Guida all'utilizzo del modello dati unificato

Questo documento fornisce una descrizione più dettagliata dei campi nello schema di modello di dati unificati (UDM) e di quelli obbligatori a seconda del tipo di evento. Per la valutazione del motore delle regole, il prefisso inizia con udm, mentre quello con normalizzazione basato sulla configurazione (CBN) inizia con event.idm.read_only_udm.

Popolazione di metadati degli eventi

Nella sezione dei metadati degli eventi UDM sono memorizzate le informazioni generali relative a ciascun evento.

Metadata.event_type

  • Scopo: specifica il tipo di evento; se un evento ha più tipi possibili, questo valore deve specificare il tipo più specifico.
  • Obbligatorio:
  • Codifica: deve essere uno dei tipi enumerati evento UDM predefinito.
  • Valori possibili: i seguenti valori elencano tutti i possibili valori per event_type all'interno dell'UDM.

Eventi email:

  • EMAIL_TRANSACTION
  • EMAIL_UNCATEGORIZZATO

Eventi file eseguiti su un endpoint:

  • FILE_UNCATEGORIZZATO
  • CREAZIONE_FILE
  • FILE_DELETION
  • MODIFICA_FILE
  • FILE_READ (ad esempio, lettura di un file delle password)
  • FILE_COPY (ad esempio, copia di un file su un'unità USB)
  • FILE_OPEN (ad esempio, l'apertura di un file potrebbe indicare una violazione della sicurezza)

Eventi che non rientrano in nessun'altra categoria, inclusi gli eventi Windows senza categoria.

  • EVENTO_GENERICO

Eventi di disattivazione audio (oggetto di esclusione reciproca):

  • MUTEX_UNCATEGORIZZATO
  • CREAZIONE_MUTEX

Telemetria di rete, inclusi payload di protocollo non elaborati, come DHCP e DNS, e riepiloghi di protocollo per protocolli come HTTP, SMTP e FTP, nonché eventi di flusso e connessione di Netflow e dei firewall.

  • RETE_UNCATEGORATA
  • NETWORK_FLOW (ad esempio, statistiche di flusso aggregate da Netflow)
  • NETWORK_CONNECTION (ad esempio i dettagli della connessione di rete di un firewall)
  • FTP NETWORK_FTP
  • DHCP_RETE
  • NETWORK_DNS
  • HTTP_RETE
  • NETWORK_SMTP

Tutti gli eventi relativi a un processo, come l'avvio di un processo, un processo che crea qualcosa di dannoso, un processo che inserisce in un altro processo, una modifica di una chiave del Registro di sistema, la creazione di un file dannoso su disco e così via

  • IN_ECCEZIONE
  • AVVIO_ELABORAZIONE
  • LOAD_MODULE_LOAD
  • APRI_PROCEDURA
  • PROCESSO_PRIVILE_ESCALAZIONE
  • TERMINAZIONE_ELABORAZIONE
  • PROCEDURA_UNCATEGORATA

Utilizza gli eventi REGISTRY invece degli eventi IMPOSTAZIONE quando gestisci eventi del Registro di sistema specifici di Microsoft Windows:

  • REGISTRY_UNCATEGORIZZATO
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventi orientati alla scansione. Include scansioni on demand e rilevamento del comportamento eseguiti da prodotti per la sicurezza degli endpoint (EDR, AV, DLP). Utilizzato solo quando si collega un SecurityResult a un altro tipo di evento (come PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZZATO
  • SCAN_FILE
  • SCAN_HOST
  • SCAN_PROCESSO
  • SCAN_VULN_HOST
  • SCAN_VULN_RETE

Eventi delle attività pianificate (Windows Task Scheduler, cron e così via):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABILITA
  • SCHEDULED_TASK_MODIFICATION

Eventi del servizio:

  • SERVICE_UNSPECIFIED
  • CREAZIONE_SERVIZIO
  • SERVICE_DELETION
  • AVVIO_SERVIZIO
  • SERVICE_STOP

Impostazione di eventi, anche quando viene modificata un'impostazione di sistema su un endpoint.

  • IMPOSTAZIONE_UNCATEGORIZZATO
  • CREAZIONE_IMPOSTAZIONE
  • IMPOSTAZIONE_MODIFICA
  • IMPOSTAZIONE_DELEZIONE

Messaggi di stato provenienti da prodotti relativi alla sicurezza per indicare che gli agenti sono attivi e per inviare dati sulla versione, sull'impronta o su altri tipi di dati.

  • STATO_UNCATEGORIZZATO
  • STATUS_HEARTBEAT (indica che il prodotto è attivo)
  • STATO_AVVIO
  • STATO_Arresto
  • STATUS_UPDATE (aggiornamento software o impronta)

Eventi del log di controllo del sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • IGNORA_LOG_WIPE

Eventi attività di autenticazione utente:

  • UNCATEGORizzato
  • USER_BADGE_IN (ad esempio, quando un utente accede fisicamente a un sito)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • CREAZIONE_UTENTE
  • DELEZIONE_UTENTE
  • ACCESSO_UTENTE
  • USER_LOGOUT
  • ACCESSO_RESOURCE_UTENTE
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Obiettivo: codifica il timestamp GMT quando l'evento è stato raccolto dall'infrastruttura di raccolta locale del fornitore.
  • Codifica: RFC 3339, a seconda del formato timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Formato Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Obiettivo: codifica il timestamp GMT quando è stato generato l'evento.
  • Obbligatorio:
  • Codifica: RFC 3339, a seconda del formato timestamp JSON o Proto3.
  • Esempio:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Scopo: una descrizione leggibile dell'evento.
  • Codifica: stringa alfanumerica consentita, punteggiatura consentita, massimo 1024 byte
  • Esempio: il file c:\bar\foo.exe ha impedito l'accesso al documento sensibile c:\documents\earnings.docx.

Metadata.product_event_type

  • Scopo: nome o tipo di evento breve, descrittivo, leggibile e specifico per il prodotto.
  • Codifica: stringa alfanumerica consentita, punteggiatura consentita, massimo 64 byte.
  • Esempi:
    • Evento di creazione registro
    • ProcessRollUp
    • Rilevamento escalation dei privilegi rilevato
    • Malware bloccato

Metadata.product_log_id [id_log_prodotto]

  • Scopo: codifica un identificatore di eventi specifico del fornitore per identificare in modo univoco l'evento (un GUID). Gli utenti potrebbero utilizzare questo identificatore per cercare l'evento in questione nella console del proprietario del fornitore.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempio: ABcd1234-98766

Metadati.nome_prodotto

  • Scopo: specifica il nome del prodotto.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte.
  • Esempi:
    • Falco
    • Protezione endpoint Symantec

Metadata.product_version

  • Scopo: specifica la versione del prodotto.
  • Codifica: stringa alfanumerica, punti e trattini consentiti, massimo 32 byte
  • Esempi:
    • 1.2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Scopo: URL che rimanda a un sito web pertinente per cui puoi visualizzare ulteriori informazioni su questo evento specifico (o sulla categoria di evento generale).
  • Codifica: URL RFC 3986 valido con parametri facoltativi, come informazioni sulla porta e così via. Deve avere un prefisso di protocollo prima dell'URL (ad esempio, https:// o http://).
  • Esempio: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Finalità: specifica il nome del fornitore del prodotto.
  • Codifica: stringa alfanumerica sensibile alle maiuscole, punteggiatura consentita, massimo 256 byte
  • Esempi:
    • CrowdStrike
    • Symantec

Popolazione di metadati nomi

In questa sezione, la parola Noun è un termine generale utilizzato per rappresentare le entità; main, src, target, intermediary, observer e about. Queste entità hanno attributi comuni, ma rappresentano oggetti diversi in un evento. Per ulteriori informazioni sulle entità e sul significato di ogni evento in un evento, vedi Formattazione dei dati del log come UDM.

