Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Guida all'utilizzo del modello di dati unificato

Questo documento fornisce una descrizione più dettagliata dei campi nello schema del modello di dati unificati (UDM) e di quelli obbligatori o facoltativi a seconda del tipo di evento. Per la valutazione del motore delle regole, il prefisso inizia da udm., mentre quello da normalizzatore basato sulla configurazione (CBN) inizia con event.idm.read_only_udm.

Popolazione di metadati dell'evento

La sezione dei metadati degli eventi per gli eventi UDM memorizza le informazioni generali su ciascun evento.

Metadati.event_type

  • Finalità: specifica il tipo di evento; se un evento ha più tipi possibili, questo valore deve specificare il tipo più specifico.
  • Obbligatorio:
  • Codifica: deve essere uno dei tipi predefiniti di enumerazione event_type UDM.
  • Valori possibili: riportato di seguito sono elencati tutti i valori possibili per event_type all'interno dell'UDM.

Eventi email:

  • EMAIL_TRANSAZIONE
  • EMAIL_UNCATEGORIZZATA

Eventi del file eseguiti su un endpoint:

  • FILE_UNCATEGORIZZATO
  • FILE_CREAZIONE
  • FILE_DELEZIONE
  • MODIFICA_FILE
  • FILE_READ (ad esempio, per la lettura di un file delle password)
  • FILE_COPY (ad esempio, copia di un file su una chiavetta USB)
  • FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)

Gli eventi che non rientrano in nessun'altra categoria, inclusi gli eventi Windows senza categoria.

  • EVENTO GENERICO

Eventi mutex (oggetto di esclusione reciproca):

  • MUTEX_UNCATEGORizzato
  • MUTEX_CREATION

Telemetria di rete, inclusi payload di protocollo non elaborati, come DHCP e DNS, nonché riepiloghi dei protocolli per protocolli come HTTP, SMTP e FTP ed eventi di flusso e connessione di Netflow e firewall.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (ad esempio, statistiche aggregate sui flussi di Netflow)
  • NETWORK_CONNECTION (ad esempio, dettagli della connessione di rete da un firewall)
  • NETWORK_FTP
  • NETWORK_DHCP
  • NETWORK_DNS
  • NETWORK_HTTP
  • NETWORK_SMTP

Tutti gli eventi relativi a un processo come un lancio di processo, una procedura di creazione di contenuti dannosi, un processo di inserimento in un altro processo, una modifica di una chiave del Registro di sistema, la creazione di un file dannoso su disco e così via

  • PROCESS_INJECTION
  • PROCESS_LAUNCH
  • PROCESS_MODULE_LOAD
  • PROCESS_OPEN
  • PROCESS_PRIVILEGE_ESCALATION
  • PROCESS_TERMINAZIONE
  • PROCESS_UNCATEGORIZED

Utilizza gli eventi REGISTRY anziché DEFINIRE quando si gestiscono eventi del Registro di sistema specifici di Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventi orientati alla scansione. Include analisi on demand e rilevazioni comportamentali eseguite da prodotti di sicurezza degli endpoint (EDR, AV, DLP). Utilizzato solo quando colleghi un SecurityResult a un altro tipo di evento, ad esempio PROCESS_LAUNCH.

  • SCAN_UNCATEGORIZZATO
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESS
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventi di attività pianificate (Utilità di pianificazione di Windows, cron e così via):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Eventi del servizio:

  • SERVICE_UNSPECIFIED
  • SERVICE_CREATION
  • SERVICE_DELETION
  • SERVICE_START
  • SERVICE_STOP

Impostazione di eventi, anche quando viene modificata un'impostazione di sistema su un endpoint. Per impostare i requisiti degli eventi, visita questa pagina.

  • IMPOSTAZIONE_UNCATEGORIZZATA
  • impostazione_CREAZIONE
  • impostazione_MODIFICA
  • impostazione_DELETION

Messaggi di stato dei prodotti di sicurezza per indicare che gli agenti sono attivi e per inviare la versione, l'impronta o altri tipi di dati.

  • STATO_UNCATEGORIZZATA
  • STATUS_HEARTBEAT (indica che il prodotto è attivo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (aggiornamento software o impronta)

Eventi del log di controllo del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE

Eventi attività di autenticazione utente:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (ad es. quando un utente accede fisicamente a un sito)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • USER_CREATION
  • USER_DELETION
  • ACCESSO UTENTE
  • USER_LOGOUT
  • ACCESSO_UTENTE_RESOURCE_
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadati.collected_timestamp

  • Finalità: codifica il timestamp GMT quando l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
  • Codifica: RFC 3339, a seconda del formato di timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Formato Proto3: '2012-04-23T18:25:43.511Z'

Metadati.event_timestamp

  • Finalità: codifica il timestamp GMT quando è stato generato l'evento.
  • Obbligatorio:
  • Codifica: RFC 3339, a seconda del formato di timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 23-04-2012T18:25:43.511Z

Metadati.description

  • Scopo: descrizione dell'evento leggibile.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 1024 byte
  • Esempio: è bloccato l'accesso al file sensibile c:\bar\foo.exe al documento sensibile c:\documents\earnings.docx.

Metadati.product_type_event

  • Finalità: nome o tipo di evento breve, descrittivo, leggibile e specifico del prodotto.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 64 byte.
  • Esempi:
    • Evento di creazione del registro
    • ProcessRollUp
    • Rilevato escalation dei privilegi
    • Malware bloccato

Metadata.product_log_id

  • Finalità: codifica un identificatore di evento specifico del fornitore per identificare in modo univoco l'evento (GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console di proprietà del fornitore.
  • Codifica: stringa sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempio: ABcd1234-98766

Metadata.product_name

  • Finalità: specifica il nome del prodotto.
  • Codifica: stringa sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • Falco
    • Protezione endpoint Symantec

Metadata.product_version

  • Finalità: specifica la versione del prodotto.
  • Codifica: stringa alfanumerica, punti e trattini consentiti, massimo 32 byte
  • Esempi:
    • 1,2,3 b
    • 10.3:rev1

Metadata.url_back_to_product [prodotto_url_back_to_product]

  • Finalità: URL che rimandano a un sito web pertinente in cui puoi visualizzare ulteriori informazioni su questo evento specifico (o sulla categoria generale dell'evento).
  • Codifica: URL RFC 3986 valido con parametri facoltativi come informazioni sulle porte e così via. Deve avere un prefisso di protocollo prima dell'URL (ad es. https:// o http://).
  • Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadati.vendor_name

  • Finalità: specifica il nome del fornitore del prodotto.
  • Codifica: distinzione tra maiuscole e minuscole, stringa alfanumerica, punteggiatura consentita, massimo 256 byte
  • Esempi:
    • CrowdStrike
    • Symantec

Popolazione di metadati del nome

In questa sezione, la parola Noun è un termine generale utilizzato per rappresentare le entità; principal, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per ulteriori informazioni sulle entità e su ciò che ciascuna rappresenta in un evento, consulta Formattazione dei dati del log come UDM.

