Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Guia de uso de um modelo de dados unificado

Neste documento, você verá uma descrição mais detalhada dos campos do esquema do Modelo de dados unificado (UDM, na sigla em inglês) e dos campos obrigatórios e opcionais, dependendo do tipo de evento. Para a avaliação do mecanismo de regras, o prefixo começa com udm., enquanto o prefixo do normalizador baseado em configuração (CBN, na sigla em inglês) começa com event.idm.read_only_udm.

Preenchimento de metadados do evento

A seção de metadados dos eventos UDM armazena informações gerais sobre cada evento.

Metadata.event_type

  • Finalidade:especifica o tipo do evento. Se um evento tiver vários tipos possíveis, esse valor precisará especificar o tipo mais específico.
  • Obrigatório:sim
  • Codificação:precisa ser um dos tipos enumerados de UDM event_type predefinidos.
  • Valores possíveis: a seguir, lista todos os valores possíveis para event_type no UDM.

Eventos por e-mail:

  • EMAIL_TRANSAÇÃO
  • EMAIL_UNCATEGORIZED

Eventos de arquivo realizados em um endpoint:

  • FILE_UNCATEGORIZED
  • ARQUIVO_DE_CRIAÇÃO
  • FILE_DELETION
  • ARQUIVO_MODIFICAÇÃO
  • FILE_READ (por exemplo, leitura de um arquivo de senha)
  • FILE_COPY (por exemplo, copiar um arquivo para um pen drive)
  • FILE_OPEN (por exemplo, abrir um arquivo pode indicar uma violação de segurança)

Eventos que não se enquadram em nenhuma outra categoria, incluindo eventos do Windows sem classificação.

  • EVENTO GERAL

Eventos silentx (objeto de exclusão mútua):

  • MUTEX_UNCATEGORIZED
  • MUTEX_CREATION

Telemetria de rede, incluindo payloads de protocolo brutos, como DHCP e DNS, além de resumos de protocolo para protocolos como HTTP, SMTP e FTP e eventos de fluxo e conexão do Netflow e firewalls

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (por exemplo, estatísticas de fluxo agregadas do Netflow)
  • NETWORK_CONNECTION (por exemplo, detalhes da conexão de rede provenientes de um firewall)
  • NETWORK_FTP
  • NETWORK_DHCP
  • DNS_NETWORK
  • HTTP_NETWORK
  • SMTP_DE_REDE

Todos os eventos relacionados a um processo, como a abertura de um processo, a criação de algo malicioso, a injeção de outro processo, a mudança de uma chave de registro, a criação de um arquivo malicioso em disco etc.

  • PROCESS_INJECTION
  • PROCESSO DE LANÇAMENTO
  • PROCESS_LOAD_MODULE_LOAD
  • PROCESSO_ABERTO
  • PROCESSO_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Use os eventos REGISTRY em vez de Setting ao lidar com eventos de registro específicos do Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventos orientados a verificação. Inclui verificações sob demanda e detecções comportamentais realizadas por produtos de segurança de endpoints (EDR, AV, DLP). Usado apenas ao anexar um SecurityResult a outro tipo de evento (como PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • ARQUIVO SCAN_
  • SCAN_HOST
  • PROCESSO DE SCAN_
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tarefas programadas (Windows Task Scheduler, cron etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • PROGRAMD_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de serviço:

  • SERVICE_UNSPECIFIED
  • CREAÇÃO DE SERVIÇO
  • SERVICE_DELETION
  • SERVICE_START
  • SERVIÇO_DE_SERVIÇO

Definir eventos, inclusive quando uma configuração do sistema é alterada em um endpoint. Veja como definir os requisitos dos eventos aqui.

  • Setting_UNCATEGORIZED
  • CONFIGURAÇÃO_CREAÇÃO
  • Setting_MODIFICATION
  • Setting_DELETION

Mensagens de status de produtos de segurança para indicar que os agentes estão ativos e enviar a versão, a impressão digital ou outros tipos de dados.