Noun.asset_id

  • Scopo: identificatore di dispositivo univoco specifico del fornitore (ad esempio un GUID generato durante l'installazione del software di sicurezza dell'endpoint su un nuovo dispositivo utilizzato per monitorare tale dispositivo univoco nel tempo).
  • Codifica: VendorName.NomeProdotto:ID in cui NomeProdotto è senza distinzione tra maiuscole e minuscole* *nome fornitore come "Nero Carbon" &; NomeProdotto è un nome di prodotto senza distinzione tra maiuscole e minuscole, come "Risposta all'endpoint" e ID è un ID cliente specifico a livello globale univoco per il dispositivo che identifica l'ambiente di riferimento per l'ambiente o l'ambiente del cliente. VendorName e NomeProdotto sono alfanumerici e non superano i 32 caratteri. L'ID può contenere massimo 128 caratteri e può includere caratteri alfanumerici, trattini e punti.
  • Esempio: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Nome.email

  • Scopo: indirizzo email
  • Codifica: formato dell'indirizzo email standard.
  • Esempio: johns@test.altostrat.com

Noun.file

Nomenome.nome

  • Scopo: campo del nome host del client o del dominio. Non includere se è presente un URL.
  • Codifica: nome host RFC 1123 valido.
  • Esempi:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Scopo: sistema operativo della piattaforma.
  • Codifica: Enum
  • Valori possibili:
    • LINUX
    • MAC
    • Finestre
    • PLATFORM_SCONOSCIUTA

Noun.platform_patch_level

  • Scopo: livello di patch del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Build 17134.48

Noun.platform_version

  • Scopo: versione del sistema operativo della piattaforma.
  • Codifica: stringa alfanumerica con punteggiatura, massimo 64 caratteri.
  • Esempio: Microsoft Windows 10 versione 1803

Noun.process

Noun.ip

  • Finalità:
    • Indirizzo IP singolo associato a una connessione di rete.
    • Uno o più indirizzi IP associati a un dispositivo partecipante al momento dell'evento (ad esempio, se un prodotto EDR conosce tutti gli indirizzi IP associati a un dispositivo, può codificare tutti questi indirizzi all'interno dei campi IP).
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.
  • Ripetibilità:
    • Se un evento descrive una connessione di rete specifica (ad esempio, srcip:srcport > dstip:dstport), il fornitore deve fornire un solo indirizzo IP.
    • Se un evento descrive un'attività generale che si verifica sul dispositivo di un partecipante, ma non una connessione di rete specifica, il fornitore potrebbe fornire tutti gli indirizzi IP associati al dispositivo al momento dell'evento.
  • Esempi:
    • 192.168.1.2
    • 2001:db8:1:3::1

Nome.porta

  • Scopo: numero di porta della rete di origine o di destinazione quando una connessione di rete specifica è descritta in un evento.
  • Codifica: numero di porta TCP/IP valido da 1 a 65.535.
  • Esempi:

    • 80
    • 443

Noun.mac

  • Finalità: uno o più indirizzi MAC associati a un dispositivo.
  • Codifica: indirizzo MAC valido (EUI-48) in ASCII.
  • Ripetibilità: il fornitore potrebbe fornire tutti gli indirizzi MAC associati per il dispositivo al momento dell'evento.
  • Esempi:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

  • Finalità:il dominio a cui appartiene il dispositivo (ad esempio il dominio Windows).
  • Codifica: stringa del nome di dominio valida (massimo 128 caratteri).
  • Esempio: corp.altostrat.com

Noun.registry

Noun.url

  • Scopo: URL standard
  • Codifica: URL (RFC 3986). Deve avere un prefisso di protocollo valido (ad esempio, https:// o ftp://). Deve includere il dominio e il percorso completi. Potrebbero essere inclusi i parametri dell'URL.
  • Esempio: https://foo.altostrat.com/bletch?a=b;c=d

Nome.utente

Popolazione dei metadati di autenticazione

Authentication.AuthType

  • Scopo: tipo di sistema a cui è associato un evento di autenticazione (Chronicle UDM).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • AUTHTYPE_UNSPECIFIED (Autenticazione non autorizzata)
    • MACHINE: autenticazione computer
    • FISICO: autenticazione fisica (ad esempio, un lettore di badge)
    • SSO
    • TACACS: protocollo TACACS per l'autenticazione dei sistemi di rete (ad esempio TACACS o TACACS+)
    • VPN

Authentication.Authentication_Status (Stato dell'autenticazione.

  • Scopo: descrive lo stato di autenticazione di un utente o una credenziale specifica.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_AUTHENTICATION_STATUS: stato di autenticazione predefinito
    • ATTIVA: il metodo di autenticazione è in stato attivo
    • SOSPESO: il metodo di autenticazione è in stato sospeso o disattivato
    • DELETED: il metodo di autenticazione è stato eliminato
    • NO_ACTIVE_CREDENTIALS: il metodo di autenticazione non ha credenziali attive.

Authentication.auth_details

  • Scopo: dettagli di autenticazione definiti dal fornitore.
  • Codifica: stringa.

Authentication.Mechanism

  • Scopo: meccanismi utilizzati per l'autenticazione.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • MECHANISM_UNSPECIFIED: meccanismo di autenticazione predefinito.
    • BADGE_READER (BADGE_READER)
    • BATCH: autenticazione di gruppo.
    • CACHED_INTERACTIVE: autenticazione interattiva utilizzando le credenziali memorizzate nella cache.
    • HARDWARE_KEY
    • LOCALE
    • MECHANISM_OTHER: altri meccanismi non definiti qui.
    • NETWORK: autenticazione di rete.
    • NETWORK_CLEAR_TEXT: autenticazione testo non crittografato.
    • NEW_CREDENTIALS: autenticazione con nuove credenziali.
    • OTP
    • REMOTE: autenticazione remota
    • REMOTE_INTERACTIVE: RDP, servizi terminali, Virtual Network Computing (VNC) e così via
    • SERVICE: autenticazione del servizio.
    • SBLOCCA: autenticazione diretta dello sblocco interattivo.
    • PASSWORD_USERNAME

Popolazione di metadati DHCP

I campi dei metadati DHCP (Dynamic Host Control Protocol) acquisiscono informazioni sui log del protocollo di gestione della rete DHCP.

Dhcp.client_hostname

  • Scopo: nome host per il client. Per ulteriori informazioni, vedi RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: stringa.

Dhcp.client_identifier

  • Scopo: identificatore del client. Per ulteriori informazioni, vedi RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

File Dhcp.

  • Obiettivo: nome del file per l'immagine di avvio.
  • Codifica: stringa.

