Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Guida all'utilizzo del modello dati unificato

Questo documento fornisce una descrizione più dettagliata dei campi nello schema Unified Data Model (UDM) e di quelli obbligatori rispetto a facoltativi, a seconda del tipo di evento. Per la valutazione del motore delle regole, il prefisso inizia udm., mentre il prefisso normalizzatore basato sulla configurazione (CBN) inizia event.idm.read_only_udm.

Completamento dei metadati dell'evento

La sezione dei metadati degli eventi per gli eventi UDM archivia le informazioni generali su ciascun evento.

Metadata.event_type

  • Scopo:specifica il tipo di evento; se un evento ha più tipi possibili, questo valore deve specificare il tipo più specifico.
  • Obbligatorio:
  • Codifica: deve essere uno dei tipi predefiniti di tipo event_type UDM.
  • Valori possibili: di seguito sono elencati tutti i possibili valori per event_type all'interno dell'UDM.

Eventi email:

  • TRANSAZIONE_EMAIL
  • EMAIL_UNCATEGORIZED

Eventi dei file eseguiti su un endpoint:

  • FILE_UNCATEGORIZED
  • CREAZIONE_FILE
  • FILE_DELETION
  • MODIFICA_FILE
  • FILE_READ (ad esempio, lettura di un file password)
  • FILE_COPY (ad esempio, copiando un file su una chiavetta)
  • FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)

Eventi che non rientrano in nessun'altra categoria, inclusi gli eventi Windows non classificati.

  • EVENTO_GENERICO

Eventi con disattivazione audio (oggetto di mutua esclusione):

  • MUTEX_UNCATEGORIZED
  • CREAZIONE_MUTEX

Telemetria di rete, inclusi i payload dei protocolli non elaborati, come DHCP e DNS, nonché i riepiloghi dei protocolli per protocolli come HTTP, SMTP e FTP, nonché gli eventi di flusso e di connessione di Netflow e dei firewall.

  • RETE_UNCATEGORIZE
  • NETWORK_FLOW (ad esempio, statistiche del flusso aggregato di Netflow)
  • NETWORK_CONNECTION (ad esempio, dettagli della connessione di rete da un firewall)
  • NETWORK_FTP
  • DHCP_RETE
  • DNS_RETE
  • NETWORK_HTTP
  • NETWORK_SMTP

Eventuali eventi relativi a un processo, ad esempio l'avvio di un processo, la creazione di qualcosa di dannoso, un processo che inserisce un altro processo, una modifica di una chiave di registro, la creazione di un file dannoso su disco e così via.

  • INIZIO_PROCEDURA
  • LANCIO DEL PROCEDURA
  • MODULO_MODULO_PROCEDURA
  • Processo_APERTO
  • Elaborazione_PRIVILEGE_ESCALAZIONE
  • TERMINAZIONE_PROCEDURA
  • PROCEDURA_NON CATEGORizzata

Utilizza gli eventi REGISTRY anziché gli SETTING durante la gestione di eventi del Registro di sistema specifici di Microsoft Windows:

  • REGISTRATI_NON CATEGORATI
  • REGISTRAZIONE_CREAZIONE
  • REGISTRAZIONE_MODIFICA
  • REGISTRAZIONE_DELEZIONE

Eventi orientati alla scansione. Include scansioni on demand e rilevamenti comportamentali eseguiti da prodotti di sicurezza degli endpoint (EDR, AV, DLP). Utilizzato solo quando si collega un SecurityResult a un altro tipo di evento (ad esempio PROCESS_LAUNCH).

  • SCAN_UNCATEGORATI
  • SCAN_FILE
  • SCAN_Host
  • SCANSIONE_PROCEDURA
  • CANNOT TRANSLATE
  • RETE_CANALE_VULN

Eventi delle attività pianificate (programma di pianificazione delle attività di Windows, cron e così via):

  • SCHEDULED_TASK_UNCATEGORIZED
  • CREAZIONE_TASK_PROGRAMMATA
  • DEBITA_TASK_PROGRAMMATA
  • PROGRAMMA_TASK_ENABLE
  • PROGRAMMA_TASK_DISABLE
  • PROGRAMMA_TASK_MODIFICATION

Eventi del servizio:

  • SERVIZIO_NON SPECIFICATO
  • CREAZIONE DI SERVIZI
  • DELEZIONE DI SERVIZIO
  • AVVIO_SERVIZIO
  • SERVIZIO_STOP

Impostazione degli eventi, inclusa la modifica di un'impostazione di sistema su un endpoint. Per impostare i requisiti degli eventi, fai clic qui.

  • IMPOSTAZIONE_NON_CATEGORizzata
  • IMPOSTAZIONE_CREAZIONE
  • IMPOSTAZIONE_MODIFICA
  • IMPOSTAZIONE_DELEZIONE

Messaggi di stato dei prodotti di sicurezza che indicano che gli agenti sono attivi e che inviano versione, impronta o altri tipi di dati

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica che il prodotto è attivo)
  • AVVIO_DI_STATO
  • STATO_SOFFITTO
  • STATUS_UPDATE (aggiornamento software o impronta)

Eventi del log di controllo di sistema:

  • SISTEMA_AUDIT_LOG_UNCATEGORIZZATO
  • CANCELLA_LOGICHE_SISTEMA_AUDIT

Eventi attività autenticazione utente:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (ad esempio, quando un utente accede fisicamente a un sito)
  • PASSWORD_MODIFICA_UTENTE
  • AUTORIZZAZIONI_MODIFICA_UTENTE
  • COMUNICAZIONE_UTENTE
  • CREAZIONE_UTENTE
  • ELEZIONE UTENTE
  • ACCESSO_UTENTE
  • LOG_UTENTE
  • ACCESSO_risorsa_utente
  • CREAZIONE_RISORSA_UTENTE
  • DELEZIONE_UTENTE_RISORSA
  • USER_RESOURCE_UPDATE_CONTENT
  • AUTORIZZAZIONI_AGGIORNAMENTO_RISORSE_UTENTE

Metadati.collected_timestamp

  • Finalità:codifica il timestamp GMT quando l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
  • Codifica: RFC 3339, a seconda del formato JSON o Proto3 del timestamp.
  • Esempio:
    • RFC 3339: "2019-09-10T20:32:31-08:00"
    • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadati.evento_metadati

  • Finalità:codifica il timestamp GMT in cui è stato generato l'evento.
  • Obbligatorio:
  • Codifica: RFC 3339, a seconda del formato JSON o Proto3 del timestamp.
  • Esempio:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 23-04-2012 T18:25:43.511Z

Descrizione.metadati

  • Scopo:descrizione dell'evento leggibile da parte dell'utente.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 1024 byte
  • Esempio:al file c:\bar\foo.exe è stato impedito l'accesso al documento sensibile c:\documents\earnings.docx.