  • STATUS_UNCATEGORIZED
  • STATUS_HEARTBEAT (indica que o produto está ativo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (atualização de software ou impressão digital)

Eventos de registro de auditoria do sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_Wipe

Eventos de atividade de autenticação do usuário:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (por exemplo, quando um usuário entra fisicamente em um site)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • CRIAÇÃO_DE_USUÁRIOS
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Objetivo:codifica o carimbo de data/hora GMT quando o evento foi coletado pela infraestrutura de coleta local do fornecedor.
  • Codificação: RFC 3339, conforme apropriado para o formato de carimbo de data/hora JSON ou Proto3.
  • Exemplo:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Formato Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Objetivo:codifica o carimbo de data/hora GMT quando o evento foi gerado.
  • Obrigatório:sim
  • Codificação: RFC 3339, conforme apropriado para o formato de carimbo de data/hora JSON ou Proto3.
  • Exemplo:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

  • Objetivo:descrição legível do evento.
  • Codificação: string alfanumérica, pontuação permitida, no máximo 1.024 bytes
  • Exemplo: o arquivo c:\bar\foo.exe foi impedido de acessar o documento confidencial c:\documents\earnings.docx.

Metadata.product_event_type

  • Finalidade:nome ou tipo de evento curto, descritivo, legível e específico do produto.
  • Codificação:string alfanumérica. Pontuação permitida, no máximo 64 bytes.
  • Exemplos:
    • Evento de criação de registro
    • ProcessoRollUp
    • Encaminhamento de privilégios detectado
    • Malware bloqueado

Metadata.product_log_id

  • Objetivo:codifica um identificador de evento específico do fornecedor para identificar o evento de forma exclusiva (um GUID). Os usuários podem usar esse identificador para pesquisar o evento em questão no console do fornecedor.
  • Codificação:diferencia maiúsculas de minúsculas, string alfanumérica, pontuação permitida e no máximo 256 bytes.
  • Exemplo:ABcd1234-98766

Metadata.product_name.

  • Finalidade:especifica o nome do produto.
  • Codificação: diferencia maiúsculas de minúsculas, string alfanumérica, pontuação permitida e no máximo 256 bytes.
  • Exemplos:
    • Falcão
    • Proteção para endpoints da Symantec

Metadata.product_version

  • Finalidade: especifica a versão do produto.
  • Codificação: string alfanumérica, pontos e traços permitidos, máximo de 32 bytes
  • Exemplos:
    • 1.2.3b
    • 10,3:rev1

Metadata.url_back_to_product

  • Objetivo:o URL é vinculado a um site relevante em que você pode ver mais informações sobre esse evento específico (ou a categoria geral do evento).
  • Codificação:URL RFC 3986 válido com parâmetros opcionais, como informações de porta etc. Ele precisa ter um prefixo de protocolo antes do URL (por exemplo, https:// ou http://).
  • Exemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Finalidade:especifica o nome do fornecedor do produto.
  • Codificação: diferencia maiúsculas de minúsculas, string alfanumérica, pontuação permitida e no máximo 256 bytes
  • Exemplos:
    • CrowdStrike
    • Symantec

Preenchimento populacional

Nesta seção, a palavra Noun é um termo abrangente usado para representar as entidades: principal, src, target, intermediário, observador e sobre. Essas entidades têm atributos comuns, mas representam objetos diferentes em um evento. Para mais informações sobre entidades e o que cada uma representa em um evento, consulte Como formatar dados de registro como UDM.

Noun.asset_id

  • Objetivo:um identificador exclusivo de dispositivo específico do fornecedor, por exemplo, um GUID gerado ao instalar um software de segurança de endpoint em um novo dispositivo usado para rastrear esse dispositivo único ao longo do tempo.
  • Codificação:VendorName.ProductName:ID, em que VendorName não diferencia maiúsculas de minúsculas* *nome do fornecedor, como "Carbon Black", ProductName é um nome de produto que não diferencia maiúsculas de minúsculas, como "Response" ou "Endpoint Protection" e ID é um identificador específico do cliente exclusivo globalmente no ambiente de identificação do dispositivo ou do cliente. VendorName e ProductName são alfanuméricos e não podem ter mais de 32 caracteres. O ID pode ter no máximo 128 caracteres e incluir caracteres alfanuméricos, traços e pontos.
  • Exemplo:CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

  • Objetivo: endereço de e-mail
  • Codificação: formato de endereço de e-mail padrão.
  • Exemplo: joao@test.altostrat.com

Noun.file.

