling baik diterjemahkan ke dalam kolom UDM Security_Result.action yang lebih umum. Namun, Anda mungkin perlu menulis aturan untuk deskripsi tindakan yang persis sama dengan yang diberikan vendor.
  • Encoding: String.
  • Contoh: drop, block, decrypt, encrypt.

SecurityResult.category

  • Tujuan: Menentukan kategori keamanan.
  • Encoding: Enum.
  • Nilai yang mungkin: UDM Google SecOps menentukan kategori keamanan berikut:
    • ACL_VIOLATION—Upaya akses tidak sah, termasuk upaya akses ke file, layanan web, proses, objek web, dll.
    • AUTH_VIOLATION—Autentikasi gagal, seperti sandi yang salah atau autentikasi 2 faktor yang salah.
    • DATA_AT_REST—DLP: data sensor ditemukan dalam penyimpanan saat pemindaian.
    • DATA_DESTRUCTION—Upaya untuk menghancurkan/menghapus data.
    • DATA_EXFILTRATION—DLP: transmisi data sensor, salin ke flash drive.
    • EKSPLOITASI—Upaya overflow, encoding protokol yang buruk, ROP, injeksi SQL, dll., baik berbasis jaringan maupun host.
    • MAIL_PHISHING—Email phishing, pesan chat, dll.
    • MAIL_SPAM—Email, pesan, dll. spam
    • MAIL_SPOOFING—Alamat email sumber palsu, dll.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL—Jika saluran perintah dan kontrol diketahui.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS—Perintah dan kontrol, eksploitasi jaringan, aktivitas mencurigakan, potensi reverse tunnel, dll.
    • NETWORK_SUSPICIOUS—Tidak terkait keamanan, misalnya, URL ditautkan ke perjudian, dll.
    • NETWORK_RECON—Pemindaian port terdeteksi oleh IDS, pemeriksaan oleh aplikasi web.
    • POLICY_VIOLATION—Pelanggaran kebijakan keamanan, termasuk pelanggaran aturan firewall, proxy, dan HIPS atau tindakan pemblokiran NAC.
    • SOFTWARE_MALICIOUS—Malware, spyware, rootkit, dll.
    • SOFTWARE_PUA—Aplikasi yang berpotensi tidak diinginkan, seperti adware, dll.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Tujuan: Menentukan tingkat keyakinan terkait peristiwa keamanan sebagaimana diperkirakan oleh produk.
  • Encoding: Enum.
  • Nilai yang mungkin: UDM Google SecOps menentukan kategori keyakinan produk berikut:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Tujuan: Detail tambahan terkait keyakinan terhadap peristiwa keamanan sebagaimana diperkirakan oleh vendor produk.
  • Encoding: String.

SecurityResult.priority

  • Tujuan: Menentukan prioritas terkait peristiwa keamanan sebagaimana diperkirakan oleh vendor produk.
  • Encoding: Enum.
  • Nilai yang mungkin: UDM Google SecOps menentukan kategori prioritas produk berikut:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIUM_PRIORITY
    • HIGH_PRIORITY

SecurityResult.priority_details

  • Tujuan: Informasi khusus vendor tentang prioritas hasil keamanan.
  • Encoding: String.

SecurityResult.rule_id

  • Tujuan: ID untuk aturan keamanan.
  • Encoding: String.
  • Contoh:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Tujuan: Nama aturan keamanan.
  • Encoding: String.
  • Contoh: BlockInboundToOracle.

SecurityResult.severity

  • Tujuan: Tingkat keparahan peristiwa keamanan sebagaimana diperkirakan oleh vendor produk menggunakan nilai yang ditentukan oleh UDM Google SecOps.
  • Encoding: Enum.
  • Nilai yang mungkin: UDM Google SecOps menentukan tingkat keparahan produk berikut:
    • UNKNOWN_SEVERITY—Tidak berbahaya
    • INFORMASIONAL—Tidak berbahaya
    • ERROR—Tidak berbahaya
    • RENDAH—Berbahaya
    • SEDANG—Berbahaya
    • TINGGI—Berbahaya

SecurityResult.severity_details

  • Tujuan: Tingkat keparahan untuk peristiwa keamanan seperti yang diperkirakan oleh vendor produk.
  • Encoding: String.