Noun.asset_id

  • Finalità: Identificatore di dispositivo univoco specifico del fornitore (ad esempio, un GUID generato durante l'installazione del software di sicurezza degli endpoint su un nuovo dispositivo utilizzato per monitorare il dispositivo unico nel tempo).
  • Codifica: VendorName.AdChoices:ID in cui VendorName non fa distinzione tra maiuscole e minuscole* *name vendor come "Carbon Black", Nome non distingue tra maiuscole e minuscole, ad esempio "quot;Response" o "Endpoint Protection", e ID è un identificatore cliente specifico del fornitore che è univoco a livello globale nel dispositivo del cliente (ad esempio un ID univoco univoco). VendorName e PageSpeed sono caratteri alfanumerici e non possono contenere più di 32 caratteri. L'ID può contenere al massimo 128 caratteri e può includere caratteri alfanumerici, trattini e punti.
  • Esempio: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Finalità: indirizzo email
  • Codifica: formato standard degli indirizzi email.
  • Esempio: johns@test.altostrat.com

Noun.file

Nome.nome

  • Finalità: il nome host o il nome di dominio del client. Non includere se è presente un URL.
  • Codifica: nome host RFC 1123 valido.
  • Esempi:
    • utente10
    • www.altostrat.com

Noun.platform

  • Finalità: il sistema operativo della piattaforma.
  • Codifica: enumerazione
  • Valori possibili:
    • LINUX
    • MAC
    • Finestre
    • PLATFORM_SCONOSCIUTO

Noun.platform_patch_level

  • Finalità: livello della patch del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: build 17134.48

Noun.platform_version

  • Finalità: la versione del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Microsoft Windows 10 versione 1803

Noun.process

Noun.ip

  • Finalità:
    • Indirizzo IP singolo associato a una connessione di rete.
    • Uno o più indirizzi IP associati a un dispositivo partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificare tutti questi indirizzi all'interno dei campi IP).
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
  • Ripetibilità:
    • Se un evento descrive una connessione di rete specifica (ad esempio srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
    • Se un evento descrive un'attività generale avvenuta su un dispositivo partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati al dispositivo al momento dell'evento.
  • Esempi:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.port

  • Finalità: numero di porta di rete di origine o di destinazione quando viene descritta una connessione di rete specifica all'interno di un evento.
  • Codifica: numero di porta TCP/IP valido compreso tra 1 e 65.535.
  • Esempi:

    • 80
    • 443

Noun.mac

  • Finalità: uno o più indirizzi MAC associati a un dispositivo.
  • Codifica: indirizzo MAC valido (EUI-48) in ASCII.
  • Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati per il dispositivo al momento dell'evento.
  • Esempi:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:00:0:0:c9:14:c8:29

Nome.amministratore_dominio

  • Finalità: il dominio a cui appartiene il dispositivo (ad esempio, il dominio Windows).
  • Codifica: stringa del nome di dominio valida (massimo 128 caratteri).
  • Esempio: corp.altostrat.com

Noun.registry

Noun.url

  • Finalità: URL standard
  • Codifica: URL (RFC 3986). Deve avere un prefisso di protocollo valido (ad es. https:// o ftp://). Deve includere il dominio completo e il percorso. Potrebbero includere i parametri URL.
  • Esempio: https://foo.altostrat.com/bletch?a=b;c=d

Nome.utente

Popolazione di metadati di autenticazione

Authentication.AuthType

  • Finalità: il tipo di sistema a cui è associato un evento di autenticazione (Chronicle UDM).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE - Autenticazione su macchina
    • FISICA: autenticazione fisica (ad esempio, un lettore di badge)
    • SSO
    • TACACS: protocollo della famiglia TACACS per l'autenticazione di sistemi in rete (ad esempio, TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Finalità: descrive lo stato di autenticazione di un utente o di una credenziale specifica.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_AUTHENTICATION_STATUS: stato di autenticazione predefinito
    • ATTIVA: metodo di autenticazione in stato attivo
    • SOSPETTO: il metodo di autenticazione è in stato di sospensione o disattivato
    • DELETED: il metodo di autenticazione è stato eliminato
    • NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non contiene credenziali attive.

Authentication.auth_details

  • Finalità:dettagli di autenticazione definiti dal fornitore.
  • Codifica: stringa.

Autenticazione.Meccanismo

  • Scopo: meccanismi utilizzati per l'autenticazione.
  • Codifica:tipo enumerato.
  • Valori possibili:
    • MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
    • BADGE_READER
    • BATCH: autenticazione in blocco.
    • CACHED_INTERACTIVE: autenticazione interattiva tramite credenziali memorizzate nella cache.
    • HARDWARE_KEY
    • LOCALE
    • MECHANISM_OTHER: qualche altro meccanismo non definito qui.
    • NETWORK: autenticazione di rete.
    • NETWORK_CLEAR_TEXT: autenticazione di testo in chiaro nella rete.
    • NEW_CREDENTIALS: autenticazione con nuove credenziali.
    • OTP
    • REMOTE: autenticazione remota
    • REMOTE_INTERACTIVE: RDP, servizi di terminale, Virtual Network Computing (VNC) e così via.
    • SERVICE: autenticazione del servizio.
    • UNLOCK: autenticazione di sblocco diretta umana.
    • USERNAME_PASSWORD

Popolazione di metadati DHCP

I campi di metadati Dynamic Host Control Protocol (DHCP) acquisiscono le informazioni di log del protocollo di gestione della rete DHCP.

Nome host Dhcp.client_

  • Finalità: il nome host del cliente. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: stringa.

Dhcp.client_identifier

  • Finalità: l'identificatore del client. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

File Dhcp

  • Finalità: il nome file dell'immagine di avvio.
  • Codifica: stringa.

Flag Dhcp

  • Finalità: il valore del campo dei flag DHCP.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.hl

  • Finalità: lunghezza dell'indirizzo dell'hardware.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.hops

  • Finalità: conteggio degli hop DHCP.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.htype

  • Finalità:tipo di indirizzo hardware.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.lease_time_secondi

  • Finalità: il tempo di lease richiesto dal client per un indirizzo IP in secondi. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero senza firma a 32 bit.

Codice Dhcp

  • Finalità: il codice operativo BOOTP (vedi la sezione 3 della RFC 951).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • COPIA_SCONOSCIUTA
    • BOOTREQUEST
    • Risposta rapida

Dhcp.requested_address

  • Finalità: l'identificatore del client. Per ulteriori informazioni, consulta RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.secondi

  • Finalità: secondi trascorsi da quando il cliente ha iniziato il processo di acquisizione/rinnovo dell'indirizzo.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.sname

  • Finalità: il nome del server da cui il client ha richiesto l'avvio.
  • Codifica: stringa.