Metadata.product_event_type

  • Scopo:nome o tipo di evento breve, descrittivo, leggibile e specifico per il prodotto.
  • Codifica: stringa alfanumerica, punteggiatura consentita, massimo 64 byte.
  • Esempi:
    • Evento di creazione del registro
    • Roll-up di processo
    • Riassegnazione dei privilegi rilevata
    • Malware bloccato

Metadata.product_log_id

  • Scopo: codifica un identificatore evento specifico del fornitore per identificare in modo univoco l'evento (GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console proprietaria del fornitore.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempio: ABcd1234-98766

Metadata.product_name

  • Finalità: specifica il nome del prodotto.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • Falco
    • Protezione degli endpoint Symantec

Metadati.versione_prodotto

  • Finalità: specifica la versione del prodotto.
  • Codifica: stringa alfanumerica, punti e trattini consentiti, massimo 32 byte
  • Esempi:
    • 1,2,3 miliardi
    • 10.3:rev1

Metadati.url_back_to_product

  • Finalità:l'URL di un sito web pertinente in cui puoi visualizzare ulteriori informazioni su questo evento specifico (o sulla categoria dell'evento generale).
  • Codifica: URL RFC 3986 valido con parametri facoltativi come informazioni di porta e così via. Deve avere un prefisso di protocollo prima dell'URL (ad esempio, https:// o http://).
  • Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345

Nome.fornitore_metadati

  • Finalità: specifica il nome del fornitore del prodotto.
  • Codifica: stringa con caratteri alfanumerici, senza distinzione tra maiuscole e minuscole, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • CrowdStrike
    • Symantec

Popolazione di metadati Nome

In questa sezione, la parola Noun è un termine generale utilizzato per rappresentare le entità; principal, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per saperne di più sulle entità e su cosa rappresentano ciascuna in un evento, vedi Formattare i dati di log come UDM.

ID_nome_asset

  • Finalità: identificatore del dispositivo specifico del fornitore (ad esempio, un GUID generato durante l'installazione del software di sicurezza degli endpoint su un nuovo dispositivo utilizzato per monitorare tale dispositivo univoco nel tempo).
  • Codifica: ProviderName.=\"_:ID in cui VendorName non distingue tra maiuscole e minuscole* *il nome del fornitore come "Carbon Black" e Nome non fa distinzione tra maiuscole e minuscole, ad esempio "Risposta" o "Protezione endpoint" e l'ID è un identificatore del cliente specifico per il fornitore, che è univoco a livello globale all'interno dell'ambiente del cliente (ad esempio, GUID o valore univoco che identifica un dispositivo univoco). ProviderName e FirstName sono caratteri alfanumerici e non possono contenere più di 32 caratteri. L'ID può contenere massimo 128 caratteri e può includere caratteri alfanumerici, trattini e punti.
  • Esempio: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Nome.email

  • Finalità: indirizzo email
  • Codifica: formato dell'indirizzo email standard.
  • Esempio: mario@test.altostrat.com

File.nome.

Nomehost

  • Finalità: campo Nome host o nome di dominio del client. Non includere se è presente un URL.
  • Codifica: nome host RFC 1123 valido.
  • Esempi:
    • utente10
    • www.altostrat.com

PiattaformaNoun

  • Finalità: sistema operativo della piattaforma.
  • Codifica: enum
  • Valori possibili:
    • LINUX
    • MAC
    • FINESTRE
    • PIATTAFORMA_SCONOSCIUTA

Noun.platform_patch_level

  • Finalità: livello patch del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Build 17134.48

Versione.Noun.platform_version

  • Finalità: versione del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Microsoft Windows 10 versione 1803

Procedura.

Nome.ip

  • Finalità:
    • Un singolo indirizzo IP associato a una connessione di rete.
    • Uno o più indirizzi IP associati a un dispositivo partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificare tutti questi valori nei campi IP).
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.
  • Ripetibilità:
    • Se un evento descrive una connessione di rete specifica (ad esempio srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
    • Se un evento descrive l'attività generale che si verifica su un dispositivo partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati per il dispositivo al momento dell'evento.
  • Esempi:
    • 192.168.1.2
    • 2001:db8:1:3::1

Nome.porta

  • Scopo:numero della porta di rete di origine o di destinazione quando viene descritta una connessione di rete specifica all'interno di un evento.
  • Codifica: numero di porta TCP/IP valido da 1 a 65.535.

  • Esempi:

    • 80
    • 443

Noun.mac

  • Finalità: uno o più indirizzi MAC associati a un dispositivo.
  • Codifica: indirizzo MAC valido (EUI-48) in ASCII.
  • Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati per il dispositivo al momento dell'evento.
  • Esempi:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Dominio_amministratore_nome.

  • Finalità: il dominio a cui appartiene il dispositivo (ad esempio, il dominio Windows).
  • Codifica: stringa del nome di dominio valida (massimo 128 caratteri).
  • Esempio: corp.altostrat.com

Nome.Registry

Nome.URL

  • Finalità: URL standard
  • Codifica: URL (RFC 3986). Deve avere un prefisso di protocollo valido, ad esempio https:// o ftp://. Deve includere il dominio e il percorso completi. Potrebbe includere i parametri dell'URL.
  • Esempio: https://foo.altostrat.com/bletch?a=b;c=d

UtenteNoun.

Completamento dei metadati di autenticazione

Authentication.AuthType

  • Scopo:tipo di sistema a cui è associato un evento di autenticazione (Chronicle UDM).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE - Autenticazione macchina
    • Fisico: autenticazione fisica (ad esempio, un lettore di badge)
    • SSO
    • TACACS: protocollo della famiglia TACACS per l'autenticazione dei sistemi di rete (ad esempio, TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status

  • Finalità:descrive lo stato di autenticazione di un utente o di una specifica credenziale.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_AUTHENTICATION_STATUS - Stato di autenticazione predefinito
    • ATTIVO: il metodo di autenticazione è in stato attivo
    • SOSPESO: il metodo di autenticazione è in stato sospeso o disattivato
    • ELIMINATO: il metodo di autenticazione è stato eliminato
    • NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non ha credenziali attive.

Authentication.auth_details

  • Scopo:dettagli dell'autenticazione definiti dal fornitore.
  • Codifica: stringa.

Meccanismo di autenticazione

  • Scopo:meccanismi utilizzati per l'autenticazione.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
    • LETTURA_BADGE
    • BATCH: autenticazione batch.
    • CACHED_INTERACTIVE: autenticazione interattiva utilizzando le credenziali memorizzate nella cache.
    • CHIAVE_HARDWARE
    • LOCALI
    • MECHANISM_OTHER: qualche altro meccanismo non definito qui.
    • NETWORK: autenticazione di rete.
    • NETWORK_CLEAR_TEXT: autenticazione di testo in chiaro della rete.
    • NEW_CREDENTIALS: autenticazione con nuove credenziali.
    • OTP
    • REMOTE: autenticazione remota
    • REMOTE_INTERACTIVE: RDP, servizi terminal, Virtual Network Computing (VNC) ecc.
    • SERVICE—Autenticazione del servizio.
    • SBLOCCA - Autenticazione diretta dello sblocco interattivo.
    • PASSWORD_NOMEUTENTE

Completamento dei metadati DHCP

I campi di metadati DHCP (Dynamic Host Control Protocol) acquisiscono informazioni sui log relativi al protocollo di gestione della rete DHCP.

Nome host Dhcp.client

  • Finalità: il nome host del cliente. Per ulteriori informazioni, consulta la specifica RFC 2132, Opzioni DHCP ed estensioni fornitore BOOTP.
  • Codifica: stringa.

Identificazione cliente Dhcp.

  • Finalità: identificatore del cliente. Per ulteriori informazioni, consulta la specifica RFC 2132, Opzioni DHCP ed estensioni fornitore BOOTP.
  • Codifica: byte.

File Dhcp

  • Finalità: nome del file immagine di avvio.
  • Codifica: stringa.