Noun.hostname

  • Objetivo: nome do host do cliente ou campo de nome de domínio. Não inclua se um URL estiver presente.
  • Codificação:nome do host válido do RFC 1123.
  • Exemplos:
    • userwin10
    • www.altostrat.com

Noun.platform

  • Objetivo: sistema operacional da plataforma.
  • Codificação: Enum
  • Valores possíveis:
    • LINUX
    • MAC
    • WINDOWS
    • PONTO DESCONHECIDO

Noun.platform_patch_level.

  • Objetivo: nível do patch do sistema operacional da plataforma.
  • Codificação:string alfanumérica com pontuação no máximo 64 caracteres.
  • Exemplo: Versão 17134.48

Versão do Noun.platform_

  • Objetivo:versão do sistema operacional da plataforma.
  • Codificação: string alfanumérica com pontuação no máximo 64 caracteres.
  • Exemplo: Microsoft Windows 10 versão 1803

Noun.process

Noun.ip.

  • Objetivo:
    • Único endereço IP associado a uma conexão de rede.
    • Um ou mais endereços IP associados a um dispositivo participante no momento do evento (por exemplo, se um produto de EDR souber todos os endereços IP associados a um dispositivo, ele poderá codificar todos esses itens nos campos IP).
  • Codificação:endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.
  • Repetição:
    • Se um evento estiver descrevendo uma conexão de rede específica (por exemplo, srcip:srcport > dstip:dstport), o fornecedor precisará fornecer apenas um endereço IP.
    • Se um evento estiver descrevendo a atividade geral ocorrendo em um dispositivo participante, mas não em uma conexão de rede específica, o fornecedor poderá fornecer todos os endereços IP associados ao dispositivo no momento do evento.
  • Exemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Noun.porta

  • Objetivo:número da porta da rede de origem ou de destino quando uma conexão de rede específica é descrita em um evento.
  • Codificação: número válido de porta TCP/IP de 1 a 65.535.
  • Exemplos:

    • 80
    • 443

Noun.mac.

  • Objetivo:um ou mais endereços MAC associados a um dispositivo.
  • Codificação: endereço MAC válido (EUI-48) em ASCII
  • Repetibilidade: o fornecedor pode informar todos os endereços MAC associados ao dispositivo no momento do evento.
  • Exemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Noun.admin_domain.

  • Objetivo:domínio a que o dispositivo pertence (por exemplo, o domínio do Windows).
  • Codificação: string de nome de domínio válida (no máximo 128 caracteres).
  • Exemplo: corp.altostrat.com

Noun.registry

Noun.url.

  • Objetivo:URL padrão.
  • Codificação:URL (RFC 3986). Precisa ter um prefixo de protocolo válido (por exemplo, https:// ou ftp://). É preciso incluir o domínio e o caminho completos. Pode incluir os parâmetros de URL.
  • Exemplo:https://foo.altostrat.com/bletch?a=b;c=d

Noun.user (em inglês)

Preenchimento de metadados de autenticação

Authentication.AuthType

  • Objetivo:tipo de sistema a que um evento de autenticação está associado (Chronicle UDM).
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: autenticação de máquina
    • FÍSICA: autenticação física (por exemplo, um leitor de crachás)
    • SSO
    • TACACS: protocolo para a família TACACS para autenticação de sistemas em rede (por exemplo, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Objetivo:descreve o status de autenticação de um usuário ou credencial específica.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_AUTHENTICATION_STATUS: o status de autenticação padrão
    • ACTIVE: o método de autenticação está em um estado ativo.
    • SUSPENDED: o método de autenticação está suspenso ou desativado
    • DELETED: o método de autenticação foi excluído
    • NO_ACTIVE_CREDENTIALS: o método de autenticação não tem credenciais ativas.

Authentication.auth_details

  • Objetivo: detalhes de autenticação definidos pelo fornecedor.
  • Codificação: string.