SecurityResult.threat_name

  • Tujuan: Nama ancaman keamanan.
  • Encoding: String.
  • Contoh:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Tujuan: URL untuk mengarahkan Anda ke konsol produk sumber untuk peristiwa keamanan ini.
  • Encoding: String.

Pengisian metadata Pengguna

User.email_addresses

  • Tujuan: Menyimpan alamat email pengguna.
  • Encoding: String Berulang.
  • Contoh: johnlocke@company.example.com

User.employee_id

  • Tujuan: Menyimpan ID karyawan sumber daya manusia untuk pengguna.
  • Encoding: String.
  • Contoh: 11223344.

User.first_name

  • Tujuan: Menyimpan nama depan pengguna.
  • Encoding: String.
  • Contoh: John.

User.middle_name

  • Tujuan: Menyimpan nama tengah pengguna.
  • Encoding: String.
  • Contoh: Anthony.

User.last_name

  • Tujuan: Menyimpan nama belakang pengguna.
  • Encoding: String.
  • Contoh: Locke.

User.group_identifiers

  • Tujuan: Menyimpan ID grup (GUID, OID LDAP, atau yang serupa) yang terkait dengan pengguna.
  • Encoding: String Berulang.
  • Contoh: admin-users.

User.phone_numbers

  • Tujuan: Menyimpan nomor telepon pengguna.
  • Encoding: String Berulang.
  • Contoh: 800-555-0101

User.title

  • Tujuan: Menyimpan jabatan pengguna.
  • Encoding: String.
  • Contoh: Pengelola Hubungan Pelanggan.

User.user_display_name

  • Tujuan: Menyimpan nama tampilan pengguna.
  • Encoding: String.
  • Contoh: John Locke.

User.userid

  • Tujuan: Menyimpan ID pengguna.
  • Encoding: String.
  • Contoh: jlocke.

User.windows_sid

  • Tujuan: Menyimpan ID keamanan (SID) Microsoft Windows yang terkait dengan pengguna.
  • Encoding: String.
  • Contoh: S-1-5-21-1180649209-123456789-3582944384-1064

Pengisian metadata Kerentanan

Vulnerability.about

  • Tujuan: Jika kerentanan terkait dengan kata benda tertentu (misalnya, file yang dapat dieksekusi), tambahkan di sini.
  • Encoding: Kata benda. Lihat Metadata Pengisian Kata Benda
  • Contoh: executable.

Vulnerability.cvss_base_score

  • Tujuan: Skor dasar untuk Common Vulnerability Scoring System (CVSS).
  • Encoding: Floating-point.
  • Rentang: 0,0 hingga 10,0
  • Contoh: 8,5

Vulnerability.cvss_vector

  • Tujuan: Vektor untuk properti CVSS kerentanan. Skor CVSS terdiri dari metrik berikut:

    • Vektor Serangan (AV)
    • Kompleksitas Akses (AC)
    • Autentikasi (Au)
    • Dampak Kerahasiaan (C)
    • Dampak Integritas (I)
    • Dampak Ketersediaan (A)

    Untuk mengetahui informasi selengkapnya, lihat https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator.

  • Encoding: String.

  • Contoh: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Tujuan: Versi CVSS untuk skor atau vektor kerentanan.
  • Encoding: String.
  • Contoh: 3.1

Vulnerability.description

  • Tujuan: Deskripsi kerentanan.
  • Encoding: String.

Vulnerability.first_found

  • Tujuan: Produk yang mempertahankan histori pemindaian kerentanan harus mengisi first_found dengan waktu saat kerentanan untuk aset ini pertama kali terdeteksi.
  • Encoding: String.

Vulnerability.last_found

  • Tujuan: Produk yang mempertahankan histori pemindaian kerentanan harus mengisi last_found dengan waktu saat kerentanan untuk aset ini terakhir kali terdeteksi.
  • Encoding: String.

Vulnerability.name

  • Tujuan: Nama kerentanan.
  • Encoding: String.
  • Contoh: Versi OS yang tidak didukung terdeteksi.

Vulnerability.scan_end_time

  • Tujuan: Jika kerentanan ditemukan selama pemindaian aset, isi kolom ini dengan waktu berakhirnya pemindaian. Biarkan kolom ini kosong jika waktu berakhir tidak tersedia atau tidak berlaku.
  • Encoding: String.