ID transazione Dhcp.

  • Finalità: ID transazione del cliente.
  • Codifica: numero intero senza firma a 32 bit.

Tipo Dhcp

  • Finalità: il tipo di messaggio DHCP. Per ulteriori informazioni, consulta RFC 1533.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFFER
    • RICHIEDI
    • RIFIUTO
    • ACK
    • NAK
    • RILASCIA
    • INFORMA
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Finalità: l'indirizzo IP dell'hardware del client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.ciaddr

  • Finalità: l'indirizzo IP del client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.giaddr

  • Finalità: l'indirizzo IP dell'agente di inoltro.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.siaddr

  • Finalità: l'indirizzo IP del prossimo server di bootstrap.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.yiaddr

  • Finalità: il tuo indirizzo IP.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Popolazione di metadati dell'opzione DHCP

I campi dei metadati dell'opzione DHCP acquisiscono le informazioni di log dell'opzione DHCP.

Codice opzione.

  • Finalità: memorizza il codice dell'opzione DHCP. Per ulteriori informazioni, consulta RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero a 32 bit non firmato.

Opzione.data

  • Finalità: memorizza i dati dell'opzione DHCP. Per ulteriori informazioni, consulta RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Popolazione di metadati DNS

I campi di metadati DNS acquisiscono informazioni relative ai pacchetti di richiesta e risposta DNS. Hanno una corrispondenza one-to-one ai dati trovati nei datagrammi di richiesta e risposta DNS.

Dns.authoritative

  • Finalità: impostato su true per i server DNS autorevoli.
  • Codifica: valore booleano.

Dns.id

  • Finalità: memorizza l'identificatore della query DNS.
  • Codifica: numero intero a 32 bit.

Risposta Dns

  • Finalità:impostato su true se l'evento è una risposta DNS.
  • Codifica: valore booleano.

Codice Dns.op

  • Finalità: memorizza l'OpCode DNS utilizzato per specificare il tipo di query DNS (standard, inverso, stato del server e così via).
  • Codifica: numero intero a 32 bit.

Dns.recursion_available

  • Finalità:se il valore è true, è disponibile una ricerca DNS ricorrente.
  • Codifica: valore booleano.

Dns.recursion_desired

  • Finalità: imposta su true se viene richiesta una ricerca DNS ricorrente.
  • Codifica: valore booleano.

Dns.response_code

  • Finalità: archivia il codice di risposta DNS come definito dal documento RFC 1035, Domain Names - Implementation and Specification.
  • Codifica: numero intero a 32 bit.

Dns.troncata

  • Finalità:imposta il valore su true se si tratta di una risposta DNS troncata.
  • Codifica: valore booleano.

Dns.questions

Dns.answer

Dns.authority

Dns.additional

Popolazione di metadati di domande DNS

I campi dei metadati delle domande DNS acquisiscono le informazioni contenute nella sezione delle domande di un messaggio di protocollo di dominio.

Domanda.nome

  • Finalità: memorizza il nome di dominio.
  • Codifica: stringa.

Question.class

  • Finalità: memorizza il codice che specifica la classe della query.
  • Codifica: numero intero a 32 bit.

Tipo di domanda

  • Finalità: memorizza il codice che specifica il tipo di query.
  • Codifica: numero intero a 32 bit.

Popolazione di metadati del record di risorse DNS

I campi dei metadati del record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio di protocollo di dominio.

ResourceRecord.binary_data

  • Finalità: memorizza i byte non elaborati di qualsiasi stringa non UTF8 che potrebbe essere inclusa in una risposta DNS. Questo campo deve essere utilizzato solo se i dati sulla risposta restituiti dal server DNS contengono dati non UTF8. In caso contrario, inserisci la risposta DNS nel campo dati qui sotto. Questo tipo di informazioni deve essere archiviate qui anziché in ResourceRecord.data.
  • Codifica: byte.

ResourceRecord.class

  • Finalità: archivia il codice che specifica la classe del record di risorse.
  • Codifica: numero intero a 32 bit.

ResourceRecord.data

  • Finalità: memorizza il payload o la risposta alla domanda DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dei dati potrebbe restituire l'indirizzo IP della macchina a cui fa riferimento il nome di dominio. Se il record di risorse riguarda un tipo o una classe diversi, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati così come sono nella risposta DNS.
  • Codifica: stringa.

NomeRisorsaRecord.

  • Finalità: archivia il nome del proprietario del record di risorse.
  • Codifica: stringa.

ResourceRecord.ttl

  • Scopo: memorizza l'intervallo di tempo per il quale il record di risorse può essere memorizzato nella cache prima di eseguire nuovamente la query sull'origine delle informazioni.
  • Codifica: numero intero a 32 bit.

ResourceRecord.type

  • Finalità: archivia il codice che specifica il tipo del record di risorse.
  • Codifica: numero intero a 32 bit.

Popolazione di metadati delle email

La maggior parte dei campi dei metadati dell'email acquisisce gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato standard degli indirizzi email (local-mailbox@domain) definito in RFC 5322. Ad esempio, frank@email.example.com.

Email.da

  • Finalità: memorizza l'indirizzo email from.
  • Codifica: stringa.

Email.risposta_a

  • Finalità: memorizza l'indirizzo email reply_to.
  • Codifica: stringa.

Email.to

  • Finalità: memorizza gli indirizzi email di tipo to.
  • Codifica: stringa.

Email.cc

  • Finalità: memorizza gli indirizzi email cc.
  • Codifica: stringa.

Email.bcc

  • Finalità:archivia gli indirizzi email Ccn.
  • Codifica: stringa.

Email.mail_id

  • Finalità: memorizza l'ID della posta (o del messaggio).
  • Codifica: stringa.
  • Esempio: 192544.132632@email.example.com

Email.subject

  • Finalità: memorizza la riga dell'oggetto dell'email.
  • Codifica: stringa.
  • Esempio: "Leggere questo messaggio."

Popolazione di metadati delle estensioni

Tipi di eventi con metadati di prima classe non ancora classificati da UDM Chronicle. Extensions.auth

  • Finalità: l'estensione dei metadati di autenticazione.
  • Codifica: stringa.
  • Esempi:
    • Metadati sandbox (tutti i comportamenti esposti da un file, ad esempio FireEye).
    • I dati NAC (Network Access Control).
    • Dettagli LDAP su un utente (ad esempio, ruolo, organizzazione e così via).

Estensioni.auth.auth_details

  • Finalità:specificare i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I provider di autenticazione spesso definiscono tipi quali via_mfa, via_ad e così via, che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono ancora essere generalizzati in auth.type o auth.mechanism per la compatibilità e le regole del cross-set di dati.
  • Codifica: stringa.
  • Esempi: via_mfa, via_ad.