Mecanismo de autenticação

  • Objetivo: mecanismos usados para autenticação.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • MECHANISM_UNSPECIFIED: mecanismo de autenticação padrão.
    • Leitor
    • BATCH: autenticação em lote.
    • CACHED_INTERACTIVE: autenticação interativa com credenciais armazenadas em cache.
    • HARDWARE_KEY (em inglês)
    • LOCAL
    • MECHANISM_OTHER: outro mecanismo que não está definido aqui.
    • NETWORK: autenticação de rede.
    • NETWORK_CLEAR_TEXT: autenticação de texto limpo na rede.
    • NEW_CREDENTIALS: autenticação com novas credenciais.
    • Senha única
    • REMOTE: autenticação remota
    • REMOTE_INTERACTIVE: RDP, serviços de terminal, Computação de rede virtual (VNC, na sigla em inglês) etc.
    • SERVICE: autenticação do serviço.
    • DESBLOQUEAR: autenticação de desbloqueio interativo direto humano.
    • NOME_DE_USUÁRIO

Preenchimento de metadados DHCP

Os campos de metadados do protocolo de controle de host dinâmico (DHCP, na sigla em inglês) capturam as informações de registro do protocolo de gerenciamento de rede DHCP.

Dhcp.client_hostname

  • Objetivo:nome do host do cliente. Consulte a RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP (em inglês) para mais informações.
  • Codificação: string.

Dhcp.client_identifier

  • Objetivo: é o identificador do cliente. Consulte a RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP (em inglês) para mais informações.
  • Codificação: bytes.

Dhcp.file.

  • Objetivo:nome do arquivo da imagem de inicialização.
  • Codificação: string.

Dhcp.flags

  • Objetivo:valor do campo de sinalizações de DHCP.
  • Codificação:inteiro não assinado de 32 bits.

Dhcp.hlen-pt

  • Objetivo:tamanho do endereço de hardware.
  • Codificação:inteiro não assinado de 32 bits.

Dhcp.hops

  • Objetivo: contagem de saltos de DHCP.
  • Codificação:inteiro não assinado de 32 bits.

Dhcp.htype

  • Objetivo: tipo de endereço do hardware.
  • Codificação:inteiro não assinado de 32 bits.

Dhcp.lease_time_seconds

  • Objetivo: o tempo de locação solicitado pelo cliente para um endereço IP em segundos. Consulte a RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP (em inglês) para mais informações.
  • Codificação: inteiro não assinado de 32 bits.

Dhcp.opcode

  • Objetivo: código de operação BOOTP (consulte a seção 3 da RFC 951).
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • CÓDIGO_DESCONHECIDO
    • BOOTREQUEST
    • BOOTREPLY

Dhcp.requested_address

  • Objetivo: é o identificador do cliente. Consulte a RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP (em inglês) para mais informações.
  • Codificação: endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.

Dhcp.segundos

  • Objetivo:segundos desde que o cliente iniciou o processo de aquisição/renovação de endereços.
  • Codificação:inteiro não assinado de 32 bits.

Dhcp.sname

  • Objetivo:nome do servidor que solicitou a inicialização do cliente.
  • Codificação: string.

Dhcp.transaction_id

  • Objetivo:ID da transação do cliente.
  • Codificação: inteiro não assinado de 32 bits.

Dhcp.type

  • Objetivo:tipo de mensagem DHCP. Consulte o RFC 1533 para mais informações.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_MESSAGE_TYPE
    • DISCOVER
    • OFERTA
    • SOLICITAR
    • RECUSAR
    • CONF
    • NAK
    • RELEASE
    • INFORM
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr.

  • Objetivo:endereço IP do hardware cliente.
  • Codificação: endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.

Dhcp.ciaddr,

  • Objetivo:endereço IP do cliente.
  • Codificação: endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.

Dhcp.giaddr

  • Objetivo: endereço IP do agente de redirecionamento.
  • Codificação: endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.

Dhcp.siaddr,

  • Objetivo: endereço IP do próximo servidor de inicialização.
  • Codificação:endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.

Dhcp.yiaddr

  • Objetivo: seu endereço IP.
  • Codificação: endereço IPv4 ou IPv6 (RFC 5942) válido codificado em ASCII.

Preenchimento de metadados da opção DHCP

Os campos de metadados da opção DHCP capturam as informações do registro da opção DHCP.

Código da opção

  • Objetivo: armazena o código de opção do DHCP. Consulte a RFC 1533, Opções de DHCP e extensões de fornecedor BOOTP (links em inglês), para mais informações.
  • Codificação: número inteiro de 32 bits não assinado.

Option.data

  • Objetivo:armazena os dados da opção DHCP. Consulte a RFC 1533, Opções de DHCP e extensões de fornecedor BOOTP (links em inglês), para mais informações.
  • Codificação: bytes.