Dhcp.flag

  • Obiettivo: valore per il campo dei flag DHCP.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.hlen

  • Scopo: lunghezza dell'indirizzo hardware.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.hop

  • Scopo: conteggio degli hop DHCP.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.htype

  • Finalità: tipo di indirizzo dell'hardware.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.lease_time_seconds

  • Obiettivo: tempo di lease richiesto dal client per un indirizzo IP, espresso in secondi Per ulteriori informazioni, vedi RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.opcode

  • Scopo: codice operativo BOOTP (vedi la sezione 3 del documento RFC 951).
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_OPCODE
    • RICHIESTA DI AVVIO AVVIO
    • RISPONDI

Dhcp.requested_address

  • Scopo: identificatore del client. Per ulteriori informazioni, vedi RFC 2132, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.

Dhcp.secondi

  • Scopo: secondi trascorsi dall'inizio della procedura di acquisizione/rinnovo dell'indirizzo del cliente.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.sname

  • Finalità: nome del server da cui il client ha richiesto l'avvio.
  • Codifica: stringa.

Dhcp.transaction_id

  • Finalità: ID transazione del cliente.
  • Codifica: numero intero senza firma a 32 bit.

Dhcp.type

  • Scopo: tipo di messaggio DHCP. Per ulteriori informazioni, vedi RFC 1533.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFFER
    • RICHIEDI
    • RIFIUTO
    • ACK
    • CANNOT TRANSLATE
    • NOVIT
    • INFORMAZIONI
    • VINCITO
    • VERSO_SCADUTO

Dhcp.chaddr

  • Scopo: indirizzo IP dell'hardware del client.
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.

Dhcp.ciaddr dhcp.ciaddr

  • Scopo: indirizzo IP del client.
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.

Dhcp.giaddr

  • Finalità: indirizzo IP dell'agente di inoltro.
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.

Dhcp.siaddr

  • Scopo: indirizzo IP del successivo server di bootstrap.
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.

Dhcp.yiaddr

  • Scopo: il tuo indirizzo IP.
  • Codifica: indirizzo IPv4 o IPv6 (RFC 5942) valido codificato in ASCII.

Completamento dei metadati delle opzioni DHCP

I campi dei metadati dell'opzione DHCP acquisiscono le informazioni del log delle opzioni DHCP.

Opzione.codice

  • Scopo: archivia il codice dell'opzione DHCP. Per ulteriori informazioni, vedi RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: numero intero a 32 bit senza firma.

Opzione.data

  • Scopo: archivia i dati dell'opzione DHCP. Per ulteriori informazioni, vedi RFC 1533, DHCP Options and BOOTP Vendor Extensions.
  • Codifica: byte.

Popolazione di metadati DNS

I campi dei metadati DNS acquisiscono informazioni relative ai pacchetti di risposta e richiesta DNS. Hanno una corrispondenza 1:1 con i dati disponibili in datagrammi di richiesta e risposta DNS.

Dns.authoritative

  • Scopo: imposta su true per i server DNS autorevoli.
  • Codifica: booleana.

Dns.id

  • Finalità: archivia l'identificatore della query DNS.
  • Codifica: numero intero a 32 bit.

Dns.response

  • Scopo: imposta su true se l'evento è una risposta DNS.
  • Codifica: booleana.

Dns.opcode

  • Finalità: archivia il DNS OpCode utilizzato per specificare il tipo di query DNS (standard, inverso, stato del server ecc.).
  • Codifica: numero intero a 32 bit.

Dns.recursion_available

  • Scopo: imposta su true se è disponibile una ricerca DNS ricorrente.
  • Codifica: booleana.

Dns.recursion_desired

  • Finalità: imposta su true se è richiesta una ricerca DNS ricorrente.
  • Codifica: booleana.

Codice Dns.response_code

  • Scopo: archivia il codice di risposta DNS come definito dal documento RFC 1035, Domain Names - Implementation and Specification.
  • Codifica: numero intero a 32 bit.

Troncato Dns.

  • Finalità: imposta su true se si tratta di una risposta DNS troncata.
  • Codifica: booleana.

Domande su DNS

Dns.answers

Dns.authority

Dns.additional

Popolazione di metadati DNS Question

I campi dei metadati della domanda DNS acquisiscono le informazioni contenute nella sezione della domanda di un messaggio relativo al protocollo di dominio.

Nome.domanda

  • Scopo: archivia il nome del dominio.
  • Codifica: stringa.

Question.class

  • Finalità: archivia il codice che specifica la classe della query.
  • Codifica: numero intero a 32 bit.

Question.tipo

  • Finalità: archivia il codice che specifica il tipo di query.
  • Codifica: numero intero a 32 bit.

Popolazione di metadati dei record di risorse DNS

I campi dei metadati del record di risorse DNS acquisiscono le informazioni contenute nel record di risorse di un messaggio relativo al protocollo del dominio.

ResourceRecord.binary_data

  • Scopo: archivia i byte non elaborati di qualsiasi stringa non UTF8 che può essere inclusa come parte di una risposta DNS. Questo campo deve essere utilizzato solo se i dati di risposta restituiti dal server DNS contengono dati non UTF8. In caso contrario, inserisci la risposta DNS nel campo dei dati sottostante. Questo tipo di informazioni deve essere archiviato qui anziché in ResourceRecord.data.
  • Codifica: byte.

ResourceRecord.class

  • Finalità: archivia il codice che specifica la classe del record di risorse.
  • Codifica: numero intero a 32 bit.

ResourceRecord.data

  • Scopo: archivia il payload o la risposta alla domanda DNS per tutte le risposte codificate in formato UTF-8. Ad esempio, il campo dei dati potrebbe restituire un indirizzo IP del computer a cui fa riferimento il nome di dominio. Se il record di risorse è di un tipo o di una classe diverso, potrebbe contenere un altro nome di dominio (quando un nome di dominio viene reindirizzato a un altro nome di dominio). I dati devono essere archiviati così come sono nella risposta DNS.
  • Codifica: stringa.

ResourceRecord.name

  • Scopo: archivia il nome del proprietario del record di risorse.
  • Codifica: stringa.

ResourceRecord.ttl

  • Finalità: archivia l'intervallo di tempo per cui il record di risorse può essere memorizzato nella cache prima che la query delle informazioni venga sottoposta di nuovo a query.
  • Codifica: numero intero a 32 bit.

ResourceRecord.type

  • Finalità: archivia il codice che specifica il tipo di record di risorse.
  • Codifica: numero intero a 32 bit.

Completamento dei metadati delle email

La maggior parte dei campi relativi ai metadati email acquisisce gli indirizzi email inclusi nell'intestazione del messaggio e deve essere conforme al formato dell'indirizzo email standard (local-mailbox@domain), come definito nel documento RFC 5322. Ad esempio, frank@email.example.com.

Email.da

  • Finalità: archivia l'indirizzo email mittente.
  • Codifica: stringa.

Email.risposta_a

  • Scopo: archivia l'indirizzo email reply_to.
  • Codifica: stringa.

Email.to

  • Finalità:memorizza gli indirizzi email a.
  • Codifica: stringa.

Email.cc

  • Obiettivo:memorizza gli indirizzi email in Cc.
  • Codifica: stringa.

Email.Ccn

  • Scopo: archivia gli indirizzi email del Ccn,
  • Codifica: stringa.

Email.mail_id (ID email)

  • Finalità: archivia l'ID della posta (o del messaggio).
  • Codifica: stringa.
  • Esempio: 192544.132632@email.example.com

Email.subject

  • Obiettivo: memorizza l'oggetto dell'email.
  • Codifica: stringa.
  • Esempio: "Leggi questo messaggio."