Extensions.vulns

  • Finalità: estensione dei metadati della vulnerabilità.
  • Codifica: stringa.
  • Esempio:
    • Dati dell'analisi delle vulnerabilità dell'host.

Popolazione di metadati dei file

File.meta_file

  • Finalità: i metadati associati al file.
  • Codifica: stringa.
  • Esempi:
    • Autore
    • Numero di revisione
    • Numero della versione
    • Data ultimo salvataggio

File.full_path

  • Finalità: percorso completo che identifica la posizione del file sul sistema.
  • Codifica: stringa.
  • Esempio: \Program Files\Custom Utilities\Test.exe

File.md5

  • Finalità: il valore hash MD5 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Finalità: il tipo MIME (Multipurpose Internet Mail Extensions) per il file.
  • Codifica: stringa.
  • Esempi:
    • PE
    • PDF
    • script PowerShell

File.sha1

  • Finalità: il valore hash SHA-1 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Finalità: il valore hash SHA-256 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio:
    • D7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

Dimensioni file

  • Finalità: le dimensioni del file.
  • Codifica: numero intero senza firma a 64 bit.
  • Esempio: 342135.

Popolazione di metadati FTP

Ftp.command

  • Finalità: memorizza il comando FTP.
  • Codifica: stringa.
  • Esempi:
    • binario
    • elimina
    • get
    • put

Popolazione di metadati del gruppo

Informazioni su un gruppo organizzativo.

Group.creation_time

  • Finalità: il momento della creazione dei gruppi.
  • Codifica: RFC 3339, a seconda del formato di timestamp JSON o Proto3.

Group.email_addresses

  • Finalità: le informazioni di contatto del gruppo.
  • Codifica: email.

Group.group_display_name (Nome visualizzato gruppo.gruppo)

  • Finalità: il nome visualizzato del gruppo.
  • Codifica: stringa.
  • Esempi:
    • Finanza
    • RU
    • Marketing

Group.product_object_id

  • Finalità: l'identificatore univoco globale a livello di prodotto per il prodotto, ad esempio l'identificatore di oggetto LDAP.
  • Codifica: stringa.

Group.windows_sid

  • Finalità: il campo relativo all'attributo di gruppo SID (Microsoft Windows Security Identifier).
  • Codifica: stringa.

Popolazione di metadati HTTP

Http.method

  • Finalità: memorizza il metodo di richiesta HTTP.
  • Codifica: stringa.
  • Esempi:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Finalità: memorizza l'URL del referer HTTP.
  • Codifica: URL RFC 3986 valido.
  • Esempio: https://www.altostrat.com

Http.response_code

  • Finalità: archivia il codice di stato della risposta HTTP, che indica se una specifica richiesta HTTP è stata completata correttamente.
  • Codifica: numero intero a 32 bit.
  • Esempi:
    • 400
    • 404

Http.useragent

  • Finalità: memorizza l'intestazione della richiesta User-Agent che include il tipo di applicazione, il sistema operativo, il fornitore del software o la versione del software dello user agent del software.
  • Codifica: stringa.
  • Esempi:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, come Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Popolazione di metadati sulla località

Località.città

  • Finalità: memorizza il nome della città.
  • Codifica: stringa.
  • Esempi:
    • Soleggiato
    • Chicago
    • Malaga

Località.paese_o_area geografica

  • Finalità: memorizza il nome del paese o dell'area geografica del mondo.
  • Codifica: stringa.
  • Esempi:
    • Stati Uniti
    • Regno Unito
    • Spagna

Nome.località

  • Finalità:archivia il nome specifico dell'azienda, ad esempio un edificio o un campus.
  • Codifica: stringa.
  • Esempi:
    • Campus 7B
    • Edificio A2

Località.stato

  • Finalità: memorizza il nome dello stato, della provincia o del territorio.
  • Codifica: stringa.
  • Esempi:
    • California
    • Illinois
    • Ontario

Popolazione di metadati di rete

Network.application_protocol

  • Finalità: indica il protocollo dell'applicazione di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Finalità: indica la direzione del traffico di rete.
  • Codifica:tipo enumerato.
  • Valori possibili:
    • UNKNOWN_DIRECTION
    • IN ENTRATA
    • IN USCITA
    • TRASMISSIONE

Rete.email

  • Finalità:specifica l'indirizzo email del mittente/destinatario.
  • Codifica: stringa.
  • Esempio: jcheng@company.example.com

Protocollo.ip.network

  • Finalità: indica il protocollo IP.
  • Codifica:tipo enumerato.
  • Valori possibili:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP - Protocollo di routing avanzato del gateway interno
    • ESP: incapsulamento del payload di sicurezza
    • EtherIP: incapsulamento Ethernet
    • GRE: incapsulamento generico dei percorsi
    • ICMP: Internet Control Message Protocol
    • IGMP - Protocollo di gestione dei gruppi Internet
    • IP6IN4: IPv6 incapsulamento
    • PIM: multicast indipendente dal protocollo
    • TCP: Transmission Control Protocol
    • UDP: User Datagram Protocol
    • VRRP: protocollo ridondanza router virtuale

Rete.Received_bytes

  • Finalità: specifica il numero di byte ricevuti.
  • Codifica: numero intero senza firma a 64 bit.
  • Esempio: 12.453.654.768

Rete.sent_byte

  • Finalità: specifica il numero di byte inviati.
  • Codifica: numero intero senza firma a 64 bit.
  • Esempio: 7.654.876

Network.session_duration

  • Finalità: memorizza la durata della sessione di rete, generalmente restituita in un evento di calo della sessione. Per impostare la durata, puoi impostare network.session_duration.seconds = 1, (type int64) o network.session_duration.nanos = 1 (type int32).
  • Codifica:
    • Numero intero a 32 bit: per secondi (network.session_duration.seconds).
    • Numero intero a 64 bit: per nanosecondi (network.session_duration.nanos).

Network.session_id (ID rete)

  • Finalità: memorizza l'identificatore della sessione di rete.
  • Codifica: stringa.
  • Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Popolazione di metadati del processo

Process.command_line

  • Finalità: memorizza la stringa di riga di comando per il processo.
  • Codifica: stringa.
  • Esempio: c:\windows\system32\net.exe group

Process.product_specific_process_id

  • Finalità: memorizza l'ID processo specifico del prodotto.
  • Codifica: stringa.

Process.parent_process.product_specific_process_id

  • Finalità: memorizza l'ID processo specifico del prodotto per il processo principale.
  • Codifica: stringa.