Preenchimento de metadados DNS

Os campos de metadados DNS capturam informações relacionadas aos pacotes de resposta e solicitação DNS. Eles têm uma correspondência de um para um com os dados encontrados nos datagramas de solicitação e resposta de DNS.

Dns.autoritativo

  • Objetivo: definir como verdadeiro para servidores DNS autoritativos.
  • Codificação: booleano.

Dns.id

  • Objetivo: armazena o identificador de consulta DNS.
  • Codificação:inteiro de 32 bits.

Dns.response

  • Finalidade: defina como "true" se o evento for uma resposta DNS.
  • Codificação: booleano.

Dns.opcode

  • Objetivo:armazena o OpCode de DNS usado para especificar o tipo de consulta DNS (padrão, inversa, status do servidor etc.).
  • Codificação:inteiro de 32 bits.

Dns.recursion_available

  • Objetivo: definir como "true" se uma busca de DNS recursiva estiver disponível.
  • Codificação:booleano.

Dns.recursion_desejado

  • Objetivo:definir como "true" se uma busca DNS recursiva for solicitada.
  • Codificação: booleano.

Dns.response_code

  • Objetivo: armazena o código de resposta DNS conforme definido na RFC 1035, "Nomes de domínio - Implementação e especificação".
  • Codificação:inteiro de 32 bits.

Dns.truncada

  • Finalidade: defina como "true" se esta for uma resposta DNS truncada.
  • Codificação: booleano.

Dns.questions

Dns.answers

Dns.authority

Dns.additional

Preenchimento de metadados de perguntas sobre DNS

Os campos de metadados da pergunta de DNS capturam as informações contidas na seção de perguntas de uma mensagem do protocolo de domínio.

Nome.Pergunta

  • Objetivo: armazena o nome de domínio.
  • Codificação: string.

Pergunta.classe

  • Objetivo: armazena o código que especifica a classe da consulta.
  • Codificação:inteiro de 32 bits.

Tipo de pergunta

  • Finalidade: armazena o código especificando o tipo de consulta.
  • Codificação:inteiro de 32 bits.

Preenchimento de metadados do registro de recurso DNS

Os campos de metadados do registro de recurso DNS capturam as informações contidas no registro de uma mensagem de protocolo de domínio.

ResourceRecord.binary_data

  • Objetivo:armazena os bytes brutos de qualquer string não UTF8 que possa ser incluída como parte de uma resposta DNS. Este campo só poderá ser usado se os dados de resposta retornados pelo servidor DNS tiverem dados não UTF8. Caso contrário, coloque a resposta DNS no campo de dados abaixo. Esse tipo de informação precisa ser armazenado aqui, e não em ResourceRecord.data.
  • Codificação:bytes.

ResourceRecord.class

  • Objetivo:armazena o código que especifica a classe do registro de recurso.
  • Codificação:inteiro de 32 bits.

ResourceRecord.data

  • Objetivo:armazena o payload ou a resposta à pergunta no DNS em todas as respostas codificadas no formato UTF-8. Por exemplo, o campo de dados pode retornar o endereço IP do computador a que o nome de domínio se refere. Se o registro do recurso for de um tipo ou classe diferente, ele poderá conter outro nome de domínio (quando um nome de domínio é redirecionado para outro). Os dados precisam ser armazenados exatamente como na resposta de DNS.
  • Codificação: string.

ResourceRecord.name

  • Finalidade: armazena o nome do proprietário do registro de recurso.
  • Codificação:string.

ResourceRecord.ttl.

  • Objetivo:armazena o intervalo de tempo em que o registro de recurso pode ser armazenado em cache antes de a origem das informações ser consultada novamente.
  • Codificação: inteiro de 32 bits.

ResourceRecord.type

  • Finalidade: armazena o código especificando o tipo de registro de recurso.
  • Codificação: inteiro de 32 bits.

Preenchimento de metadados de e-mail

A maioria dos campos de metadados de e-mail captura os endereços de e-mail incluídos no cabeçalho da mensagem e precisam estar em conformidade com o formato de endereço de e-mail padrão (local-mailbox@domain), conforme definido no RFC 5322. Por exemplo, frank@email.example.com.

E-mail.de

  • Objetivo:armazena o endereço de e-mail de.
  • Codificação: string.

Email.reply_to

  • Objetivo:armazena o endereço de e-mail reply_to.
  • Codificação: string.