Popolazione di metadati delle estensioni

Tipi di evento con metadati di prima classe non ancora classificati in base all'UDM di Chronicle. Estensioni.auth

  • Scopo: estensione dei metadati di autenticazione.
  • Codifica: stringa.
  • Esempi:
    • Metadati sandbox (tutti i comportamenti segnalati da un file, ad esempio FireEye).
    • Dati NAC (Network Access Control).
    • Dettagli LDAP su un utente (ad esempio, ruolo, organizzazione e così via).

Estensioni.auth.auth_details

  • Finalità: specifica i dettagli specifici del fornitore per il tipo o il meccanismo di autenticazione. I provider di autenticazione spesso definiscono tipi come via_mfa, via_ad e così via, che forniscono informazioni utili sul tipo di autenticazione. Questi tipi possono comunque essere generici in auth.type o auth.mechanism per l'usabilità e la compatibilità delle regole di più set di dati.
  • Codifica: stringa.
  • Esempi: via_mfa, via_ad.

Estensioni.vulns

  • Scopo: estensione dei metadati delle vulnerabilità.
  • Codifica: stringa.
  • Esempio:
    • Dati di analisi delle vulnerabilità dell'host.

Popolazione di metadati dei file

File.file_metadata

  • Scopo: i metadati associati al file.
  • Codifica: stringa.
  • Esempi:
    • Autore
    • Numero di revisione
    • Numero della versione
    • Data ultimo salvataggio

File.full_path

  • Scopo: percorso completo che identifica il percorso del file sul sistema.
  • Codifica: stringa.
  • Esempio: \Program Files\Custom Utilities\Test.exe

File.md5

  • Scopo: valore hash MD5 per il file.
  • Codifica: stringa, esadecimale minuscola.
  • Esempio: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Scopo: tipo MIME (Multipurpose Internet Mail Extensions) per il file.
  • Codifica: stringa.
  • Esempi:
    • PE
    • PDF
    • script powershell

File.sha1

  • Scopo: valore hash SHA-1 per il file.
  • Codifica: stringa, esadecimale minuscola.
  • Esempio: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

  • Scopo: valore hash SHA-256 per il file.
  • Codifica: stringa, esadecimale minuscola.
  • Esempio:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

  • Scopo: dimensioni del file.
  • Codifica: numero intero senza firma a 64 bit.
  • Esempio: 342135.

Popolazione di metadati FTP

Comando Ftp.

  • Finalità: archivia il comando FTP.
  • Codifica: stringa.
  • Esempi:
    • binario
    • elimina
    • get
    • put

Popolazione dei metadati di un gruppo

Informazioni su un gruppo organizzativo.

Gruppo.tempo_di_creazione

  • Finalità:data di creazione del gruppo.
  • Codifica: RFC 3339, a seconda del formato timestamp JSON o Proto3.

Group.email_addresses

  • Obiettivo:informazioni di contatto per il gruppo.
  • Codifica: email.

Gruppo.nome_visualizzazione_di_gruppo

  • Scopo: nome visualizzato del gruppo.
  • Codifica: stringa.
  • Esempi:
    • Finanza
    • RU
    • Marketing

Gruppo.id_oggetto_prodotto

  • Scopo: identificatore dell'oggetto utente univoco globale per il prodotto, ad esempio un identificatore oggetto LDAP.
  • Codifica: stringa.

Gruppo.windows_sid

  • Scopo: campo dell'attributo del gruppo di identificatori di sicurezza di Microsoft Windows (SID).
  • Codifica: stringa.

Popolazione di metadati HTTP

Http.metodo

  • Finalità: archivia il metodo di richiesta HTTP.
  • Codifica: stringa.
  • Esempi:
    • GET
    • HEAD
    • POST

Http.referral_url

  • Finalità: memorizza l'URL per il referrer HTTP.
  • Codifica: URL RFC 3986 valido.
  • Esempio: https://www.altostrat.com

Http.response_code

  • Finalità: archivia il codice di stato della risposta HTTP, che indica se una richiesta HTTP specifica è stata completata correttamente.
  • Codifica: numero intero a 32 bit.
  • Esempi:
    • 400
    • 404

Http.useragent

  • Finalità: archivia l'intestazione della richiesta User-Agent che include il tipo di applicazione, il sistema operativo, il fornitore del software o la versione software dello user agent del software richiedente.
  • Codifica: stringa.
  • Esempi:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, come Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

Popolazione di metadati di località

Località.città

  • Finalità: archivia il nome della città.
  • Codifica: stringa.
  • Esempi:
    • Soleggiato
    • Chicago
    • Malaga

Località.paese_o_area geografica

  • Finalità: memorizza il nome del paese o dell'area geografica del mondo.
  • Codifica: stringa.
  • Esempi:
    • Stati Uniti
    • Regno Unito
    • Spagna

Percorso.nome

  • Finalità: archivia il nome specifico dell'azienda, ad esempio un edificio o un campus.
  • Codifica: stringa.
  • Esempi:
    • Campus 7B
    • Edificio A2

Località.stato

  • Finalità: archivia il nome dello stato, della provincia o del territorio.
  • Codifica: stringa.
  • Esempi:
    • California
    • Illinois
    • Ontario

Popolazione di metadati di rete

Network.application_protocol

  • Scopo: indica il protocollo delle applicazioni di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • PROTOCOLLO_APPLICAZIONE SCONOSCIUTO
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Network.direction

  • Finalità: indica la direzione del traffico di rete.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • UNKNOWN_DIRECTION
    • IN ENTRATA
    • IN OUT
    • TRASMISSIONE

Email.rete

  • Finalità: specifica l'indirizzo email del mittente/destinatario.
  • Codifica: stringa.
  • Esempio: jcheng@company.example.com

Network.ip_protocol

  • Finalità: indica il protocollo IP.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • SCONOSCIUTO_IP_PROTOCOL
    • EIGRP: protocollo di routing del gateway interno migliorato
    • ESP - Incapsulamento del payload di sicurezza
    • ETHERIP: incapsulamento Ethernet all'interno degli IP
    • GRE: incapsulamento del routing generico
    • ICMP: protocollo di controllo di Internet
    • IGMP: Internet Group Management Protocol
    • IP6IN4: incapsulamento IPv6
    • PIM: multicast indipendente da protocollo
    • TCP: protocollo di controllo della trasmissione
    • UDP: User Datagram Protocol
    • VRRP: protocollo router ridondante virtuale

Network.Durata ricezione_byte

  • Finalità: specifica il numero di byte ricevuti.
  • Codifica: numero intero senza firma a 64 bit.
  • Esempio: 12,453,654,768

Rete.sent_byte

  • Finalità: specifica il numero di byte inviati.
  • Codifica: numero intero senza firma a 64 bit.
  • Esempio: 7.654.876

Network.session_duration

  • Finalità: archivia la durata della sessione di rete, generalmente restituita in un evento di rilascio per la sessione. Per impostare la durata puoi impostare network.session_duration.seconds = 1 (digita int64) o network.session_duration.nanos = 1 (digita int32).
  • Codifica:
    • Numero intero a 32 bit: per secondi (network.session_duration.seconds).
    • Numero intero a 64 bit: per nanosecondi (network.session_duration.nanos).

Network.session_id

  • Scopo: memorizza l'identificatore della sessione di rete.
  • Codifica: stringa.
  • Esempio: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Popolazione dei metadati del processo

Elabora.riga_comandi

  • Finalità: archivia la stringa della riga di comando per il processo.
  • Codifica: stringa.
  • Esempio: gruppo c:\windows\system32\net.exe

Process_product_specific_process_id

  • Scopo: archivia l'ID di processo specifico del prodotto.
  • Codifica: stringa.