Vulnerability.scan_start_time

  • Tujuan: Jika kerentanan ditemukan selama pemindaian aset, isi kolom ini dengan waktu dimulainya pemindaian. Biarkan kolom ini kosong jika waktu mulai tidak tersedia atau tidak berlaku.
  • Encoding: String.

Vulnerability.severity

  • Tujuan: Tingkat keparahan kerentanan.
  • Encoding: Jenis yang di-enum.
  • Nilai yang mungkin:
    • UNKNOWN_SEVERITY
    • RENDAH
    • SEDANG
    • TINGGI

Vulnerability.severity_details

  • Tujuan: Detail tingkat keparahan khusus vendor.
  • Encoding: String.

Pengisian metadata pemberitahuan

idm.is_significant

  • Tujuan: Menentukan apakah akan menampilkan pemberitahuan di Enterprise Insights.
  • Encoding: Boolean.

idm.is_alert

  • Tujuan: Mengidentifikasi apakah peristiwa adalah pemberitahuan.
  • Encoding: Boolean.

Kolom wajib dan opsional untuk setiap jenis peristiwa

Bagian ini menjelaskan kolom wajib dan opsional yang harus diisi untuk setiap jenis peristiwa UDM.

Untuk mengetahui detail tentang kolom UDM tertentu (misalnya, nomor enum), lihat daftar kolom Model Data Terpadu.

EMAIL_TRANSACTION

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal: Diisi dengan informasi tentang komputer yang mengirimkan pesan email (misalnya, alamat IP pengirim).

Kolom opsional:

  • tentang: URL, IP, domain, dan lampiran file apa pun yang disematkan dalam isi email.
  • securityResult.about: URL, IP, dan file berbahaya yang disematkan dalam isi email.
  • network.email: Informasi pengirim atau penerima email.
  • principal: Jika ada data mesin klien tentang siapa yang mengirim email, isi detail server di principal (misalnya, proses klien, nomor port, nama pengguna, dll.).
  • target: Jika ada data server email tujuan, isi detail server di target (misalnya, alamat IP).
  • intermediary: Jika ada data server email atau data proxy email, isi detail server di intermediary.

Catatan:

  • Jangan pernah mengisi principal.email atau target.email.
  • Isi hanya kolom email di security_result.about atau network.email.
  • Hasil keamanan tingkat teratas umumnya memiliki kumpulan kata benda (opsional untuk spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ, dan FILE_OPEN

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal:
    • Setidaknya satu ID mesin.
    • (Opsional) Isi principal.process dengan informasi tentang proses yang mengakses file.
  • target:
    • Jika file bersifat jarak jauh (misalnya, berbagi SMB), target harus menyertakan setidaknya satu ID mesin untuk mesin target, atau semua ID mesin harus kosong.
    • Isi target.file dengan informasi tentang file.

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
  • principal.user: Diisi jika informasi pengguna tersedia tentang proses.

FILE_COPY

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi seperti yang dijelaskan.
  • principal:
    • Setidaknya satu ID mesin.
    • (Opsional) Isi principal.process dengan informasi tentang proses yang melakukan operasi penyalinan file.
  • src:
    • Isi src.file dengan informasi tentang file sumber.
    • Jika file bersifat jarak jauh (misalnya, berbagi SMB), src harus menyertakan setidaknya satu ID mesin untuk mesin sumber yang menyimpan file sumber.
  • target:
    • Isi target.file dengan informasi tentang file target.
    • Jika file bersifat jarak jauh (misalnya, berbagi SMB), kolom target harus mencakup setidaknya satu ID mesin untuk mesin target yang menyimpan file target.

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
  • principal.user: Diisi jika informasi pengguna tersedia tentang proses.

MUTEX_CREATION

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal:
    • Setidaknya satu ID mesin.
    • Isi principal.process dengan informasi tentang proses yang membuat mutex.
  • target:
    • Isi target.resource.
    • Isi target.resource.type dengan MUTEX.
    • Isi target.resource.name dengan nama mutex yang dibuat.