E-mail.to

  • Objetivo: armazena os endereços de e-mail para.
  • Codificação:string.

E-mail.cc

  • Objetivo:armazena os endereços de e-mail do Cc.
  • Codificação: string.

E-mail.bcc

  • Objetivo:armazena os endereços de e-mail Cco.
  • Codificação: string.

E-mail.id_e-mail

  • Finalidade:armazena o ID do e-mail (ou da mensagem).
  • Codificação:string.
  • Exemplo:192544.132632@email.example.com

E-mail.subject

  • Objetivo: armazena a linha de assunto do e-mail.
  • Codificação:string.
  • Exemplo: "Leia esta mensagem."

Preenchimento de metadados de extensões

Tipos de evento com metadados de primeira classe que ainda não foram categorizados pelo Chronicle UDM. Extensions.auth

  • Objetivo:extensão dos metadados de autenticação.
  • Codificação:string.
  • Exemplos:
    • Metadados do sandbox (todos os comportamentos exibidos por um arquivo, por exemplo, FireEye).
    • Dados de controle de acesso à rede (NAC, na sigla em inglês).
    • Detalhes do LDAP de um usuário (por exemplo, função, organização etc.)

Extensions.auth.auth_details

  • Finalidade: especifique os detalhes específicos do fornecedor para o tipo ou mecanismo de autenticação. Os provedores de autenticação geralmente definem tipos como via_mfa, via_ad e assim por diante, que fornecem informações úteis sobre o tipo de autenticação. Esses tipos ainda podem ser generalizados em auth.type ou auth.mechanism para fins de usabilidade e compatibilidade com as regras de conjuntos de dados.
  • Codificação:string.
  • Exemplos:via_mfa, via_ad.

Extensions.vulns

  • Objetivo:extensão dos metadados de vulnerabilidade.
  • Codificação:string.
  • Exemplo:
    • Dados de verificação de vulnerabilidades de host.

Preenchimento de metadados de arquivo

File.file_metadata

  • Objetivo: metadados associados ao arquivo.
  • Codificação:string.
  • Exemplos:
    • Autor
    • Número da revisão
    • Número da versão
    • Data do último salvamento

Arquivo.caminho_inteiro

  • Objetivo: caminho completo que identifica o local do arquivo no sistema.
  • Codificação: string.
  • Exemplo: \Program Files\Custom Utilities\Test.exe

Arquivo.md5

  • Objetivo: valor de hash MD5 do arquivo.
  • Codificação:string, hexadecimal e minúsculas.
  • Exemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

  • Objetivo:o tipo MIME de extensões de e-mail da Internet para arquivos.
  • Codificação: string.
  • Exemplos:
    • PE
    • PDF
    • script do PowerShell

Arquivo.sha1

  • Objetivo: valor de hash SHA-1 do arquivo.
  • Codificação:string, hexadecimal e minúsculas.
  • Exemplo: eb3520d53b45815912f2391b713011453ed8abcf

Arquivo.sha256

  • Objetivo:valor de hash SHA-256 para o arquivo.
  • Codificação: string, hexadecimal e minúsculas.
  • Exemplo:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

Tamanho do arquivo

  • Finalidade: o tamanho do arquivo.
  • Codificação:número inteiro não assinado de 64 bits.
  • Exemplo: 342135.

Preenchimento de metadados FTP

Ftp.command

  • Objetivo:armazena o comando FTP.
  • Codificação: string.
  • Exemplos:
    • binary
    • excluir
    • get
    • put

Preenchimento de metadados do grupo

Mostra informações sobre um grupo organizacional.

Hora_de_criação

  • Objetivo:horário de criação do grupo.
  • Codificação:RFC 3339, conforme apropriado para o formato de carimbo de data/hora JSON ou Proto3.

Endereços de e-mail de grupo

  • Objetivo: agrupar informações de contato.
  • Codificação:e-mail.

Nome_do_grupo_de_grupos.

  • Objetivo:exibir o nome de exibição do grupo.
  • Codificação:string.
  • Exemplos:
    • Finanças
    • RH
    • Marketing

ID do grupo de produtos [product_object_id]

  • Objetivo: identificador exclusivo global de objeto do usuário no produto, como um identificador de objeto LDAP.
  • Codificação:string.

Grupo.windows_sid

  • Objetivo:campo de atributo de grupo do Microsoft Windows Identifier (SID).
  • Codificação: string.