Process.parent_process.product_specific_process_id

  • Finalità: archivia l'ID di processo specifico del prodotto per il processo principale,
  • Codifica: stringa.

Elabora.file

  • Finalità: memorizza il nome del file utilizzato dal processo.
  • Codifica: stringa.
  • Esempio: report.xls

Processo.principale_processo

  • Finalità: archivia i dettagli del processo principale.
  • Codifica: nome (processo)

Processo.pid

  • Finalità: memorizza l'ID processo.
  • Codifica: stringa.
  • Esempi:
    • 308
    • 2002

Popolazione dei metadati del Registro di sistema

Registry.registry_key

  • Scopo: archivia la chiave del Registro di sistema associata a un'applicazione o a un componente del sistema.
  • Codifica: stringa.
  • Esempio: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

  • Finalità:archivia il nome del valore del Registro di sistema associato a un'applicazione o un componente del sistema.
  • Codifica: stringa.
  • Esempio: TEMP

Registry.registry_value_data

  • Finalità: archivia i dati associati a un valore del Registro di sistema.
  • Codifica: stringa.
  • Esempio: %USERPROFILE%\Impostazioni locali\Temp

Popolazione di metadati dei risultati di sicurezza

I metadati dei risultati di sicurezza includono dettagli sui rischi e sulle minacce alla sicurezza che sono stati rilevati da un sistema di sicurezza, nonché le azioni intraprese per mitigare tali rischi.

SecurityResult.about

  • Scopo: fornisci una descrizione del risultato sulla sicurezza.
  • Codifica: nome.

SecurityResult.action

  • Obiettivo:specificare un'azione di sicurezza.
  • Codifica: tipo enumerato.
  • Possibili valori: Chronicle UDM definisce le seguenti azioni di sicurezza:
    • CONSENTI
    • ALLOW_WITH_MODIFICATION: il file o l'email sono stati disinfettati o riscritti e comunque inoltrati.
    • BLOCCA
    • QUARANTENA: archivia per analisi successive (non significa blocco).
    • UNKNOWN_ACTION (AZIONE SCONOSCIUTA)

SecurityResult.action_details

  • Scopo: dettagli forniti dal fornitore dell'azione intrapresa a seguito dell'incidente di sicurezza. Le azioni di sicurezza spesso si traducono meglio nel campo UDM Security_Result.action più generico. Tuttavia, potrebbe essere necessario scrivere le regole per la descrizione esatta dell'azione fornita dal fornitore.
  • Codifica: stringa.
  • Esempi: rilascio, blocco, decriptazione e crittografia.

SecurityResult.category

  • Obiettivo:specificare una categoria di sicurezza.
  • Codifica: enumerazione.
  • Valori possibili: Chronicle UDM definisce le seguenti categorie di sicurezza:
    • ACL_VIOLATION: tentativo di accesso non autorizzato, inclusi tentativi di accesso a file, servizi web, processi, oggetti web e così via.
    • AUTH_VIOLATION: autenticazione non riuscita, ad esempio una password errata o un'autenticazione a due fattori errata.
    • DATA_AT_REST: DLP: dati dei sensori inattivi durante una scansione.
    • DATA_DESTRUCTION: tentativo di eliminazione/eliminazione dei dati.
    • DATA_EXFILTRATION: DLP: trasmissione dati dei sensori, copia sull'unità USB.
    • EXPLOIT: overflow tentati, codifiche di protocollo errate, ROP, SQL injection ecc., sia basate su rete che basate su host.
    • MAIL_PHISHING: email di phishing, messaggi di chat ecc.
    • MAIL_SPAM: email di spam, messaggio e così via.
    • MAIL_SPOOFING: indirizzo email di origine falsificato e così via.
    • CONTENUTI_CATEGORATI_RETE
    • NETWORK_COMMAND_AND_CONTROL: se il canale di comando e controllo è noto.
    • RETE_DI_SERVIZIO_RETE
    • NETWORK_MALICIOUS: comando e controllo, sfruttamento della rete, attività sospetta, potenziale tunnel inverso e così via
    • NETWORK_SUSPICIOUS: non correlata alla sicurezza, ad esempio l'URL collegato a giochi e scommesse e così via.
    • NETWORK_RECON: scansione delle porte rilevata da un IDS, sperimentata da un'applicazione web.
    • POLICY_VIOLATION: violazione delle norme di sicurezza, incluse violazioni delle regole firewall, proxy e HIPS o azioni di blocco NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkit e così via.
    • SOFTWARE_PUA: app potenzialmente indesiderata, come adware e così via.
    • SOFTWARE_SUSPICIOUS
    • CATEGORIA SCONOSCIUTA

SecurityResult.confidence

  • Scopo: specifica una stima relativa a un evento di sicurezza come previsto dal prodotto.
  • Codifica: enumerazione.
  • Possibili valori: Chronicle UDM definisce le seguenti categorie di confidenza del prodotto:
    • SCONOSCIUTA_SCONOSCIUTA
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • ALTA_CONFIDENZA

SecurityResult.confidence_details

  • Finalità: dettagli aggiuntivi relativi all'affidabilità di un evento di sicurezza, secondo le stime del fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.Priority

  • Scopo: specifica una priorità per un evento di sicurezza, secondo le stime del fornitore del prodotto.
  • Codifica: enumerazione.
  • Possibili valori: Chronicle UDM definisce le seguenti categorie di priorità dei prodotti:
    • PRINCIPALI_SCONOSCIUTE
    • LOW_PRIORITY
    • PRIORIT_MEDIUM
    • ALTA_PRIORIT

SecurityResult.Priority_details

  • Scopo: informazioni specifiche del fornitore sulla priorità del risultato di sicurezza.
  • Codifica: stringa.

SecurityResult.rule_id

  • Scopo: identificatore della regola di sicurezza.
  • Codifica: stringa.
  • Esempi:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Scopo: nome della regola di sicurezza.
  • Codifica: stringa.
  • Esempio: BlockInboundToOracle.

SecurityResult.severity

  • Scopo: gravità di un evento di sicurezza, come stimato dal fornitore del prodotto, utilizzando i valori definiti da Chronicle UDM.
  • Codifica: enumerazione.
  • Valori possibili: Chronicle UDM definisce le seguenti gravità dei prodotti:
    • UNKNOWN_SEVERITY - Non dannoso
    • INFORMAZIONI: non dannose
    • ERRORE: non dannoso
    • LOW: dannoso
    • Medio: dannoso
    • ALTRO: dannoso

SecurityResult.severity_details

  • Scopo: gravità per un evento di sicurezza, come stimato dal fornitore del prodotto.
  • Codifica: stringa.

SecurityResult.threat_name

  • Scopo: nome della minaccia alla sicurezza.
  • Codifica: stringa.
  • Esempi:
    • W32/File-A
    • Slammer

SicurezzaRisultato.url_back_to_product

  • Scopo: URL che indirizza alla console del prodotto di origine per questo evento di sicurezza.
  • Codifica: stringa.

Popolazione di metadati utente

User.email_addresses

  • Finalità: memorizza gli indirizzi email dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: marcorossi@azienda.example.com

ID.utente_utente

  • Finalità: archivia l'ID dipendente delle risorse umane per l'utente.
  • Codifica: stringa.
  • Esempio: 11223344.