Flag Dhcp

  • Finalità: valore per il campo dei flag DHCP.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.hlen

  • Finalità: lunghezza dell'indirizzo dell'hardware.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.hop

  • Finalità: conteggio dell'hop DHCP.
  • Codifica: numero intero non firmato a 32 bit.

Tipo Dhcp.htype

  • Finalità: tipo di indirizzo hardware.
  • Codifica: numero intero non firmato a 32 bit.

Dhcp.lease_time_seconds

  • Finalità: tempo di lease richiesto dal client per un indirizzo IP in secondi. Per ulteriori informazioni, consulta la specifica RFC 2132, Opzioni DHCP ed estensioni fornitore BOOTP.
  • Codifica: numero intero non firmato a 32 bit.

Codice Dhcp

  • Finalità: codice operativo BOOTP (vedi la sezione 3 di RFC 951).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • CODICE_OPZIONALESCONOSCIUTO
    • BOOTREQUEST
    • BOOTRispondi

Dhcp.requested_address

  • Finalità: identificatore del cliente. Per ulteriori informazioni, consulta la specifica RFC 2132, Opzioni DHCP ed estensioni fornitore BOOTP.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.secondi

  • Scopo: secondi trascorsi da quando il cliente ha iniziato il processo di acquisizione/rinnovo dell'indirizzo.
  • Codifica: numero intero non firmato a 32 bit.

Nome Dhcp.s

  • Finalità: nome del server da cui il client ha richiesto l'avvio.
  • Codifica: stringa.

Dhcp.transaction_id

  • Finalità: ID transazione del cliente.
  • Codifica: numero intero non firmato a 32 bit.

Tipo Dhcp

  • Finalità: tipo di messaggio DHCP. Per ulteriori informazioni, consulta la pagina RFC 1533.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • TIPO_MESSAGGIO_SCONOSCIUTO
    • DISCOVER
    • OFFER
    • RICHIEDI
    • RIFIUTO
    • ACK
    • NAK
    • RILASCIA
    • INFORMA
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr

  • Finalità: indirizzo IP dell'hardware del client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.ciaddr

  • Finalità: l'indirizzo IP del client.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.giaddr

  • Finalità: indirizzo IP dell'agente di inoltro.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.siaddr

  • Finalità: indirizzo IP del prossimo server di bootstrap.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Dhcp.yiaddr

  • Finalità: il tuo indirizzo IP.
  • Codifica: indirizzo IPv4 o IPv6 valido (RFC 5942) codificato in ASCII.

Completamento dei metadati di opzione DHCP

I campi di metadati di opzione DHCP acquisiscono le informazioni di log dell'opzione DHCP.

Opzione.code

  • Finalità: memorizza il codice dell'opzione DHCP. Per ulteriori informazioni, consulta la specifica RFC 1533, Opzioni DHCP ed estensioni fornitore BOOTP.
  • Codifica: numero intero a 32 bit non firmato.

Opzione.dati

  • Finalità: memorizza i dati dell'opzione DHCP. Per ulteriori informazioni, consulta la specifica RFC 1533, Opzioni DHCP ed estensioni fornitore BOOTP.
  • Codifica: byte.

Completamento dei metadati DNS

I campi di metadati DNS acquisiscono informazioni relative ai pacchetti di richiesta e risposta DNS. Hanno una corrispondenza one-to-one con i dati trovati nei datagrammi delle richieste e delle risposte DNS.

Dns.authoritative

  • Finalità: impostala su true per i server DNS autorevoli.
  • Codifica: booleano.

ID DNS

  • Finalità: memorizza l'identificatore della query DNS.
  • Codifica: numero intero a 32 bit.

Risposta Dns.

  • Finalità:imposta il valore true se l'evento è una risposta DNS.
  • Codifica: booleano.

Codice Dns.op

  • Finalità: archivia l'OpCode DNS utilizzato per specificare il tipo di query DNS (standard, inverso, stato del server e così via).
  • Codifica: numero intero a 32 bit.

DNS_recursion_available

  • Finalità: imposta su "true" se è disponibile una ricerca DNS ricorsiva.
  • Codifica: booleano.

Dns.recursion_desiderata

  • Finalità: imposta su "true" se è richiesta una ricerca DNS ricorsiva.
  • Codifica: booleano.

Codice_Risposta_Dns

  • Finalità: memorizza il codice di risposta DNS come definito da RFC 1035, Domain Names - Implementation and Specification.
  • Codifica: numero intero a 32 bit.

Dns.troncata

  • Finalità: imposta su "true" se questa è una risposta DNS troncata.
  • Codifica: booleano.

Domande su Dns.

Dns.risposte

Autorità-Dns.

Dns.aggiuntivo

Completamento dei metadati della domanda DNS

I campi di metadati delle domande DNS acquisiscono le informazioni contenute nella sezione della domanda di un messaggio di protocollo del dominio.

Question.name

  • Finalità: memorizza il nome di dominio.
  • Codifica: stringa.

Question.class

  • Finale: memorizza il codice che specifica la classe della query.
  • Codifica: numero intero a 32 bit.

Tipo di domanda

  • Finale: memorizza il codice che specifica il tipo della query.
  • Codifica: numero intero a 32 bit.

Completamento dei metadati del record di risorse DNS

I campi di metadati del record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio di protocollo di dominio.

ResourceRecord.binary_data

  • Finalità: archivia i byte non elaborati di qualsiasi stringa non UTF8 che potrebbe essere inclusa in una risposta DNS. Questo campo deve essere utilizzato solo se i dati di risposta restituiti dal server DNS contengono dati non UTF8. In caso contrario, inserisci la risposta DNS nel campo dati di seguito. Questo tipo di informazioni deve essere archiviato qui anziché in ResourceRecord.data.

  • Codifica: byte.

ResourceRecord.class

  • Finale: archivia il codice che specifica la classe del record di risorse.
  • Codifica: numero intero a 32 bit.

ResourceRecord.data

  • Finalità: memorizza il payload o la risposta alla domanda DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dei dati potrebbe restituire l'indirizzo IP del computer a cui fa riferimento il nome di dominio. Se il record di risorse è per un tipo o una classe diversi, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati esattamente come nella risposta DNS.
  • Codifica: stringa.

ResourceRecord.name

  • Finalità: archivia il nome del proprietario del record di risorse.
  • Codifica: stringa.

ResourceRecord.ttl

  • Finalità: archivia l'intervallo di tempo durante il quale è possibile memorizzare nella cache il record di risorse prima di eseguire nuovamente la query sull'origine delle informazioni.
  • Codifica: numero intero a 32 bit.

ResourceRecord.type

  • Finalità: archivia il codice che specifica il tipo del record di risorse.
  • Codifica: numero intero a 32 bit.

Completamento dei metadati delle email

La maggior parte dei campi dei metadati delle email mostra gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato standard degli indirizzi email (local-mailbox@domain) definito in RFC 5322. Ad esempio, francesco@email.example.com.

Email.da

  • Finalità: memorizza l'indirizzo email from.
  • Codifica: stringa.

Email.risposta_a

  • Finalità: memorizza l'indirizzo email reply_to.
  • Codifica: stringa.

Email.

  • Finalità: memorizza gli indirizzi email to.
  • Codifica: stringa.

Email.Cc

  • Finalità: memorizza gli indirizzi email Cc.
  • Codifica: stringa.

Ccn email

  • Finalità: memorizza gli indirizzi email nel campo Ccn.
  • Codifica: stringa.