Procedura.file

  • Finalità: memorizza il nome del file utilizzato dal processo.
  • Codifica: stringa.
  • Esempio: report.xls

Process.parent_processo

  • Finalità: memorizza i dettagli del processo principale.
  • Codifica: nome (processo)

Process.pid

  • Finalità: memorizza l'ID processo.
  • Codifica: stringa.
  • Esempi:
    • 308
    • 2002

Popolazione di metadati del Registro di sistema

Registry.registry_key

  • Finalità: memorizza la chiave del Registro di sistema associata a un'applicazione o a un componente del sistema.
  • Codifica: stringa.
  • Esempio: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Finalità: memorizza il nome del valore del Registro di sistema associato a un'applicazione o a un componente del sistema.
  • Codifica: stringa.
  • Esempio: TEMP

Registry.registry_value_data

  • Finalità: archivia i dati associati a un valore del Registro di sistema.
  • Codifica: stringa.
  • Esempio: %USERPROFILE%\Impostazioni locali\Temp

Popolazione di metadati dei risultati di sicurezza

I metadati dei risultati di sicurezza includono dettagli sui rischi e sulle minacce per la sicurezza rilevati da un sistema di sicurezza, nonché le azioni intraprese per mitigare tali rischi e minacce.

SecurityResult.about

  • Finalità: fornisci una descrizione del risultato di sicurezza.
  • Codifica: nome.

SecurityResult.action

  • Finalità: specificare un'azione di sicurezza.
  • Codifica:tipo enumerato.
  • Valori possibili: Chronicle UDM definisce le seguenti azioni di sicurezza:
    • CONSENTI
    • ALLOW_WITH_MODIFICATION: il file o l'email è stato disinfettato o riscritto e ancora inoltrato.
    • BLOCCA
    • QUARANTENA: archivio per analisi successive (non significa blocco).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Scopo: dettagli forniti dal fornitore dell'azione intrapresa in seguito all'incidente di sicurezza. Le azioni di sicurezza spesso si traducono meglio nel campo UDM Security_Result.action più generale. Tuttavia, potrebbe essere necessario scrivere regole per la descrizione esatta dell'azione fornita dal fornitore.
  • Codifica: stringa.
  • Esempi: rilascio, blocco, decriptazione, crittografia.

SicurezzaResult.category

  • Finalità: specifica una categoria di sicurezza.
  • Codifica: enumerazione.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di sicurezza:
    • ACL_VIOLATION: tentativo di accesso non autorizzato, inclusi tentativi di accesso a file, servizi web, processi, oggetti web e così via.
    • AUTH_VIOLATION: autenticazione non riuscita, ad esempio una password errata o un'autenticazione a due fattori errata.
    • DATA_AT_REST—DLP: dati dei sensori inattivi in scansione.
    • DATA_DESTRUCTION: tentativo di eliminazione/eliminazione dei dati.
    • DATA_EXFILTRATION-DLP: trasmissione dei dati dei sensori, copia sull'unità USB.
    • ESPLOIT: tentativo di overflow, codifiche del protocollo non valide, ROP, SQL injection e così via, sia basati sulla rete che host.
    • MAIL_PHISHING: email di phishing, messaggi di chat e così via
    • MAIL_SPAM: email di spam, messaggio e così via
    • MAIL_SPOOFING: indirizzo email di origine con spoofing e così via
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: se il canale di comando e controllo è noto.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando e controllo, sfruttamento della rete, attività sospetta, potenziale tunnel inverso e così via.
    • NETWORK_SUSPICIOUS: informazioni non relative alla sicurezza, ad esempio, l'URL è collegato a giochi e scommesse e così via.
    • NETWORK_RECON: scansione delle porte rilevata da un IDS, mediante probe da un'applicazione web.
    • POLICY_VIOLATION: violazione dei criteri di sicurezza, incluse violazioni del firewall, del proxy o delle regole HIPS oppure delle azioni di blocco dei NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via.
    • SOFTWARE_PUA: app potenzialmente indesiderata, ad esempio adware e così via.
    • SOFTWARE_SUSPICIOUS
    • CATEGORIA_SCONOSCIUTA

SicurezzaRisultato.confidenza

  • Finalità: specifica un grado di confidenza in relazione a un evento di sicurezza come stimato dal prodotto.
  • Codifica: enumerazione.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di confidenza del prodotto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Finalità:dettagli aggiuntivi sulla fiducia di un evento di sicurezza come stimato dal fornitore del prodotto.
  • Codifica: stringa.

SicurezzaResult.priorità

  • Finalità: specificare una priorità relativa a un evento di sicurezza come stimato dal fornitore del prodotto.
  • Codifica: enumerazione.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di priorità dei prodotti:
    • UNKNOWN_PRIORITY
    • LOW_PRIORITY
    • MEDIA_PRIORITÀ
    • HIGH_PRIORITY

SicurezzaResult.priorità_dettagli

  • Finalità: informazioni specifiche del fornitore relative alla priorità dei risultati di sicurezza.
  • Codifica: stringa.

SecurityResult.rule_id

  • Finalità: l'identificatore della regola di sicurezza.
  • Codifica: stringa.
  • Esempi:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SicurezzaResult.rule_name

  • Finalità: il nome della regola di sicurezza.
  • Codifica: stringa.
  • Esempio: BlockInboundToOracle.

SicurezzaRisultato.Gravità

  • Scopo: gravità di un evento di sicurezza come stimato dal fornitore del prodotto utilizzando i valori definiti da Chronicle UDM.
  • Codifica: enumerazione.
  • Valori possibili: Chronicle UDM definisce le seguenti gravità del prodotto:
    • UNKNOWN_SEVERITY: non dannoso
    • INFORMAZIONI: non dannose
    • ERRORE: non dannoso
    • BASSA: dannosa
    • MEDIUM: dannoso
    • HIGH: dannoso

SecurityResult.severity_details

  • Finalità: gravità per un evento di sicurezza come stimato dal fornitore del prodotto.
  • Codifica: stringa.

SicurezzaResult.threat_name

  • Finalità: nome della minaccia alla sicurezza.
  • Codifica: stringa.
  • Esempi:
    • W32/File-A
    • Slammer

SecurityResult.url_back_to_product

  • Finalità: URL che ti indirizza alla console del prodotto di origine per questo evento di sicurezza.
  • Codifica: stringa.

Popolazione di metadati utente

User.email_addresses

  • Finalità: memorizza gli indirizzi email dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: johnlocke@company.example.com

User.employee_id

  • Finalità:archivia l'ID dipendente delle risorse umane per l'utente.
  • Codifica: stringa.
  • Esempio: 11223344.

Nome.utente_

  • Finalità: memorizza il primo nome dell'utente.
  • Codifica: stringa.
  • Esempio: John.

Utente.middle_name

  • Finalità: memorizza il secondo nome dell'utente.
  • Codifica: stringa.
  • Esempio: Antonio.

Cognome.utente

  • Finalità:memorizza il cognome dell'utente.
  • Codifica: stringa.
  • Esempio: Locke.

Identificatori.gruppo.utente

  • Finalità: archivia gli ID di gruppo (GUID, LDAP OID o simili) associati a un utente.
  • Codifica:stringa ripetuta.
  • Esempio: amministratori.