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
  • principal.user: Diisi jika informasi pengguna tersedia tentang proses.
Contoh UDM untuk MUTEX_CREATION

Contoh berikut menggambarkan cara memformat peristiwa jenis MUTEX_CREATION untuk UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Detail perangkat dan proses.
  • target: Informasi tentang mutex.

NETWORK_CONNECTION

Kolom wajib diisi:

  • metadata: event_timestamp
  • principal: Menyertakan detail tentang mesin yang memulai koneksi jaringan (misalnya, sumber).
  • target: Sertakan detail tentang mesin target jika berbeda dengan mesin utama.
  • network: Merekam detail tentang koneksi jaringan (port, protokol, dll.).

Kolom opsional:

  • principal.process dan target.process: Mencakup informasi proses yang terkait dengan principal dan target koneksi jaringan (jika tersedia).
  • principal.user dan target.user: Menyertakan informasi pengguna yang terkait dengan principal dan target koneksi jaringan (jika tersedia).

NETWORK_HTTP

Jenis peristiwa NETWORK_HTTP merepresentasikan koneksi jaringan HTTP dari principal ke server web target.

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal: Merepresentasikan klien yang memulai permintaan web dan menyertakan setidaknya satu ID mesin (misalnya, nama host, IP, MAC, ID aset eksklusif) atau ID pengguna (misalnya, nama pengguna). Jika koneksi jaringan tertentu dijelaskan dan nomor port klien tersedia, hanya satu alamat IP yang harus ditentukan bersama dengan nomor port yang terkait dengan koneksi jaringan tersebut (meskipun ID mesin lain dapat diberikan untuk lebih mendeskripsikan perangkat peserta). Jika tidak ada port sumber yang tersedia, semua alamat IP dan MAC, ID aset, dan nilai nama host yang mendeskripsikan perangkat utama dapat ditentukan.
  • target: Merepresentasikan server web, dan mencakup informasi perangkat dan opsionalnya nomor port. Jika nomor port target tersedia, tentukan hanya satu alamat IP selain nomor port yang terkait dengan koneksi jaringan tersebut (meskipun beberapa ID mesin lainnya dapat diberikan untuk target). Untuk target.url, isi dengan URL yang diakses.
  • network dan network.http: Mencakup detail tentang koneksi jaringan HTTP. Anda harus mengisi kolom berikut:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Kolom opsional:

  • about: Merepresentasikan entitas lain yang ditemukan dalam transaksi HTTP (misalnya, file yang diupload atau didownload).
  • intermediary: Merepresentasikan server proxy (jika berbeda dari principal atau target).
  • metadata: Isi kolom metadata lainnya.
  • network: Isi kolom jaringan lainnya.
  • network.email: Jika koneksi jaringan HTTP berasal dari URL yang muncul dalam pesan email, isi network.email dengan detailnya.
  • observer: Merepresentasikan sniffer pasif (jika ada).
  • security_result: Tambahkan satu atau beberapa item ke kolom security_result untuk mewakili aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk NETWORK_HTTP

Contoh berikut mengilustrasikan cara peristiwa antivirus Sophos berjenis NETWORK_HTTP dikonversi ke format UDM Google SecOps.

Berikut adalah peristiwa antivirus Sophos asli:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Berikut cara memformat informasi yang sama di Proto3 menggunakan sintaksis UDM Google SecOps:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Perangkat keamanan yang mendeteksi peristiwa.
  • target: Perangkat yang menerima software berbahaya.
  • network: Informasi jaringan tentang host berbahaya.
  • security_result: Detail keamanan tentang software berbahaya.
  • tambahan: Informasi vendor di luar cakupan UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal:
    • Setidaknya satu ID mesin.
    • Untuk peristiwa penyuntikan proses dan penghentian proses, jika tersedia, principal.process harus menyertakan informasi tentang proses yang memulai tindakan (misalnya, untuk peristiwa peluncuran proses, principal.process harus menyertakan detail tentang proses induk jika tersedia).
  • target:
    • target.process: Menyertakan informasi tentang proses yang sedang disuntikkan, dibuka, diluncurkan, atau dihentikan.
    • Jika proses target bersifat jarak jauh, target harus menyertakan setidaknya satu ID mesin untuk mesin target (misalnya, alamat IP, MAC, nama host, atau ID aset pihak ketiga).