ID email.mail

  • Finale: memorizza l'ID della posta (o del messaggio).
  • Codifica: stringa.
  • Esempio: 192544.132632@email.example.com

Oggetto email

  • Finalità: memorizza la riga dell'oggetto dell'email.
  • Codifica: stringa.
  • Esempio: "Leggi questo messaggio."

Completamento dei metadati delle estensioni

Tipi di eventi con metadati di prima classe non ancora classificati da Chronicle UDM. Extensions.auth

  • Finalità:l'estensione dei metadati di autenticazione.
  • Codifica: stringa.
  • Esempi:
    • Metadati sandbox (tutti i comportamenti mostrati da un file, ad esempio FireEye).
    • Dati NAC (Network Access Control).
    • Dettagli LDAP di un utente (ad esempio, un ruolo, un'organizzazione e così via).

Extensions.auth.auth_details

  • Finalità:specifica i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I provider di autenticazione spesso definiscono tipi come via_mfa, via_ad e così via che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono comunque essere generalizzati in auth.type o auth.mechanism per la compatibilità e per la regola su più set di dati.
  • Codifica: stringa.
  • Esempi: via_mfa, via_ad.

Extensions.vulns

  • Finalità: estensione ai metadati delle vulnerabilità.
  • Codifica: stringa.
  • Esempio:
    • Ospitare dati di analisi delle vulnerabilità.

Completamento dei metadati dei file

Metadati file.file

  • Finalità:i metadati associati al file.
  • Codifica: stringa.
  • Esempi:
    • Autore
    • Numero di revisione
    • Numero di versione
    • Data ultimo salvataggio

File_full_path

  • Finalità:percorso completo che identifica la posizione del file nel sistema.
  • Codifica: stringa.
  • Esempio: \Programmi\Custom Utilities\Test.exe

File.md5

  • Finalità: valore hash MD5 per il file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c

Tipo.file_mime

  • Finalità:il tipo MIME (Multipurpose Internet Mail Extensions) per il file.
  • Codifica: stringa.
  • Esempi:
    • PE
    • PDF
    • script powershell

File.sha1

  • Finalità: valore hash SHA-1 per il file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Finalità: valore hash SHA-256 del file.
  • Codifica: stringa, esadecimale minuscolo.
  • Esempio:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

Dimensioni file

  • Finalità:la dimensione del file.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 342135.

Completamento dei metadati FTP

Comando fpp

  • Finalità: memorizza il comando FTP.
  • Codifica: stringa.
  • Esempi:
    • programma binario
    • elimina
    • get
    • put

Completamento dei metadati del gruppo

Informazioni su un gruppo organizzativo.

Ora_gruppo.creation

  • Scopo: tempo di creazione del gruppo.
  • Codifica: RFC 3339, a seconda del formato JSON o Proto3 del timestamp.

Indirizzi.email_gruppo

  • Finalità: raggruppa i dati di contatto.
  • Codifica: email.

Nome.gruppo_display_gruppo

  • Finalità: nome visualizzato del gruppo.
  • Codifica: stringa.
  • Esempi:
    • Finanza
    • RU
    • Marketing

Group.product_object_id

  • Finalità: identificatore di oggetto univoco globale per il prodotto, ad esempio un identificatore di oggetto LDAP.
  • Codifica: stringa.

Group_windows_sid

  • Scopo:campo dell'attributo di gruppo Microsoft Windows Security Identifier (SID).
  • Codifica: stringa.

Completamento dei metadati HTTP

Http.method

  • Finalità: memorizza il metodo di richiesta HTTP.
  • Codifica: stringa.
  • Esempi:
    • GET
    • HEAD
    • POST

URL_referral_HTTP

  • Finalità: memorizza l'URL per il referer HTTP.
  • Codifica: URL RFC 3986 valido.
  • Esempio: https://www.altostrat.com

Codice_HTTP_risposta

  • Finalità: memorizza il codice di stato della risposta HTTP, che indica se una specifica richiesta HTTP è stata completata correttamente.
  • Codifica: numero intero a 32 bit.
  • Esempi:
    • 400
    • 404

Http.useragent

  • Finalità: memorizza l'intestazione della richiesta User-Agent che include il tipo di applicazione, il sistema operativo, il fornitore del software o la versione del software dello user agent software richiedente.
  • Codifica: stringa.
  • Esempi:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, come Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Completamento dei metadati della località

Località

  • Finalità: memorizza il nome della città.
  • Codifica: stringa.
  • Esempi:
    • Soleggiato
    • Chicago
    • Malaga

Località.paese_o_regione

  • Finalità: memorizza il nome del paese o dell'area geografica del mondo.
  • Codifica: stringa.
  • Esempi:
    • Stati Uniti
    • Regno Unito
    • Spagna

Nome.località

  • Finalità: archivia il nome specifico dell'azienda, ad esempio un edificio o un campus.
  • Codifica: stringa.
  • Esempi:
    • Campus 7B
    • Edificio A2

Località.stato

  • Finalità: archivia il nome dello stato, della provincia o del territorio.
  • Codifica: stringa.
  • Esempi:
    • California
    • Illinois
    • Ontario

Completamento dei metadati di rete

Protocollo_applicazione_rete

  • Finalità: indica il protocollo dell'applicazione di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • PROTEZIONE_APPLICAZIONE_SCONOSCIUTA
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Direzione di rete

  • Finalità: indica la direzione del traffico di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • DIREZIONE_SCONOSCIUTA
    • IN ENTRATA
    • IN USCITA
    • TRASMISSIONE

Rete.email

  • Finalità:specifica l'indirizzo email del mittente/destinatario.
  • Codifica: stringa.
  • Esempio: jcheng@company.example.com

Protocollo_rete_ip

  • Finalità: indica il protocollo IP.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • PROTOCOLLO_IP_SCONOSCIUTO
    • EIGRP - Protocollo di routing avanzato del gateway interno
    • ESP - Caricamento payload di sicurezza
    • EtherIP: incapsulamento Ethernet all'interno dell'IP
    • GRE - Incapsulamento generico dei percorsi
    • ICMP - Internet Control Message Protocol
    • IGMP - Protocollo di gestione dei gruppi Internet
    • IP6IN4: incapsulamento IPv6
    • PIM: multicast indipendente dal protocollo
    • TCP: protocollo di controllo della trasmissione
    • UDP: protocollo Datagram User
    • VRRP: protocollo di ridondanza del router virtuale

Network.Receivedd_bytes

  • Finalità: specifica il numero di byte ricevuti.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 12.453.654.768

Network.sent_byte

  • Finalità: specifica il numero di byte inviati.
  • Codifica: numero intero senza segno a 64 bit.
  • Esempio: 7.654.876

Durata.sessione.rete

  • Scopo: memorizza la durata della sessione di rete, generalmente restituita in un evento di calo della sessione. Per impostare la durata, puoi impostare network.session_duration.seconds = 1, (type int64) o network.session_duration.nanos = 1 (type int32).
  • Codifica:
    • Numero intero a 32 bit: per secondi (network.session_duration.seconds).
    • Numero intero a 64 bit: per nanosecondi (network.session_duration.nanos).