Nome.utente

  • Finalità: archivia il nome dell'utente.
  • Codifica: stringa.
  • Esempio: Mario.

Nome.medio.utente

  • Finalità: archivia il secondo nome dell'utente.
  • Codifica: stringa.
  • Esempio: Anthony.

Nome.cognome.utente

  • Finalità: archivia il cognome dell'utente.
  • Codifica: stringa.
  • Esempio: Locke.

User.group_identifiers

  • Finalità: archivia gli ID gruppo (ID GUID, OID LDAP o simili) associati a un utente.
  • Codifica: stringa ripetuta.
  • Esempio: admin-users.

User.phone_numbers

  • Finalità: memorizza i numeri di telefono dell'utente.
  • Codifica: stringa ripetuta.
  • Esempio: 800-555-0101

Utente.title

  • Finalità: archivia la qualifica per l'utente.
  • Codifica: stringa.
  • Esempio: Gestione rapporti con i clienti.

Utente.nome_display_utente

  • Finalità: memorizza il nome visualizzato dell'utente.
  • Codifica: stringa.
  • Esempio: John Locke.

User.id utente

  • Finalità: memorizza l'ID utente.
  • Codifica: stringa.
  • Esempio: jlocke.

Utente.windows_sid

  • Finalità: archivia l'identificatore di sicurezza di Microsoft Windows (SID) associato a un utente.
  • Codifica: stringa.
  • Esempio: S-1-5-21-1180649209-123456789-3582944384-1064

Popolazione di metadati di vulnerabilità

Vulnerabilità.informazioni

  • Scopo: se la vulnerabilità riguarda un nome specifico (ad esempio eseguibile), aggiungila qui.
  • Codifica: nome. Vedi Metadati dei nomi dei metadati
  • Esempio: eseguibile.

Vulnerability.cvss_base_score

  • Scopo: punteggio di base per il Common Vulnerability Scoring System (CVSS).
  • Codifica: in virgola mobile.
  • Intervallo: da 0,0 a 10,0
  • Esempio: 8.5

Vulnerability.cvss_Vector

  • Scopo: vettore delle proprietà CVSS della vulnerabilità. Il punteggio CVSS è costituito dalle seguenti metriche:

    • Vettore attacco (AV)
    • Complessità di accesso (AC)
    • Autenticazione (Au)
    • Impatto della riservatezza (C)
    • Impatto dell'integrità (I)
    • Impatto sulla disponibilità (A)

    Per ulteriori informazioni, visita la pagina https://nvd.nist.gov/vuln-metrics/cvss/v2-Calcolatore?Vector=VALUE.

  • Codifica: stringa.

  • Esempio: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Scopo: versione CVSS del punteggio di vulnerabilità o vettore.
  • Codifica: stringa.
  • Esempio: 3.1

Vulnerability.description

  • Scopo: descrizione della vulnerabilità.
  • Codifica: stringa.

Vulnerabilità.primo_trovato

  • Scopo: i prodotti che conservano una cronologia di analisi delle vulnerabilità devono completarsi per la prima volta quando viene rilevata la vulnerabilità per questo asset.
  • Codifica: stringa.

Vulnerabilità.ultimo_trovato

  • Scopo: i prodotti che mantengono una cronologia di analisi delle vulnerabilità devono completarsi per l'ultima volta che si è verificata la vulnerabilità per questo asset.
  • Codifica: stringa.

Vulnerability.name

  • Scopo: nome della vulnerabilità.
  • Codifica: stringa.
  • Esempio: è stata rilevata una versione del sistema operativo non supportata.

Vulnerability.scan_end_time

  • Scopo: se la vulnerabilità è stata rilevata durante una scansione degli asset, questo campo viene compilato con l'ora di fine della scansione. Lascia vuoto questo campo se l'ora di fine non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerability.scan_start_time

  • Obiettivo: se la vulnerabilità è stata rilevata durante una scansione degli asset, compila questo campo con l'ora in cui è iniziata la scansione. Lascia vuoto questo campo se l'ora di inizio non è disponibile o non è applicabile.
  • Codifica: stringa.

Vulnerabilità.gravità

  • Scopo: gravità della vulnerabilità.
  • Codifica: tipo enumerato.
  • Valori possibili:
    • VERIFICA_SCONOSCIUTA
    • BASSO
    • MEDIO
    • ALTO

Vulnerability.severity_details

  • Finalità:dettagli sulla gravità specifici dei fornitori.
  • Codifica: stringa.

Popolazione di metadati di avviso

idm.is_significant

  • Scopo: specifica se visualizzare l'avviso in Enterprise Insights.
  • Codifica: booleana

idm.is_alert

  • Scopo: indica se l'evento è un avviso.
  • Codifica: booleana

Campi obbligatori e facoltativi in base al tipo di evento

Questa sezione descrive i campi obbligatori e facoltativi da compilare a seconda del tipo di evento UDM. Per una descrizione di questi campi, consulta l'elenco dei campi del modello dei dati unificati.

EMAIL_TRANSACTION

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • main: completa le informazioni sulla macchina da cui ha avuto origine il messaggio email. ad esempio l'indirizzo IP del mittente.

Campi facoltativi:

  • about: URL, IP, domini ed eventuali file allegati incorporati nel corpo dell'email.
  • securityResult.about: URL, IP e file non validi incorporati nel corpo dell'email.
  • network.email: informazioni sul mittente/destinatario dell'email.
  • Entità: se esistono dati dei computer client su chi ha inviato l'email, compila i dettagli del server nell'entità (ad esempio, il processo client, i numeri di porta, il nome utente e così via).
  • target: se sono presenti dati del server email di destinazione, inserisci i dettagli del server di destinazione (ad esempio, l'indirizzo IP).
  • intermediario: se sono presenti dati del server di posta o di proxy proxy, inserisci i dettagli del server nell'intermediario.

Note:

  • Non completare mai main.email o target.email.
  • Compila il campo Email solo in security_result.about o network.email.
  • In genere, i risultati di sicurezza di livello superiore includono un sostantivo impostato (facoltativo per lo spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • entità:
    • Almeno un identificatore di macchine.
    • (Facoltativo) Completa la risorsa Principal.process con informazioni sul processo di accesso al file.
  • target:
    • Se il file è remoto (ad esempio, la condivisione SMB), la destinazione deve includere almeno un identificatore della macchina, altrimenti tutti gli identificatori di macchine devono essere vuoti.
    • Completa il file target.file con le informazioni sul file.

Optional:

  • security_result: descrive l'attività dannosa rilevata.
  • main.user: completa se le informazioni sull'utente sono disponibili sul processo.

COPIA_FILE

Campi obbligatori:

  • metadata: includi i campi obbligatori come descritto.
  • entità:
    • Almeno un identificatore di macchine.
    • (Facoltativo) Completa main.process con le informazioni sul processo che esegue l'operazione di copia del file.
  • src:
    • Compila src.file con le informazioni sul file di origine.
    • Se il file è remoto (ad esempio, la condivisione SMB), src deve includere almeno un identificatore della macchina per l'archiviazione del file di origine.
  • target:
    • Completa il file target.file con le informazioni relative al file di destinazione.
    • Se il file è remoto (ad esempio, la condivisione SMB), il campo target deve includere almeno un identificatore della macchina di destinazione che contenga il file di destinazione.

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
  • main.user: completa se le informazioni sull'utente sono disponibili sul processo.