User_phone_numbers

  • Finalità: memorizza i numeri di telefono dell'utente.
  • Codifica:stringa ripetuta.
  • Esempio: 800-555-0101

Titolo utente.

  • Finalità: archivia la qualifica per l'utente.
  • Codifica: stringa.
  • Esempio: Customer Relationship Manager.

Nome_utente_utente.

  • Finalità: memorizza il nome visualizzato dell'utente.
  • Codifica: stringa.
  • Esempio: Mario Rossi.

ID utente.

  • Finalità: memorizza lo User-ID.
  • Codifica: stringa.
  • Esempio: jlocke.

User.windows_sid

  • Finalità: archivia l'identificatore di sicurezza (SID) di Microsoft Windows associato a un utente.
  • Codifica: stringa.
  • Esempio: S-1-5-21-1180649209-123456789-3582944384-1064

Popolazione di metadati relativi alle vulnerabilità

Vulnerabilità.

  • Finalità: se la vulnerabilità riguarda un nome specifico (ad esempio eseguibile), aggiungila qui.
  • Codifica: nome. Vedi Popolazione di metadati Noun
  • Esempio: eseguibile.

Vulnerabilità.cvss_base_score

  • Finalità: il punteggio di base del Common Vulnerability Scoring System (CVSS).
  • Codifica: virgola mobile.
  • Intervallo: da 0,0 a 10,0
  • Esempio: 8.5

Vulnerabilità.cvss_vettore

  • Scopo: vettore per le proprietà CVSS della vulnerabilità. Un punteggio CVSS è composto dalle seguenti metriche:

    • Vettorio d'attacco (AV)
    • Complessità di accesso (AC)
    • Autenticazione (Au)
    • Impatto della riservatezza (C)
    • Impatto dell'integrità (I)
    • Impatto sulla disponibilità (A)

    Per saperne di più, vedi https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vettore=VALORE.

  • Codifica: stringa.

  • Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerabilità.cvss_versione

  • Finalità: versione CVSS per il punteggio di vulnerabilità o il vettore.
  • Codifica: stringa.
  • Esempio: 3.1

Vulnerabilità.description

  • Finalità: la descrizione della vulnerabilità.
  • Codifica: stringa.

Vulnerabilità.prima_trovata

  • Scopo: i prodotti che mantengono una cronologia delle scansioni delle vulnerabilità dovrebbero completarsi al momento del rilevamento della vulnerabilità per l'asset.
  • Codifica: stringa.

Vulnerabilità.ultimo_trovato

  • Finalità: i prodotti che mantengono una cronologia delle scansioni delle vulnerabilità dovrebbero finire nell'ultimo caso, con il momento in cui la vulnerabilità per questa risorsa è stata rilevata più di recente.
  • Codifica: stringa.

Vulnerabilità.nome

  • Finalità: il nome della vulnerabilità.
  • Codifica: stringa.
  • Esempio: è stata rilevata una versione del sistema operativo non supportata.

Vulnerabilità.scan_end_time

  • Scopo: se la vulnerabilità è stata rilevata durante la scansione di un asset, compila questo campo con l'ora di fine della scansione. Lascia questo campo vuoto se l'ora di fine non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerabilità.scan_start_time

  • Scopo: se la vulnerabilità è stata rilevata durante la scansione di un asset, compila questo campo con l'ora di inizio della scansione. Lascia questo campo vuoto se l'ora di inizio non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerabilità.Gravità

  • Finalità: gravità della vulnerabilità.
  • Codifica:tipo enumerato.
  • Valori possibili:
    • UNKNOWN_SEVERITY
    • BASSO
    • MEDIO
    • ALTO

Vulnerabilità.severità_dettagli

  • Finalità: dettagli sulla gravità specifici del fornitore.
  • Codifica: stringa.

Popolazione di metadati degli avvisi

idm.is_significant

  • Finalità: specificare se mostrare l'avviso in Enterprise Insights.
  • Codifica: valore booleano

idm.is_alert

  • Scopo: identifica se l'evento è un avviso.
  • Codifica: valore booleano

Campi obbligatori e facoltativi in base al tipo di evento

Questa sezione descrive i campi obbligatori e facoltativi da compilare a seconda del tipo di evento UDM. Per una descrizione di questi campi, consulta l'elenco di campi Modello di dati unificato.

EMAIL_TRANSAZIONE

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: completa le informazioni del computer da cui ha origine il messaggio email. Ad esempio, l'indirizzo IP del mittente.

Campi facoltativi:

  • Informazioni: URL, IP, domini e tutti gli allegati di file incorporati nel corpo dell'email.
  • securityResult.about: URL, IP e file non validi incorporati nel corpo dell'email.
  • network.email: email del mittente/destinatario.
  • principal: se sono presenti dati della macchina client su chi ha inviato l'email, compila i dettagli del server nell'entità (ad esempio, processo del client, numeri di porta, nome utente e così via).
  • target: se sono presenti dati del server email di destinazione, compila i dettagli del server nel target (ad esempio, l'indirizzo IP).
  • intermediario: se sono presenti dati del server di posta o dati del proxy di posta, specifica i dettagli del server nella versione intermedia.

Note

  • Non inserire mai principal.email o target.email.
  • Compila solo il campo email in security_result.about o network.email.
  • Per i risultati di sicurezza di primo livello viene in genere impostato un nome (facoltativo per lo spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • princip:
    • Almeno un identificatore macchina.
    • (Facoltativo) Completa entità.process con informazioni sul processo di accesso al file.
  • target:
    • Se il file è remoto (ad esempio la condivisione SMB), la destinazione deve includere almeno un identificativo della macchina per la macchina di destinazione, altrimenti tutti gli identificatori devono essere vuoti.
    • Completare target.file con informazioni sul file.

Optional:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative al processo.

FILE_COPY

Campi obbligatori:

  • metadata: includi i campi obbligatori come descritto.
  • princip:
    • Almeno un identificatore macchina.
    • (Facoltativo) Completa principal.process con le informazioni sul processo che esegue l'operazione di copia del file.
  • src:
    • Completa src.file con le informazioni sul file di origine.
    • Se il file è remoto (ad esempio, condivisione SMB), src deve includere almeno un identificatore del computer di origine per il quale il file di origine viene archiviato.
  • target:
    • Completa target.file con le informazioni sul file di destinazione.
    • Se il file è remoto (ad esempio la condivisione SMB), il campo target deve includere almeno un identificatore macchina per la macchina target che contiene il file di destinazione.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative al processo.

MUTEX_CREATION

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • princip:
    • Almeno un identificatore macchina.
    • Completa di entità.process con informazioni sul processo di creazione dell'audio disattivato.
  • target:
    • Completa target.resource.
    • Completa target.resource.type con MUTEX.
    • Completa target.resource.name con il nome del disattivato audio creato.