ID sessione.rete

  • Finalità: memorizza l'identificatore di sessione di rete.
  • Codifica: stringa.
  • Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Completamento dei metadati del processo

Riga_processo.com

  • Finalità: archivia la stringa della riga di comando per il processo.
  • Codifica: stringa.
  • Esempio: c:\windows\system32\net.exe group

Process.product_specific_process_id

  • Finalità: memorizza l'ID processo specifico del prodotto.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

Process.parent_process.product_specific_process_id (ID processo

  • Finalità: memorizza l'ID processo specifico del prodotto per il processo principale.
  • Codifica: stringa.
  • Esempi: MySQL:78778 o CS:90512

File di processo

  • Finalità: archivia il nome del file utilizzato dal processo.
  • Codifica: stringa.
  • Esempio: report.xls

Process.parent_process

  • Finalità: archivia i dettagli del processo padre.
  • Codifica: nome (processo)

Process.pid

  • Finalità: memorizza l'ID processo.
  • Codifica: stringa.
  • Esempi:
    • 308
    • 2002

Completamento dei metadati del Registro di sistema

Chiave registry.registry

  • Finalità: archivia la chiave del Registro di sistema associata a un'applicazione o a un componente di sistema.
  • Codifica: stringa.
  • Esempio: HKEY_LOCAL_MACHINE/System/DriverDatabase

Registry.registry_value_name

  • Finalità: archivia il nome del valore del Registro di sistema associato a un'applicazione o a un componente del sistema.
  • Codifica: stringa.
  • Esempio: TEMP

Registry.registry_value_data

  • Finalità: archivia i dati associati a un valore del Registro di sistema.
  • Codifica: stringa.
  • Esempio: %USERPROFILE%\Impostazioni locali\Temp

Completamento dei metadati dei risultati di sicurezza

I metadati relativi ai risultati di sicurezza includono dettagli sui rischi e sulle minacce rilevati da un sistema di sicurezza, nonché le azioni intraprese per mitigare tali rischi e minacce.

Risultato.sicurezza

  • Scopo:fornisci una descrizione del risultato sulla sicurezza.
  • Codifica: nome.

Sicurezza dei risultati

  • Scopo:specifica un'azione di sicurezza.
  • Codifica: tipo enumerato.
  • Valori possibili: Chronicle UDM definisce le seguenti azioni di sicurezza:
    • CONSENTI
    • ALLOW_WITH_MODIFICATION: il file o l'indirizzo email sono stati disinfettati o riscritti e continuano a essere inoltrati.
    • BLOCCA
    • QUARANTINA: memorizza per analisi successive (non significa blocco).
    • AZIONE_SCONOSCIUTA

Dettagli_Risultato_Azioni.Sicurezza

  • Scopo:dettagli forniti dal fornitore relativi all'azione intrapresa a seguito dell'incidente di sicurezza. Le azioni di sicurezza spesso si traducono nel campo UDM Security_Result.action più generale. Tuttavia, potrebbe essere necessario scrivere regole per la descrizione esatta fornita dal fornitore dell'azione.
  • Codifica: stringa.
  • Esempi: rilascio, blocco, decriptazione, crittografia.

Risultatodi sicurezza.categoria

  • Scopo:specifica una categoria di sicurezza.
  • Codifica: enum.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di sicurezza:
    • ACL_VIOLATION: tentativo di accesso non autorizzato, incluso il tentativo di accesso a file, servizi web, processi, oggetti web e così via
    • AUTH_VIOLATION: autenticazione non riuscita, ad esempio una password errata o l'autenticazione a 2 fattori non valida.
    • DATA_AT_REST - DLP: dati dei sensori inattivi in un'analisi.
    • DATA_DESTRUCTION: tentativo di eliminazione/eliminazione dei dati.
    • DATA_EXFILTRATION - DLP: trasmissione dati del sensore, copia su chiavetta USB.
    • ESPLITA: tentativi di overflow, codifiche del protocollo non valide, ROP, iniezione SQL e così via, sia di rete che dell'host.
    • MAIL_PHISHING: email di phishing, messaggi di chat ecc.
    • MAIL_SPAM: email di spam, messaggio e così via
    • MAIL_SPOOFING: indirizzo email di origine falsificato e così via
    • CONTENUTI_RETE_CATEGORATI
    • NETWORK_COMMAND_AND_CONTROL: se il canale di comando e controllo è noto.
    • RETE_DI_SERVIZIO_RETE
    • NETWORK_MALICIOUS: comando e controllo, exploit di rete, attività sospette, potenziali tunnel inversi ecc.
    • NETWORK_SUSPICIOUS: non correlato alla sicurezza, ad esempio, l'URL è collegato a giochi e scommesse e così via.
    • NETWORK_RECON: analisi delle porte rilevata da un IDS, che esegue il probe da parte di un'applicazione web.
    • POLICY_VIOLATION: violazione dei criteri di sicurezza, incluse le violazioni delle regole firewall, proxy e HIPS oppure le azioni di blocco dei NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via
    • SOFTWARE_PUA: app potenzialmente indesiderata, ad esempio adware e così via.
    • SOFTWARE_SUSPICIOUS
    • CATEGORIA_SCONOSCIUTA

Sicurezza dei risultati di sicurezza

  • Scopo: specifica un livello di confidenza in relazione a un evento di sicurezza come stimato dal prodotto.
  • Codifica: enum.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di confidenza del prodotto:
    • CONFIDENZA_SCONOSCIUTA
    • CONFIDENZA_BASSO
    • CONFIDENZA_MEDIA
    • ALTA_CONFIDENZA

Dettagli_affidabilità_sicurezza

  • Scopo:dettagli aggiuntivi sulla sicurezza di un evento di sicurezza, come stimato dal fornitore del prodotto.
  • Codifica: stringa.

Priorità.Sicurezza

  • Scopo:specifica una priorità per quanto riguarda un evento di sicurezza stimato dal fornitore del prodotto.
  • Codifica: enum.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di priorità dei prodotti:
    • PRIORITÀ_SCONOSCIUTA
    • BASSO_PRIORITÀ
    • PRIORITÀ_MEDIA
    • PREZZO_ALTO

DettagliRisultato.Sicurezza

  • Scopo:informazioni specifiche del fornitore relative alla priorità dei risultati di sicurezza.
  • Codifica: stringa.

ID risultato_sicurezza

  • Finalità:identificatore della regola di sicurezza.
  • Codifica: stringa.
  • Esempi:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

NomeRisultato_regola.Sicurezza

  • Finalità:nome della regola di sicurezza.
  • Codifica: stringa.
  • Esempio:BlockInboundToOracle.

Gravità dei risultati di sicurezza

  • Scopo: il livello di gravità di un evento di sicurezza stimato dal fornitore del prodotto utilizzando i valori definiti da Chronicle UDM.
  • Codifica: enum.
  • Valori possibili: Chronicle UDM definisce le seguenti gravità del prodotto:
    • UNKNOWN_SEVERITY: non dannosa
    • INFORMATIVO: non dannoso
    • ERRORE: non dannoso
    • LOW: dannoso
    • MEDIA-Dannosa
    • ALTA: dannosa

Dettagli_sicurezza_risultati_sicurezza

  • Scopo: il livello di gravità per un evento di sicurezza stimato dal fornitore del prodotto.
  • Codifica: stringa.

Risultato_sicurezza.nome_sicurezza

  • Finalità:nome della minaccia per la sicurezza.
  • Codifica: stringa.
  • Esempi:
    • W32/File-A
    • Slammer

Risultato_sicurezza.url_back_to_product

  • Finalità:l'URL che ti indirizza alla console del prodotto di origine per questo evento di sicurezza.
  • Codifica: stringa.