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
  • principal.user dan target.user: Isi proses inisiasi (principal) dan proses target jika informasi pengguna tersedia.
Contoh UDM untuk PROCESS_LAUNCH

Contoh berikut menggambarkan cara memformat peristiwa PROCESS_LAUNCH menggunakan sintaksis UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • Prinsipal: Detail perangkat.
  • target: Detail proses.

PROCESS_MODULE_LOAD

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal:
    • Setidaknya satu ID mesin.
    • principal.process: Proses memuat modul.
  • target:
    • target.process: Menyertakan informasi tentang proses.
    • target.process.file: Modul dimuat (misalnya, DLL atau objek bersama).

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
  • principal.user: Diisi jika informasi pengguna tersedia tentang proses.
Contoh UDM untuk PROCESS_MODULE_LOAD

Contoh berikut menggambarkan cara memformat peristiwa PROCESS_MODULE_LOAD menggunakan sintaksis UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Detail tentang perangkat dan proses yang memuat modul.
  • target: Detail proses dan modul.

PROCESS_PRIVILEGE_ESCALATION

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal:
    • Setidaknya satu ID mesin.
    • principal.process: Proses memuat modul.
    • principal.user: Pengguna yang memuat modul.

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk PROCESS_PRIVILEGE_ESCALATION

Contoh berikut menggambarkan cara memformat peristiwa PROCESS_PRIVILEGE_ESCALATION menggunakan sintaksis UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Detail tentang perangkat, pengguna, dan proses yang memuat modul.
  • target: Detail proses dan modul.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal:
    • Setidaknya satu ID mesin.
    • Jika proses mode pengguna melakukan modifikasi registri, principal.process harus menyertakan informasi tentang proses yang memodifikasi registri.
    • Jika proses kernel melakukan modifikasi registri, principal tidak boleh menyertakan informasi proses.
  • target:
    • target.registry: Jika target registry bersifat jarak jauh, target harus mencakup setidaknya satu ID untuk mesin target (misalnya, alamat IP, MAC, nama host, atau ID aset pihak ketiga).
    • target.registry.registry_key: Semua peristiwa registri harus menyertakan kunci registri yang terpengaruh.

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi. Misalnya, kunci registry yang buruk.
  • principal.user: Diisi jika informasi pengguna tersedia tentang proses.
Contoh UDM untuk REGISTRY_MODIFICATION

Contoh berikut menggambarkan cara memformat peristiwa REGISTRY_MODIFICATION di Proto3 menggunakan sintaksis UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Detail perangkat, pengguna, dan proses.
  • target: Entri registri yang terpengaruh oleh modifikasi.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Kolom wajib diisi:

  • metadata: event_timestamp dan informasi latar belakang tentang peristiwa.
  • observer: Mengambil informasi tentang pemindai itu sendiri. Jika pemindai bersifat jarak jauh, detail komputer harus diambil oleh kolom pengamat. Untuk pemindai lokal, biarkan kosong.
  • target: Mengambil informasi tentang perangkat yang menahan objek yang dipindai. Jika file sedang dipindai, target.file harus merekam informasi tentang file yang dipindai. Jika proses sedang dipindai, target.process harus merekam informasi tentang proses yang dipindai.
  • extensions: Untuk SCAN_VULN_HOST dan SCAN_VULN_NETWORK, tentukan kerentanan menggunakan kolom extensions.vuln.

Kolom opsional:

  • principal: Merepresentasikan perangkat yang memulai koneksi dan mencakup setidaknya satu ID mesin (misalnya, nama host, alamat IP, alamat MAC, ID aset eksklusif) atau ID pengguna.
  • target: Detail pengguna tentang objek target (misalnya, pembuat file atau pemilik proses) harus dicatat dalam target.user.
  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk SCAN_HOST

Contoh berikut mengilustrasikan cara memformat peristiwa jenis SCAN_HOST untuk UDM Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • target: Perangkat yang menerima software berbahaya.
  • pengamat: Perangkat yang mengamati dan melaporkan peristiwa yang dimaksud.
  • security_result: Detail keamanan tentang software berbahaya.
Contoh UDM untuk SCAN_VULN_HOST

Contoh berikut mengilustrasikan cara memformat peristiwa jenis SCAN_VULN_HOST untuk UDM Google SecOps:

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Perangkat yang menerima software berbahaya.
  • ekstensi: Detail kerentanan.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Kolom wajib diisi:

  • principal: Untuk semua peristiwa SCHEDULED_TASK, principal harus menyertakan ID mesin dan ID pengguna.
  • target: Target harus menyertakan resource yang valid dan jenis resource yang ditentukan sebagai "TASK".