Optional:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative al processo.
Esempio di UDM per MUTEX_CREATION

L'esempio seguente illustra come verrebbe formattato un evento di tipo MUTEX_CREATION per l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli del dispositivo e della procedura
  • target: informazioni sul silenziax.

CONNECTION_NETWORK

Campi obbligatori:

  • metadata: event_timestamp
  • principal: include i dettagli del computer che ha avviato la connessione di rete (ad esempio, origine).
  • target: include i dettagli della macchina di destinazione se diversa dalla macchina principale.
  • network: acquisisci i dettagli relativi alla connessione di rete (porte, protocollo e così via).

Campi facoltativi:

  • principal.process e target.process: includi le informazioni di processo associate all'entità e alla destinazione della connessione di rete (se disponibile).
  • principal.user e target.user: includi le informazioni dell'utente associate all'entità e alla destinazione della connessione di rete (se disponibile).

NETWORK_HTTP

Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un'entità a un server web di destinazione.

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: rappresenta il client che avvia la richiesta web e include almeno un identificatore della macchina (ad esempio nome host, IP, MAC, identificatore di risorsa proprietaria) o identificatore dell'utente (ad esempio, nome utente). Se viene descritta una connessione di rete specifica e se è disponibile un numero di porta client, deve essere specificato un solo indirizzo IP insieme al numero di porta associato alla connessione di rete (anche se è possibile fornire altri identificatori di macchina per descrivere meglio il dispositivo del partecipante). Se non è disponibile alcuna porta di origine, si possono specificare tutti gli indirizzi IP e MAC, gli identificatori di asset e i valori dei nomi host che descrivono il dispositivo principale.
  • target: rappresenta il server web e include le informazioni sul dispositivo e, facoltativamente, un numero di porta. Se è disponibile un numero di porta di destinazione, specifica un solo indirizzo IP oltre al numero di porta associato alla connessione di rete, anche se è possibile fornire più identificatori di macchina per il target. Per target.url, compila l'URL a cui hai eseguito l'accesso.
  • network e network.http: includono dettagli sulla connessione di rete HTTP. Devi completare i seguenti campi:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campi facoltativi:

  • about: rappresenta altre entità presenti nella transazione HTTP (ad esempio, un file caricato o scaricato).
  • intermediario: rappresenta un server proxy (se diverso dall'entità o dalla destinazione).
  • metadata: compila gli altri campi di metadati.
  • network: compila altri campi della rete.
  • network.email: se la connessione di rete HTTP proviene da un URL visualizzato in un messaggio email, completa con network i messaggi.
  • observer: rappresenta uno snapshot passivo (se presente).
  • security_result: aggiungi uno o più elementi al campo security_result per rappresentare l'attività dannosa rilevata.
Esempio UDM per NETWORK_HTTP

L'esempio seguente illustra come un evento antivirus Sophos di tipo NETWORK_HTTP potrebbe essere convertito nel formato UDM Chronicle.

Di seguito è riportato l'evento antivirus Sophos originale:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Ecco come formattare le stesse informazioni in Proto3 utilizzando la sintassi Chronicle UDM:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dispositivo di sicurezza che ha rilevato l'evento.
  • target: dispositivo che ha ricevuto il software dannoso.
  • network: informazioni sulla rete relative all'host dannoso.
  • security_result: dettagli di sicurezza sul software dannoso.
  • Inoltre: le informazioni sul fornitore attualmente non rientrano nell'ambito di UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • princip:
    • Almeno un identificatore macchina.
    • Per gli eventi di iniezione di processo e di terminazione del processo, se disponibili, principal.process deve includere informazioni sul processo che avvia l'azione (ad esempio, per un evento di avvio del processo, principal.process deve includere i dettagli del processo principale, se disponibili).
  • target:
    • target.process: include informazioni sul processo di inserimento, apertura, avvio o chiusura.
    • Se il processo di destinazione è remoto, la destinazione deve includere almeno un identificatore della macchina per la macchina di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore di risorse di terze parti).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user e target.user: completa i processi di avvio (principal) e di destinazione, se disponibili.
Esempio UDM per PROCESS_LAUNCH

L'esempio seguente mostra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli dispositivo.
  • target: dettagli del processo.

PROCESS_MODULE_LOAD

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • princip:
    • Almeno un identificatore macchina.
    • entità.process: processo di caricamento del modulo.
  • target:
    • target.process: include informazioni sul processo.
    • target.process.file: modulo caricato (ad es. la DLL o l'oggetto condiviso).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative al processo.
Esempio di UDM per PROCESS_MODULE_LOAD

L'esempio seguente illustra come formattare un evento PROCESS_MODULE_LOAD utilizzando la sintassi UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli relativi al dispositivo e al processo di caricamento del modulo.
  • target: dettagli del processo e del modulo.

PROCESS_PRIVILEGE_ESCALATION

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • princip:
    • Almeno un identificatore macchina.
    • entità.process: processo di caricamento del modulo.
    • entità.user: l'utente sta caricando il modulo.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio UDM per PROCESS_PRIVILEGE_ESCALATION

L'esempio seguente illustra come formattare un evento PROCESS_PRIVILEGE_ESCALATION utilizzando la sintassi UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli sul dispositivo, sull'utente e sul processo di caricamento del modulo.
  • target: dettagli del processo e del modulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • princip:
    • Almeno un identificatore macchina.
    • Se un processo in modalità utente esegue la modifica del Registro di sistema, principal.process deve includere informazioni sul processo di modifica del Registro di sistema.
    • Se un processo del kernel esegue la modifica del Registro di sistema, il principal non deve includere informazioni sul processo.
  • target:
    • target.registry: se il registro di destinazione è remoto, la destinazione deve includere almeno un identificatore della macchina di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore di risorse di terze parti).
    • target.registry.registry_key: tutti gli eventi del Registro di sistema devono includere la chiave del Registro di sistema interessata.

Optional:

  • security_result: descrivi l'attività dannosa rilevata. Ad esempio, una chiave del Registro di sistema errata.
  • principal.user: inserisci questo valore se le informazioni utente sono disponibili sulla procedura.
Esempio di UDM per REGISTRY_MODIFICATION

L'esempio seguente illustra come formattare un evento REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli relativi a dispositivo, utente e processo.
  • target: voce di registro interessata dalla modifica.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campi obbligatori:

  • extensions: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la vulnerabilità utilizzando il campo extensions.vuln.
  • metadata: event_timestamp
  • observer: acquisisci le informazioni sullo scanner stesso. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo dell'osservatore. Per uno scanner locale, lascia vuoto il campo.
  • target: acquisisci informazioni sulla macchina che contiene l'oggetto scansionato. Se un file è in corso di scansione, target.file deve acquisire le informazioni sul file scansionato. Se un processo è in fase di scansione, target.process deve acquisire informazioni sul processo scansionato.