Completamento dei metadati relativi all'utente

Indirizzi email.utente

  • Finalità: archivia gli indirizzi email per l'utente.
  • Codifica: stringa ripetuta.
  • Esempio: mariorossi@azienda.example.com

ID_utente.employee

  • Finalità: archivia l'ID dipendente delle risorse umane per l'utente.
  • Codifica: stringa.
  • Esempio: 11223344.

Nome.utente_

  • Finalità: memorizza il nome dell'utente.
  • Codifica: stringa.
  • Esempio: Giovanni.

Nome_utente_medio

  • Finalità: archivia il secondo nome dell'utente.
  • Codifica: stringa.
  • Esempio: Antonio.

Cognome.utente

  • Finalità: memorizza il cognome dell'utente.
  • Codifica: stringa.
  • Esempio: Locke.

Identificatori di gruppi.

  • Finalità: archivia gli ID gruppo (un GUID, un OID LDAP o simili) associati a un utente.
  • Codifica: stringa ripetuta.
  • Esempio: amministratori.

Numeri di telefono_utente

  • Finalità: archivia i numeri di telefono dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: 800-555-0101

Titolo.utente

  • Finalità:archivia la qualifica per l'utente.
  • Codifica: stringa.
  • Esempio:Gestore delle relazioni con i clienti.

Nome_utente_utente_display

  • Finalità: memorizza il nome visualizzato dell'utente.
  • Codifica: stringa.
  • Esempio: John Locke.

User.id

  • Finalità: memorizza lo User-ID.
  • Codifica: stringa.
  • Esempio: jlocke.

User_windows_sid

  • Finalità: archivia l'identificatore di sicurezza di Microsoft Windows (SID) associato a un utente.
  • Codifica: stringa.
  • Esempio: S-1-5-21-1180649209-123456789-3582944384-1064

Popolazione di metadati delle vulnerabilità

Vulnerabilità.

  • Scopo:se la vulnerabilità riguarda un nome specifico (ad esempio eseguibile), aggiungila qui.
  • Codifica: nome. Vedi Popolazione dei metadati Noun
  • Esempio: eseguibile.

Vulnerabilità.cvss_base_score

  • Scopo: punteggio di base del Common Vulnerability Scoring System (CVSS).
  • Codifica: con virgola mobile.
  • Intervallo: da 0,0 a 10,0
  • Esempio: 8.5

Vulnerabilità.cvss_vettore

  • Scopo: vettore per le proprietà CVSS della vulnerabilità. Un punteggio CVSS è composto dalle seguenti metriche:

    • Vettore d'attacco (AV)
    • Complessità dell'accesso (AC)
    • Autenticazione (Au)
    • Impatto sulla riservatezza (C)
    • Impatto sull'integrità (I)
    • Impatto sulla disponibilità (A)

    Per ulteriori informazioni, vedi https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?Vector=VALUE.

  • Codifica: stringa.

  • Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerabilità.versione_cvss

  • Scopo: versione CVSS per il punteggio di vulnerabilità o il vettore.
  • Codifica: stringa.
  • Esempio:3.1

Vulnerabilità.description

  • Scopo:descrizione della vulnerabilità.
  • Codifica: stringa.

Vulnerabilità.first_found

  • Finalità:i prodotti per cui è disponibile una cronologia delle scansioni di vulnerabilità devono essere completati first_found usando il momento in cui la vulnerabilità per questa risorsa è stata rilevata per la prima volta.
  • Codifica: stringa.

Vulnerabilità.last_found

  • Scopo: i prodotti per cui è disponibile una cronologia delle scansioni della vulnerabilità devono essere completati in base al momento in cui è stata rilevata la vulnerabilità dell'asset.
  • Codifica: stringa.

Vulnerability.name

  • Scopo:nome della vulnerabilità,
  • Codifica: stringa.
  • Esempio:è stata rilevata una versione del sistema operativo non supportata.

Vulnerabilità.scan_end_time

  • Scopo:se la vulnerabilità è stata rilevata durante una scansione degli asset, compila questo campo con l'ora in cui è stata terminata. Lascia questo campo vuoto se l'ora di fine non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerabilità.scan_start_time

  • Scopo: se la vulnerabilità è stata rilevata durante una scansione degli asset, compila questo campo con l'ora in cui è stata avviata la scansione. Lascia questo campo vuoto se l'ora di inizio non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerabilità.gravità

  • Scopo:gravità della vulnerabilità.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_SEVERITY
    • BASSO
    • MEDIO
    • ALTO

Dettagli_vulnerabilità.gravità

  • Scopo:dettagli sulla gravità specifica del fornitore.
  • Codifica: stringa.

Completamento dei metadati dell'avviso

idm.is_significativo

  • Finalità:specifica se visualizzare l'avviso in Enterprise Insights.
  • Codifica: booleano

idm.is_alert

  • Scopo:identifica se l'evento è un avviso.
  • Codifica: booleano

Campi obbligatori e facoltativi in base al tipo di evento

Questa sezione descrive i campi obbligatori e facoltativi da compilare a seconda del tipo di evento UDM. Per una descrizione di questi campi, consulta l'elenco del campo Unified Data Model.

TRANSAZIONE_EMAIL

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: contiene le informazioni sul computer da cui ha avuto origine il messaggio email. Ad esempio, l'indirizzo IP del mittente.

Campi facoltativi:

  • Informazioni: URL, IP, domini ed eventuali file allegati incorporati nel corpo dell'email.
  • securityResult.about: URL, IP e file non validi incorporati nel corpo dell'email.
  • network.email: email il mittente/destinatario.
  • principal: se esistono dati della macchina client su chi ha inviato l'email, compila i dettagli del server nell'entità (ad esempio, il processo client, i numeri di porta, il nome utente e così via).
  • target: se sono presenti dati del server email di destinazione, compila i dettagli del server nel target (ad esempio, l'indirizzo IP).
  • intermediario: se sono presenti dati di server di posta o proxy della posta, compila i dettagli del server nell'intermediario.

Note:

  • Non inserire mai i dati principal.email o target.email.
  • Compila il campo email solo in security_result.about o network.email.
  • Per i risultati di sicurezza di primo livello solitamente è impostato un nome (facoltativo per lo spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principali:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Completa il metodo principal.process con le informazioni sul processo di accesso al file.
  • target:
    • Se il file è remoto (ad esempio, condivisione SMB), la destinazione deve includere almeno un identificativo della macchina di destinazione, altrimenti tutti gli identificatori devono essere vuoti.
    • Completare il file target.file con le informazioni sul file.

(Facoltativo)

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative alla procedura.

COPIA_FILE

Campi obbligatori:

  • metadati: includi i campi obbligatori come descritto.
  • principali:
    • Almeno un identificatore della macchina.
    • (Facoltativo) Compila il campo principal.process con le informazioni sul processo che esegue l'operazione di copia dei file.
  • src:
    • Completare il file src.file con informazioni sul file sorgente.
    • Se il file è remoto (ad esempio, condivisione SMB), src deve includere almeno un identificativo della macchina di origine per l'archiviazione del file di origine.
  • target:
    • Completare il file target.file con le informazioni sul file di destinazione.
    • Se il file è remoto (ad esempio, condivisione SMB), il campo target deve includere almeno un identificatore della macchina target per il computer di destinazione.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative alla procedura.

CREAZIONE_MUTEX

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principali:
    • Almeno un identificatore della macchina.
    • Completare principal.process con le informazioni sul processo che crea il mutex.
  • target:
    • Completare target.resource.
    • Compila target.resource.type con MUTEX.
    • Compila il campo target.resource.name con il nome del mutex creato.