Kolom opsional:

  • security_result: Mendeskripsikan aktivitas berbahaya yang terdeteksi.
Contoh UDM untuk SCHEDULED_TASK_CREATION

Contoh berikut mengilustrasikan cara memformat peristiwa jenis SCHEDULED_TASK_CREATION untuk UDM Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Perangkat yang menjadwalkan tugas mencurigakan.
  • target: Software yang menjadi target tugas mencurigakan.
  • perantara: Perantara yang terlibat dalam tugas mencurigakan.
  • security_result: Detail keamanan tentang tugas mencurigakan.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Kolom wajib diisi:

  • principal: Harus ada, tidak boleh kosong, dan menyertakan ID mesin.
  • target: Harus ada, tidak boleh kosong, dan menyertakan resource dengan jenisnya yang ditentukan sebagai SETTING
Contoh UDM untuk jenis peristiwa SETTING_MODIFICATION

Contoh berikut menggambarkan cara memformat peristiwa jenis SETTING_MODIFICATION untuk UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi ke dalam kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • principal: Informasi tentang perangkat tempat modifikasi setelan terjadi.
  • target: Detail resource.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Kolom wajib diisi:

  • target: Sertakan ID pengguna dan tentukan proses atau aplikasi.
  • principal: Sertakan setidaknya satu ID komputer (ALAMAT IP atau MAC, nama host, atau ID aset).
Contoh UDM untuk SERVICE_UNSPECIFIED

Contoh berikut menggambarkan cara memformat peristiwa jenis SERVICE_UNSPECIFIED untuk UDM Google SecOps:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • Prinsipal: Detail perangkat dan lokasi.
  • target: Nama host dan ID pengguna.
  • application: Nama aplikasi dan jenis resource.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal: Setidaknya satu ID komputer (ALAMAT IP atau MAC, nama host, atau ID aset).
Contoh UDM untuk STATUS_HEARTBEAT

Contoh berikut menggambarkan cara memformat peristiwa jenis STATUS_HEARTBEAT untuk UDM Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • Prinsipal: Detail perangkat dan lokasi.
  • perantara: Alamat IP perangkat.
  • security_result: Detail hasil keamanan.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Kolom wajib diisi:

  • principal: Sertakan ID pengguna untuk pengguna yang melakukan operasi pada log dan ID mesin untuk mesin tempat log disimpan atau pernah disimpan (dalam kasus penghapusan).
Contoh UDM untuk SYSTEM_AUDIT_LOG_WIPE

Contoh berikut menggambarkan cara peristiwa berjenis SYSTEM_AUDIT_LOG_WIPE diformat untuk UDM Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Seperti yang ditunjukkan dalam contoh ini, peristiwa telah dibagi menjadi kategori UDM berikut:

  • metadata: Informasi latar belakang tentang acara.
  • prinsipal: Detail perangkat dan pengguna.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal: Jika akun pengguna diubah dari lokasi jarak jauh, isi principal dengan informasi tentang komputer tempat perubahan pengguna berasal.
  • target: Isi target.user dengan informasi tentang pengguna yang telah diubah.
  • perantara: Untuk login SSO, perantara harus menyertakan minimal satu ID komputer untuk server SSO jika tersedia.

USER_COMMUNICATION

Kolom wajib diisi:

  • principal: Isi kolom principal.user dengan detail yang terkait dengan komunikasi yang dimulai pengguna (pengirim), seperti pesan chat di Google Chat atau Slack, konferensi video atau suara di Zoom atau Google Meet, atau koneksi VoIP.

Kolom opsional:

  • target: (Direkomendasikan) Isi kolom target.user dengan informasi tentang target pengguna (penerima) resource komunikasi cloud. Isi kolom target.application dengan informasi tentang aplikasi komunikasi cloud target.