CREAZIONE_MUTEX

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • entità:
    • Almeno un identificatore di macchine.
    • Compila le entità Principal.Process con informazioni sul processo di creazione della disattivazione.
  • target:
    • Completa target.resource.
    • Completa target.resource.type con MUTEX.
    • Completa target.resource.name con il nome della disattivazione.

Optional:

  • security_result: descrive l'attività dannosa rilevata.
  • main.user: completa se le informazioni sull'utente sono disponibili sul processo.
Esempio di UDM per MUTEX_CREATION

L'esempio seguente illustra come verrebbe formattato un evento di tipo MUTEX_CREATION per l'UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • Entità: dettagli del dispositivo e della procedura.
  • target: informazioni sulla disattivazione.

NETWORK_CONNECTION

Campi obbligatori:

  • metadata: event_timestamp
  • Principal: includi dettagli sulla macchina che ha avviato la connessione di rete (ad esempio l'origine).
  • target: includi dettagli sulla macchina di destinazione, se diverso dalla macchina principale.
  • network: acquisisce dettagli sulla connessione di rete (porte, protocollo, ecc.).

Campi facoltativi:

  • main.process e target.process: includono informazioni di processo associate all'entità e alla destinazione della connessione di rete (se disponibili).
  • main.user e target.user: includono informazioni sull'utente associate all'entità e al target della connessione di rete (se disponibili).

HTTP_RETE

Il tipo di evento NETWORK_HTTP rappresenta una connessione di rete HTTP da un'entità a un server web di destinazione.

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • main: rappresenta il client che avvia la richiesta web e include almeno un identificatore della macchina (ad esempio, nome host, IP, MAC, identificatore della risorsa proprietario) o un identificatore dell'utente (ad esempio, il nome utente). Se viene descritta una connessione di rete specifica ed è disponibile un numero di porta client, è necessario specificare un solo indirizzo IP insieme al numero di porta associato a tale connessione (anche se potrebbero essere forniti altri identificatori della macchina per descrivere meglio il dispositivo del partecipante). Se non è disponibile una porta di origine, è possibile specificare tutti gli indirizzi IP e MAC, gli identificatori di asset e i valori del nome host che descrivono il dispositivo principale.
  • target: rappresenta il server web, include le informazioni del dispositivo e, facoltativamente, un numero di porta. Se è disponibile un numero di porta di destinazione, specifica un solo indirizzo IP oltre al numero di porta associato alla connessione di rete (anche se potrebbero essere forniti più identificatori di macchina per la destinazione). Per target.url, completa con l'URL a cui è stato eseguito l'accesso.
  • network e network.http: includono dettagli sulla connessione di rete HTTP. Devi completare i seguenti campi:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campi facoltativi:

  • about: rappresenta altre entità presenti nella transazione HTTP (ad esempio, un file caricato o scaricato).
  • intermediary: rappresenta un server proxy (se diverso dall'entità o dalla destinazione).
  • metadata: compila gli altri campi dei metadati.
  • network: compila altri campi di rete.
  • network.email: se la connessione di rete HTTP ha avuto origine da un URL visualizzato in un messaggio email, completa questo campo con i dettagli.
  • observer: rappresenta uno storyboard passivo (se presente).
  • security_result: aggiungi uno o più elementi al campo security_result per rappresentare le attività dannose rilevate.
Esempio di UDM per NETWORK_HTTP

L'esempio seguente illustra come un evento antivirus di Sophos di tipo NETWORK_HTTP verrà convertito nel formato UDM di Chronicle.

Di seguito è riportato l'evento antivirus di Sophos originale:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Ecco come formattare le stesse informazioni in Proto3 utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dispositivo di sicurezza che ha rilevato l'evento.
  • target: dispositivo su cui è stato ricevuto il software dannoso.
  • network: informazioni di rete sull'host dannoso.
  • security_result: dettagli sulla sicurezza del software dannoso.
  • additional: informazioni del fornitore al di fuori dell'ambito dell'UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • entità:
    • Almeno un identificatore di macchine.
    • Per gli eventi di inserimento di processi e di chiusura dei processi, se disponibili, main.process deve includere informazioni sul processo che avvia l'azione (ad esempio, per un evento di avvio del processo, main.process deve includere dettagli sul processo padre, se disponibile).
  • target:
    • target.process: include informazioni sul processo da inserire, aprire, lanciare o terminare.
    • Se il processo di destinazione è remoto, la destinazione deve includere almeno un identificatore di macchina per il computer di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore di asset di terze parti).

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
  • main.user e target.user: completa il processo di avvio (principale) e il processo di destinazione se sono disponibili le informazioni sull'utente.
Esempio di UDM per PROCESS_LAUNCH

L'esempio seguente illustra come formattare un evento PROCESS_LAUNCH utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • Principal: dettagli del dispositivo.
  • target: Dettagli della procedura.

LOAD_MODULE_LOAD

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • entità:
    • Almeno un identificatore di macchine.
    • Principal.process: processo di caricamento del modulo.
  • target:
    • target.process: include informazioni sul processo.
    • target.process.file: modulo caricato, ad esempio la DLL o l'oggetto condiviso.

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
  • main.user: completa se le informazioni sull'utente sono disponibili sul processo.
Esempio di UDM per PROCESS_MODULE_LOAD

L'esempio seguente mostra come formattare un evento PROCESS_MODULE_LOAD utilizzando la sintassi Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • Principal: dettagli sul dispositivo e sulla procedura di caricamento del modulo.
  • target: dettagli processo e modulo.

PROCESSO_PRIVILE_ESCALAZIONE

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • entità:
    • Almeno un identificatore di macchine.
    • Principal.process: processo di caricamento del modulo.
    • Principal.user: utente che carica il modulo.

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
Esempio UDM per PROCESS_PRIVILEGE_ESCALATION

L'esempio seguente illustra come formattare un evento PROCESS_PRIVILEGE_ESCALATION utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • Principal: dettagli sul dispositivo, sull'utente e sul processo di caricamento del modulo.
  • target: dettagli processo e modulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • entità:
    • Almeno un identificatore di macchine.
    • Se un processo basato sulla modalità utente esegue la modifica del Registro di sistema, main.process deve includere informazioni sulla procedura.
    • Se un processo del kernel esegue la modifica del Registro di sistema, l'entità non deve includere informazioni sul processo.
  • target:
    • target.registry: se il registro di destinazione è remoto, la destinazione deve includere almeno un identificatore per la macchina di destinazione (ad esempio, un indirizzo IP, MAC, nome host o identificatore di asset di terze parti).
    • target.registry.registry_key: tutti gli eventi del Registro di sistema devono includere la chiave del Registro di sistema interessata.

Optional:

  • security_result: descrive l'attività dannosa rilevata. Ad esempio, una chiave del Registro di sistema non valida.
  • main.user: da compilare se sono disponibili informazioni sull'utente sul processo.
Esempio di UDM per REGISTRY_MODIFICATION

L'esempio seguente illustra come formattare un evento REGISTRY_MODIFICATION in Proto3 utilizzando la sintassi UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dispositivo, utente e dettagli del processo.
  • target: voce di registro interessata dalla modifica.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campi obbligatori:

  • extensions: per SCAN_VULN_HOST e SCAN_VULN_NETWORK, definisci la vulnerabilità utilizzando il campo extensions.vuln.
  • metadata: event_timestamp
  • observer: acquisisce informazioni sullo scanner stesso. Se lo scanner è remoto, i dettagli della macchina devono essere acquisiti dal campo dell'osservatore. Per uno scanner locale, lascia vuoto.
  • target: acquisisce informazioni sulla macchina contenente l'oggetto da sottoporre a scansione. Se un file è in fase di scansione, target.file deve acquisire informazioni sul file sottoposto a scansione. Se un processo è in fase di scansione, target.process deve acquisire informazioni sul processo scansionato.