(Facoltativo)

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative alla procedura.
Esempio di UDM per MUTEX_CREATION

L'esempio seguente illustra come verrebbe formattato un evento di tipo MUTEX_CREATION per l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli del dispositivo e del processo.
  • target: informazioni sul mutex.

CONNESSIONE_RETE

Campi obbligatori:

  • metadati: event_timestamp
  • principal: include i dettagli sulla macchina che ha avviato la connessione di rete (ad esempio, source).
  • target: includi dettagli sulla macchina di destinazione se diversa da quella principale.
  • network: consente di acquisire i dettagli della connessione di rete (porte, protocollo e così via).

Campi facoltativi:

  • principal.process e target.process: includi le informazioni di processo associate all'entità e alla destinazione della connessione di rete (se disponibile).
  • principal.user e target.user: includi le informazioni utente associate all'entità e alla destinazione della connessione di rete (se disponibile).

NETWORK_HTTP

Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un'entità a un server web di destinazione.

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: rappresenta il client che avvia la richiesta web e include almeno un identificatore della macchina (ad esempio nome host, IP, MAC, identificatore della risorsa proprietaria) o un identificatore utente (ad esempio il nome utente). Se viene descritta una connessione di rete specifica ed è disponibile un numero di porta client, deve essere specificato un solo indirizzo IP insieme al numero di porta associato alla connessione di rete (sebbene possano essere forniti altri identificatori della macchina per descrivere meglio il dispositivo del partecipante). Se non è disponibile alcuna porta di origine, puoi specificare tutti gli indirizzi IP e MAC, gli identificatori degli asset e i valori dei nomi host che descrivono il dispositivo principale.
  • target: rappresenta il server web e include le informazioni sul dispositivo e, facoltativamente, un numero di porta. Se è disponibile un numero di porta di destinazione, specifica un solo indirizzo IP oltre al numero di porta associato alla connessione di rete, anche se è possibile fornire più altri identificatori macchina per il target. Per target.url, inserisci l'URL a cui hai eseguito l'accesso.
  • network e network.http: include i dettagli sulla connessione di rete HTTP. Devi compilare i seguenti campi:
    • protocollo_ip_rete
    • network_application_protocol
    • metodo.http.network

Campi facoltativi:

  • about: rappresenta le altre entità trovate nella transazione HTTP (ad esempio, un file caricato o scaricato).
  • intermediario: rappresenta un server proxy (se diverso dall'entità o dalla destinazione).
  • metadata: compila gli altri campi di metadati.
  • network: per compilare altri campi di rete.
  • network.email: se la connessione di rete HTTP proviene da un URL visualizzato in un messaggio email, compila network.email con i dettagli.
  • observer: rappresenta uno snapshot passivo (se presente).
  • security_result: aggiungi uno o più elementi al campo security_result per rappresentare l'attività dannosa rilevata.
Esempio di UDM per NETWORK_HTTP

L'esempio seguente illustra come un evento antivirus Sophos di tipo NETWORK_HTTP verrebbe convertito nel formato UDM Chronicle.

Di seguito è riportato l'evento antivirus di Sophos originale:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Ecco come formattare le stesse informazioni in Proto3 utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • entità: dispositivo di sicurezza che ha rilevato l'evento.
  • target: dispositivo che ha ricevuto il software dannoso.
  • network: informazioni sulla rete relative all'host dannoso.
  • security_result: dettagli sulla sicurezza relativi al software dannoso.
  • aggiuntive: informazioni sui fornitori che al momento non rientrano nell'ambito dell'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principali:
    • Almeno un identificatore della macchina.
    • Per gli eventi di iniezione e terminazione dei processi, se disponibili, principal.process deve includere informazioni sul processo che avvia l'azione (ad esempio, per un evento di lancio del processo, principal.process deve includere i dettagli sul processo padre se disponibile).
  • target:
    • target.process: include le informazioni sul processo inserito, aperto, avviato o terminato.
    • Se il processo di destinazione è remoto, la destinazione deve includere almeno un identificatore della macchina per la macchina di destinazione (ad esempio indirizzo IP, MAC, nome host o identificatore della risorsa di terze parti).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user e target.user: compila il processo di avvio (principal) e il processo di destinazione se sono disponibili informazioni sull'utente.
Esempio UDM per PROCESS_LAUNCH

L'esempio seguente illustra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • entità: dettagli del dispositivo.
  • target: dettagli del processo

MODULO_MODULO_PROCEDURA

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principali:
    • Almeno un identificatore della macchina.
    • principal.process: il processo di caricamento del modulo.
  • target:
    • target.process: include le informazioni sulla procedura.
    • target.process.file: modulo caricato (ad esempio, il DLL o l'oggetto condiviso).

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
  • principal.user: indica se sono disponibili informazioni sull'utente relative alla procedura.
Esempio di UDM per PROCESS_MODULE_LOAD

L'esempio seguente illustra come formattare un evento PROCESS_MODULE_LOAD utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli sul dispositivo e sulla procedura di caricamento del modulo.
  • target: dettagli del processo e del modulo.

Elaborazione_PRIVILEGE_ESCALAZIONE

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principali:
    • Almeno un identificatore della macchina.
    • principal.process: il processo di caricamento del modulo.
    • principal.user: un utente sta caricando il modulo.

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio UDM per PROCESS_PRIVILEGE_ESCALATION

L'esempio seguente illustra come formattare un evento PROCESS_PRIVILEGE_ESCALATION utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dettagli sul dispositivo, sull'utente e sul processo di caricamento del modulo.
  • target: dettagli del processo e del modulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principali:
    • Almeno un identificatore della macchina.
    • Se un processo in modalità utente esegue la modifica del registro, principal.process deve includere informazioni sul processo che modifica il registro.
    • Se un processo del kernel esegue la modifica del Registro di sistema, il principal non deve includere informazioni sul processo.
  • target:
    • target.registry: se il registro di destinazione è remoto, la destinazione deve includere almeno un identificatore per la macchina di destinazione (ad esempio indirizzo IP, MAC, nome host o identificatore della risorsa di terze parti).
    • target.registry.registry_key: tutti gli eventi del Registro di sistema devono includere la chiave del Registro di sistema interessata.

(Facoltativo)

  • security_result:descrivi l'attività dannosa rilevata. ad esempio una chiave del Registro di sistema non valida.
  • principal.user: indica se sono disponibili informazioni sull'utente relative alla procedura.
Esempio di UDM per REGISTRY_MODIFICATION

L'esempio seguente illustra come formattare un evento REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • entità: dispositivo, utente e dettagli del processo.
  • target: voce di registro interessata dalla modifica.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campi obbligatori:

  • extensions: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la vulnerabilità utilizzando il campo extensions.vuln.
  • metadati: event_timestamp
  • observer: acquisisci informazioni sullo scanner stesso. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo di osservazione. Per uno scanner locale, lascia il campo vuoto.
  • target: acquisisce informazioni sulla macchina su cui viene scansionato l'oggetto su cui viene eseguita la scansione. Se un file viene analizzato, target.file deve acquisire informazioni sul file analizzato. Se un processo viene analizzato, target.process deve acquisire informazioni sul processo analizzato.