Campi facoltativi:

  • target: i dettagli relativi all'oggetto target (ad esempio, l'autore del file o il proprietario del processo) devono essere acquisiti in target.user.
  • security_result: descrivi l'attività dannosa rilevata.
Esempio UDM per SCAN_HOST

L'esempio seguente illustra come verrebbe formattato un evento di tipo SCAN_HOST per l'UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200".200
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • target: dispositivo che ha ricevuto il software dannoso.
  • osservatore: dispositivo che osserva e registra l'evento in questione.
  • security_result: dettagli di sicurezza sul software dannoso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED.

Campi obbligatori:

  • principal: per tutti gli eventi SCHEDULED_TASK, l'entità deve includere un identificatore della macchina e un identificatore utente.
  • target: il target deve includere una risorsa valida e un tipo di risorsa definito come "TASK".

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION

L'esempio seguente illustra come un evento di tipo SCHEDULED_TASK_CREATION potrebbe essere formattato per Chronicle UDM:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dispositivo che ha pianificato l'attività sospetta.
  • target: software scelto come target dall'attività sospetta.
  • intermediario: intermediario coinvolto nell'attività sospetta.
  • security_result: dettagli di sicurezza sull'attività sospetta.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campi obbligatori:

  • principal: deve essere presente, non vuoto e includere un identificatore della macchina.
  • target: deve essere presente, non vuoto e includere una risorsa con il tipo specificato come SETTING
Esempio UDM per tipo di evento SETTING_MODIFICATION

L'esempio seguente illustra come un evento di tipo SETTING_MODIFICATION verrà formattato per Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: informazioni sul dispositivo su cui è stata apportata la modifica dell'impostazione.
  • target: dettagli della risorsa.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campi obbligatori:

  • target: includi l'identificatore utente e specifica il processo o l'applicazione.
  • principal: includi almeno un identificatore della macchina (IP o MAC ADDRESS, un nome host o un identificatore della risorsa).
Esempio di UDM per SERVICE_UNSPECIFIED

L'esempio seguente illustra come un evento di tipo SERVICE_UNSPECIFIED verrà formattato per l'UDM Chronicle:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli relativi a dispositivo e posizione.
  • target: nome host e identificatore utente.
  • applicazione: nome applicazione e tipo di risorsa.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: almeno un identificatore di macchina (IP o MAC ADDRESS, un nome host o un identificatore di asset).
Esempio di UDM per STATUS_HEARTBEAT

L'esempio seguente illustra come verrà formattato un evento di tipo STATUS_HEARTBEAT per l'UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli relativi a dispositivo e posizione.
  • intermediario: indirizzo IP del dispositivo.
  • security_result: dettagli dei risultati di sicurezza.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campi obbligatori:

  • principal: include un identificatore utente per l'utente che ha eseguito l'operazione nel log e un identificatore di macchina per il computer in cui è o è stato archiviato (in caso di cancellazione).
Esempio di UDM per SYSTEM_AUDIT_LOG_WIPE

L'esempio seguente illustra come verrà formattato un evento di tipo SYSTEM_AUDIT_LOG_WIPE per l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dati relativi a dispositivo e utente.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: se l'account utente è stato modificato da una posizione remota, compila l'entità con le informazioni sul computer da cui ha avuto origine la modifica dell'utente.
  • target: completa il campo target.user con le informazioni relative all'utente che è stato modificato.
  • intermediario: per l'accesso SSO, l'intermediario deve includere almeno un identificatore della macchina per il server SSO, se disponibile.

USER_COMMUNICATION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati alla comunicazione avviata dall'utente (mittente), ad esempio un messaggio di chat in Google Chat o Slack, una videoconferenza o una voce in Zoom o Google Meet o una connessione VoIP.

Campi facoltativi:

  • target: (consigliato) compila il campo target.user con le informazioni sull'utente target (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con le informazioni sull'applicazione di comunicazione cloud di destinazione.

USER_CREATION, USER_DELETION

Campi obbligatori:

  • metadata: event_timestamp
  • principal: includi informazioni sul computer da cui ha avuto origine la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, l'elemento principal deve includere almeno un identificatore della macchina per la macchina di origine.
  • target: posizione in cui viene creata l'utente. Deve includere anche le informazioni sull'utente, ad esempio target.user.

Campi facoltativi:

  • principal: dettagli sull'utente e sul processo per il computer in cui è stata avviata la creazione o l'eliminazione dell'utente.
  • target: informazioni sulla macchina target (se diversa dalla macchina principale).

USER_LOGIN, USER_LOGOUT

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: per l'attività utente remota (ad esempio, l'accesso remoto), compila l'entità con le informazioni sul computer che ha generato l'attività utente. Per l'attività utente locale (ad esempio l'accesso locale), non impostare l'entità.
  • target: compila il campo target.user con le informazioni sull'utente che ha eseguito l'accesso o ha eseguito la disconnessione. Se l'entità non è impostata (ad esempio, l'accesso locale), la destinazione deve includere anche almeno un identificatore della macchina che identifichi la macchina di destinazione. Per l'attività utente da computer a macchina (ad esempio accesso remoto, SSO, servizio cloud, VPN), la destinazione deve includere informazioni sull'applicazione target, sulla macchina di destinazione o sul server VPN di destinazione.
  • intermediario: per l'accesso SSO, l'intermediario deve includere almeno un identificatore della macchina per il server SSO, se disponibile.
  • network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti i dettagli disponibili in network.ip_protocol, network.application_protocol e network.http.
  • Estensione autenticazione: deve identificare il tipo di sistema di autenticazione correlato all'evento (ad esempio macchina, SSO o VPN) e il meccanismo utilizzato (nome utente e password, OTP e così via).
  • security_result: aggiungi un campo security_result per rappresentare lo stato di accesso se l'operazione non riesce. Specifica security_result.category con il valore AUTH_VIOLATION se l'autenticazione non riesce.

ACCESSO_UTENTE_RESOURCE_

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli sui tentativi di accesso a una risorsa cloud (ad esempio una richiesta di assistenza di Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente creato all'interno di una risorsa cloud (ad esempio una richiesta di Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_CONTENT

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente i cui contenuti sono stati aggiornati all'interno di una risorsa cloud (ad esempio una richiesta di assistenza di Salesforce, un calendario Office365, un documento Google o ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_PERMISSIONS

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud (ad esempio, una richiesta Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_UNCATEGORIZED

Campi obbligatori:

  • metadata: event_timestamp
  • principal: includi informazioni sul computer da cui ha avuto origine la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, l'elemento principal deve includere almeno un identificatore della macchina per la macchina di origine.
  • target: posizione in cui viene creata l'utente. Deve includere anche le informazioni sull'utente, ad esempio target.user.

Campi facoltativi:

  • principal: dettagli sull'utente e sul processo per il computer in cui è stata avviata la creazione o l'eliminazione dell'utente.
  • target: informazioni sulla macchina target (se diversa dalla macchina principale).