USER_CREATION, USER_DELETION

Kolom wajib diisi:

  • metadata: event_timestamp.
  • principal: Sertakan informasi tentang komputer tempat permintaan untuk membuat atau menghapus pengguna berasal. Untuk pembuatan atau penghapusan pengguna lokal, principal harus menyertakan setidaknya satu ID mesin untuk mesin asal.
  • target: Lokasi tempat pengguna dibuat. Juga harus menyertakan informasi pengguna (misalnya, target.user).

Kolom opsional:

  • principal: Detail pengguna dan proses untuk komputer tempat permintaan pembuatan atau penghapusan pengguna dimulai.
  • target: Informasi tentang mesin target (jika berbeda dengan mesin utama).

USER_LOGIN, USER_LOGOUT

Kolom wajib diisi:

  • metadata: Sertakan kolom wajib diisi.
  • principal: Untuk aktivitas pengguna jarak jauh (misalnya, login jarak jauh), isi principal dengan informasi tentang mesin yang memulai aktivitas pengguna. Untuk aktivitas pengguna lokal (misalnya, login lokal), jangan tetapkan principal.
  • target: Isi target.user dengan informasi tentang pengguna yang telah login atau logout. Jika principal tidak ditetapkan (misalnya, login lokal), target juga harus menyertakan setidaknya satu ID mesin yang mengidentifikasi mesin target. Untuk aktivitas pengguna dari mesin ke mesin (misalnya, login jarak jauh, SSO, Layanan Cloud, VPN), target harus menyertakan informasi tentang aplikasi target, mesin target, atau server VPN target.
  • perantara: Untuk login SSO, perantara harus menyertakan minimal satu ID komputer untuk server SSO jika tersedia.
  • network dan network.http: Jika login terjadi melalui HTTP, Anda harus menempatkan semua detail yang tersedia di network.ip_protocol, network.application_protocol, dan network.http.
  • Ekstensi authentication: Harus mengidentifikasi jenis sistem autentikasi yang terkait dengan peristiwa (misalnya, mesin, SSO, atau VPN) dan mekanisme yang digunakan (nama pengguna dan sandi, OTP, dll.).
  • security_result: Tambahkan kolom security_result untuk merepresentasikan status login jika gagal. Tentukan security_result.category dengan nilai AUTH_VIOLATION jika autentikasi gagal.

USER_RESOURCE_ACCESS

Kolom wajib diisi:

  • principal: Isi kolom principal.user dengan detail tentang upaya untuk mengakses resource cloud (misalnya, kasus Salesforce, kalender Office365, Dokumen Google, atau tiket ServiceNow).
  • target: Isi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Kolom wajib diisi:

  • principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang dibuat dalam resource cloud (misalnya, kasus Salesforce, kalender Office 365, Dokumen Google, atau tiket ServiceNow).
  • target: Isi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_RESOURCE_UPDATE_CONTENT

Kolom wajib diisi:

  • principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang kontennya diperbarui dalam resource cloud (misalnya, kasus Salesforce, kalender Office365, Dokumen Google, atau tiket ServiceNow).
  • target: Isi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_RESOURCE_UPDATE_PERMISSIONS

Kolom wajib diisi:

  • principal: Isi kolom principal.user dengan detail yang terkait dengan pengguna yang izinnya diperbarui dalam resource cloud (misalnya, kasus Salesforce, kalender Office 365, Dokumen Google, atau tiket ServiceNow).
  • target: Isi kolom target.resource dengan informasi tentang resource cloud target.

Kolom opsional:

  • target.application: (Direkomendasikan) Isi kolom target.application dengan informasi tentang aplikasi cloud target.

USER_UNCATEGORIZED

Kolom wajib diisi:

  • metadata: event_timestamp
  • principal: Sertakan informasi tentang komputer tempat permintaan untuk membuat atau menghapus pengguna berasal. Untuk pembuatan atau penghapusan pengguna lokal, principal harus menyertakan setidaknya satu ID mesin untuk mesin asal.
  • target: Lokasi tempat pengguna dibuat. Juga harus menyertakan informasi pengguna (misalnya, target.user).

Kolom opsional:

  • principal: Detail pengguna dan proses untuk komputer tempat permintaan pembuatan atau penghapusan pengguna dimulai.
  • target: Informasi tentang mesin target (jika berbeda dengan mesin utama).