Campi facoltativi:

  • target: i dettagli dell'utente sull'oggetto di destinazione (ad esempio, l'autore del file o il proprietario del processo) devono essere acquisiti in target.user.
  • security_result: descrivi l'attività dannosa rilevata.
Esempio UDM per SCAN_HOST

L'esempio seguente illustra come verrebbe formattato un evento di tipo SCAN_host per Chronicle UDM:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • target: dispositivo che ha ricevuto il software dannoso.
  • osservatore: dispositivo che osserva e segnala l'evento in questione.
  • security_result: dettagli sulla sicurezza relativi al software dannoso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campi obbligatori:

  • principal: per tutti gli eventi SCHEDULED_TASK, l'entità deve includere un identificatore macchina e un identificatore utente.
  • target: la destinazione deve includere una risorsa valida e un tipo di risorsa definito "TASK".

Campi facoltativi:

  • security_result: descrivi l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION

L'esempio seguente illustra come potrebbe essere formattato un evento di tipo SCHEDULED_TASK_CREATION per l'UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • principal: dispositivo che ha pianificato l'attività sospetta.
  • target: software scelto come target dall'attività sospetta.
  • intermediario: intermediario coinvolto nell'attività sospetta.
  • security_result: dettagli sulla sicurezza relativi all'attività sospetta.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campi obbligatori:

  • principal: deve essere presente, non vuoto e includere un identificatore della macchina.
  • target: deve essere presente, non essere vuoto e includere una risorsa con il tipo specificato come SETTING
Esempio di UDM per il tipo di evento SETTING_MODIFICATION

L'esempio seguente illustra come verrebbe formattato un evento di tipo SETTING_MODIFICATION per l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • principal: le informazioni sul dispositivo in cui è stata apportata la modifica all'impostazione.
  • target: dettagli della risorsa.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campi obbligatori:

  • target: includi l'identificatore utente e specifica la procedura o l'applicazione.
  • principal: include almeno un identificatore della macchina (IP o INDIRIZZO MAC, nome host o identificatore dell'asset).
Esempio di UDM per SERVICE_UNSPECIFIED

L'esempio seguente illustra come verrebbe formattato un evento di tipo SERVICE_UNSPECIFIED per l'UDM Chronicle:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • entità: dettagli sulla posizione e sul dispositivo.
  • target: nome host e identificatore utente.
  • application: Nome dell'applicazione e tipo di risorsa.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: almeno un identificatore della macchina (IP o MAC ADDRESS, nome host o identificatore della risorsa).
Esempio UDM per STATUS_HEARTBEAT

L'esempio seguente illustra come verrebbe formattato un evento di tipo STATUS_HEARTBEAT per l'UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • entità: dettagli sulla posizione e sul dispositivo.
  • intermediario: indirizzo IP del dispositivo.
  • security_result: dettagli dei risultati di sicurezza.

Sistemi_AUDIT_LOG_UNCATEGORIZED, SISTEMA_AUDIT_LOG_WIPE

Campi obbligatori:

  • principal: include l'identificatore dell'utente che ha eseguito l'operazione nel log e un identificatore della macchina in cui il log è stato archiviato (in caso di cancellazione).
Esempio di UDM per System_AUDIT_LOG_WIPE

L'esempio seguente illustra come verrebbe formattato un evento di tipo System_AUDIT_LOG_WIPE per l'UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie di UDM:

  • metadati: informazioni di base sull'evento.
  • entità: dettagli del dispositivo e dell'utente.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: se l'account utente viene modificato da una località remota, compila l'entità con informazioni sul computer da cui ha avuto origine la modifica dell'utente.
  • target: compila il campo target.user con le informazioni sull'utente che sono state modificate.
  • intermediario: per gli accessi SSO, l'intermediario deve includere almeno un identificatore della macchina per il server SSO, se disponibile.

COMUNICAZIONE_UTENTE

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati alla comunicazione avviata dall'utente (mittente), ad esempio un messaggio di chat in Google Chat o Slack, una videoconferenza vocale o un video in Zoom o Google Meet o una connessione VoIP.

Campi facoltativi:

  • target: (consigliato) compila il campo target.user con le informazioni sull'utente di destinazione (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con informazioni sull'applicazione di comunicazione cloud di destinazione.

USER_CREATION, USER_DELETION

Campi obbligatori:

  • metadati: event_timestamp
  • principal: include le informazioni sulla macchina da cui ha avuto origine la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, principal deve includere almeno un identificatore della macchina per la macchina di origine.
  • target: la località in cui l'utente viene creato. Deve includere anche le informazioni sull'utente, ad esempio target.user.

Campi facoltativi:

  • principal: i dettagli utente ed processo per la macchina da cui è stata avviata la richiesta di creazione o eliminazione.
  • target: informazioni sulla macchina di destinazione (se diversa dalla macchina principale).

ACCESSO_UTENTE, UTENTE_LOGOUT

Campi obbligatori:

  • metadata: include i campi obbligatori.
  • principal: per l'attività utente remota (ad esempio accesso remoto), completare l'entità con informazioni sulla macchina che ha generato l'attività utente. Per l'attività utente locale (ad esempio l'accesso locale), non impostare l'entità.
  • target: compila l'utente target.user con informazioni sull'utente che ha eseguito l'accesso o la disconnessione. Se l'entità non è impostata (ad esempio, l'accesso locale), la destinazione deve includere anche almeno un identificatore della macchina che identifica la macchina di destinazione. Per l'attività utente da macchina a macchina (ad esempio, accesso remoto, SSO, Cloud Service, VPN), la destinazione deve includere informazioni sull'applicazione di destinazione, sulla macchina di destinazione o sul server VPN di destinazione.
  • intermediario: per gli accessi SSO, l'intermediario deve includere almeno un identificatore della macchina per il server SSO, se disponibile.
  • network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti i dettagli disponibili in network.ip_protocol, network.application_protocol e network.http.
  • Estensione autenticazione: deve identificare il tipo di sistema di autenticazione a cui è correlato l'evento (ad esempio macchina, SSO o VPN) e il meccanismo utilizzato (nome utente e password, OTP e così via).
  • security_result: aggiungi un campo security_result per rappresentare lo stato di accesso se non riesce. Specifica security_result.category con il valore AUTH_VIOLATION se l'autenticazione non riesce.

ACCESSO_risorsa_utente

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli sui tentativi di accesso a una risorsa cloud (ad esempio, una richiesta Salesforce, un calendario Office365, Documenti Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente creato all'interno di una risorsa cloud (ad esempio, una richiesta Salesforce, un calendario Office365, un documento Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_CONTENT

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente i cui contenuti sono stati aggiornati all'interno di una risorsa cloud (ad esempio, una richiesta Salesforce, un calendario Office365, Documenti Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

AUTORIZZAZIONI_AGGIORNAMENTO_RISORSE_UTENTE

Campi obbligatori:

  • principal: compila il campo principal.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud (ad esempio, una richiesta Salesforce, un calendario Office365, Documenti Google o un ticket ServiceNow).
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con informazioni sull'applicazione cloud di destinazione.

USER_UNCATEGORIZED

Campi obbligatori:

  • metadati: event_timestamp
  • principal: include le informazioni sulla macchina da cui ha avuto origine la richiesta di creazione o eliminazione dell'utente. Per la creazione o l'eliminazione di un utente locale, principal deve includere almeno un identificatore della macchina per la macchina di origine.
  • target: la località in cui l'utente viene creato. Deve includere anche le informazioni sull'utente, ad esempio target.user.

Campi facoltativi:

  • principal: i dettagli utente ed processo per la macchina da cui è stata avviata la richiesta di creazione o eliminazione.
  • target: informazioni sulla macchina di destinazione (se diversa dalla macchina principale).