Campi facoltativi:

  • target: i dettagli dell'utente relativi all'oggetto di destinazione (ad esempio l'autore del file o il proprietario del processo) devono essere acquisiti in target.user.
  • security_result: descrive l'attività dannosa rilevata.
Esempio di UDM per SCAN_HOST

L'esempio seguente illustra come verrebbe formattato un evento di tipo SCAN_HOST per l'UDM di Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200".200
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • target: dispositivo su cui è stato ricevuto il software dannoso.
  • Osservatore: dispositivo che osserva e segnala l'evento in questione.
  • security_result: dettagli sulla sicurezza del software dannoso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campi obbligatori:

  • entità: per tutti gli eventi SCHEDULED_TASK, l'entità deve includere un identificatore della macchina e un identificatore utente.
  • target: la destinazione deve includere una risorsa valida e un tipo di risorsa definito come "TASK".

Campi facoltativi:

  • security_result: descrive l'attività dannosa rilevata.
Esempio di UDM per SCHEDULED_TASK_CREATION

L'esempio seguente illustra come potrebbe essere formattato un evento di tipo SCHEDULED_TASK_CREATION per l'UDM di Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dispositivo che ha pianificato l'attività sospetta.
  • target: software scelto come target dall'attività sospetta.
  • intermediari: intermediario coinvolto dell'attività sospetta.
  • security_result: dettagli sulla sicurezza dell'attività sospetta.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • main: almeno un identificatore di macchina (IP o ADDRESS MAC, nome host o identificatore della risorsa).
Esempio di UDM per STATUS_HEARTBEAT

L'esempio seguente illustra come verrebbe formattato un evento di tipo STATUS_HEARTBEAT per la Chronicle UDM:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • Entità: dettagli del dispositivo e della località.
  • intermediari: indirizzo IP dispositivo.
  • security_result: dettagli sui risultati di sicurezza.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campi obbligatori:

  • entità: includi un identificatore utente per l'utente che ha eseguito l'operazione sul log e un identificatore della macchina in cui è archiviato il log (nel caso di cancellazione dei dati).
Esempio di UDM per SYSTEM_AUDIT_LOG_WIPE

L'esempio seguente illustra come verrebbe formattato un evento di tipo SYSTEM_AUDIT_LOG_WIPE per l'UDM di Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Come mostrato in questo esempio, l'evento è stato suddiviso nelle seguenti categorie UDM:

  • metadata: informazioni di base sull'evento.
  • entità: dettagli dispositivo e utente.

USER_LOGIN, USER_LOGOUT, USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campi obbligatori:

  • metadata. Includi i campi obbligatori.
  • main: completa le informazioni sulla macchina da cui ha eseguito l'accesso. Per un accesso remoto, l'entità deve anche includere almeno un identificatore della macchina che identifichi la macchina da cui ha eseguito l'accesso.
  • destinazione: per l'accesso diretto da computer a macchina, VPN, Cloud Service e SSO, il target deve includere informazioni sull'applicazione di destinazione, sulla macchina di destinazione o sul server VPN di destinazione.
  • intermediario: per gli accessi SSO, l'intermediario deve includere almeno un identificatore della macchina per il server SSO, se disponibile.
  • network e network.http: se l'accesso avviene tramite HTTP, devi inserire tutti i dettagli disponibili in network.ip_protocol, network.application_protocol e network.http.
  • Estensione autenticazione: deve identificare il tipo di sistema di autenticazione a cui è correlato l'evento (ad esempio, macchina, SSO o VPN) e il meccanismo utilizzato (nome utente e password, OTP e così via).
  • security_result: aggiungi un campo security_result per rappresentare lo stato dell'accesso se non viene superato. Specifica security_result.category con il valore AUTH_VIOLATION se l'autenticazione non riesce.

USER_COMMUNICATION

Campi obbligatori:

  • main: compila il campo main.user con i dettagli associati alla comunicazione avviata dall'utente (mittente), ad esempio un messaggio di chat in Google Chat o Slack, una videoconferenza o una conferenza vocale in Zoom o Google Meet oppure una connessione VoIP.

Campi facoltativi:

  • target: (consigliato) Compila il campo target.user con le informazioni sull'utente di destinazione (destinatario) della risorsa di comunicazione cloud. Compila il campo target.application con le informazioni sull'applicazione di comunicazione cloud di destinazione.

USER_CREATION, USER_DELETION

Campi obbligatori:

  • metadata: event_timestamp
  • entità: include informazioni sulla macchina da cui la richiesta di creazione o eliminazione dell'utente ha avuto origine. Per la creazione o l'eliminazione di utenti locali, l'entità deve includere almeno un identificatore della macchina di origine.
  • target: località in cui viene creato l'utente. Devi includere anche informazioni sull'utente (ad esempio, target.user).

Campi facoltativi:

  • main: dettagli utente ed elaborazione della macchina in cui è stata avviata la richiesta di creazione o eliminazione dell'utente.
  • target: informazioni sulla macchina di destinazione (se diverse dalla macchina principale).

ACCESSO_RESOURCE_UTENTE

Campi obbligatori:

  • main: compila il campo main.user con i dettagli sui tentativi di accesso a una risorsa cloud, ad esempio una richiesta di assistenza Salesforce, il calendario di Office365, il documento Google o il ticket ServiceNow.
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campi obbligatori:

  • main: compila il campo main.user con i dettagli associati all'utente creato all'interno di una risorsa cloud, ad esempio un caso Salesforce, un calendario di Office365, un documento Google o un ticket di ServiceNow.
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_CONTENT

Campi obbligatori:

  • main: compila il campo main.user con i dettagli associati all'utente il cui contenuto è stato aggiornato all'interno di una risorsa cloud, ad esempio un caso Salesforce, un calendario di Office365, un documento Google o un ticket di ServiceNow.
  • target:compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

USER_RESOURCE_UPDATE_PERMISSIONS

Campi obbligatori:

  • main: compila il campo main.user con i dettagli associati all'utente le cui autorizzazioni sono state aggiornate all'interno di una risorsa cloud, ad esempio un caso Salesforce, un calendario di Office365, un documento Google o un ticket ServiceNow.
  • target: compila il campo target.resource con le informazioni sulla risorsa cloud di destinazione.

Campi facoltativi:

  • target.application: (consigliato) compila il campo target.application con le informazioni sull'applicazione cloud di destinazione.

UNCATEGORizzato

Campi obbligatori:

  • metadata: event_timestamp
  • entità: include informazioni sulla macchina da cui la richiesta di creazione o eliminazione dell'utente ha avuto origine. Per la creazione o l'eliminazione di utenti locali, l'entità deve includere almeno un identificatore della macchina di origine.
  • target: località in cui viene creato l'utente. Devi includere anche informazioni sull'utente (ad esempio, target.user).

Campi facoltativi:

  • main: dettagli utente ed elaborazione della macchina in cui è stata avviata la richiesta di creazione o eliminazione dell'utente.
  • target: informazioni sulla macchina di destinazione (se diverse dalla macchina principale).