Preenchimento de metadados HTTP

Http.method.

  • Objetivo: armazena o método de solicitação HTTP.
  • Codificação:string.
  • Exemplos:
    • GET
    • HEAD
    • POST

Http.referral_url.

  • Objetivo:armazena o URL do referenciador de HTTP.
  • Codificação:URL RFC 3986 válido.
  • Exemplo:https://www.altostrat.com

Código_de_resposta_Http

  • Objetivo: armazena o código de status da resposta HTTP, que indica se uma solicitação HTTP específica foi concluída.
  • Codificação:inteiro de 32 bits.
  • Exemplos:
    • 400
    • 404

Http.useragent

  • Finalidade: armazena o cabeçalho da solicitação do user agent que inclui o tipo de aplicativo, o sistema operacional, o fornecedor de software ou a versão do software do user agent solicitante.
  • Codificação:string.
  • Exemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como o Gecko)
    • Chrome/41.0.2217.0
    • Safari/527,33

Preenchimento da população dos locais dos metadados

Location.city

  • Objetivo: armazena o nome da cidade.
  • Codificação: string.
  • Exemplos:
    • Sunnyvale
    • Chicago
    • Málaga

Location.country_or_region

  • Objetivo: armazena o nome do país ou região do mundo.
  • Codificação:string.
  • Exemplos:
    • Estados Unidos
    • Reino Unido
    • Espanha

Nome.Local

  • Objetivo: armazena o nome específico da empresa, como um edifício ou campus.
  • Codificação: string.
  • Exemplos:
    • Campus 7B
    • Edifício A2

Location.state

  • Finalidade: armazena o nome do estado, província ou território.
  • Codificação:string.
  • Exemplos:
    • Califórnia
    • Illinois
    • Ontário

Preenchimento de metadados de rede

Network.application_protocol

  • Objetivo: indica o protocolo do aplicativo de rede.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_APPLICATION_PROTOCOL
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Direção da rede

  • Objetivo:indica a direção do tráfego de rede.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • DIREÇÃO_DESCONHECIDA
    • ENTRADA
    • Saída
    • TRANSPORTE

Network.email

  • Objetivo: especificar o endereço de e-mail do remetente/destinatário.
  • Codificação:string.
  • Exemplo: jcheng@company.example.com

Network.ip_protocol

  • Objetivo:indica o protocolo IP.
  • Codificação:tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_IP_PROTOCOL
    • EIGRP: Enhanced Interior Gateway Routing Protocol
    • ESP: encapsulamento do payload de segurança
    • ETHERIP: encapsulamento Ethernet dentro do IP
    • GRE: encapsulamento de roteamento genérico
    • ICMP: Internet Control Message Protocol
    • IGMP: protocolo de gerenciamento de grupos na Internet
    • IP6IN4: encapsulamento IPv6
    • PIM: multicast independente de protocolo
    • TCP: protocolo de controle de transmissão
    • UDP: User Datagram Protocol
    • VRRP: protocolo de redundância de roteador virtual

Network.received_bytes

  • Objetivo:especificar o número de bytes recebidos.
  • Codificação:número inteiro não assinado de 64 bits.
  • Exemplo: 12.453.654.768

Network.sent_bytes

  • Objetivo:especificar o número de bytes enviados.
  • Codificação:número inteiro não assinado de 64 bits.
  • Exemplo: 7.654.876

Network.session_duration

  • Objetivo: armazena a duração da sessão de rede, normalmente retornada em um evento de soltar da sessão. Para definir a duração, defina network.session_duration.seconds = 1, (type int64) ou network.session_duration.nanos = 1 (tipo int32).
  • Codificação:
    • Número inteiro de 32 bits: para segundos (network.session_duration.seconds).
    • Número inteiro de 64 bits: para nanossegundos (network.session_duration.nanos).

Network.session_id

  • Objetivo:armazena o identificador da sessão de rede.
  • Codificação:string.
  • Exemplo:SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Preenchimento da população dos processos

Process.command_line

  • Objetivo:armazena a string de linha de comando do processo.
  • Codificação:string.
  • Exemplo:c:\windows\system32\net.exe group

Process.product_specific_process_id

  • Objetivo: armazena o ID do processo específico do produto.
  • Codificação:string.

Process.parent_process.product_specific_process_id

  • Objetivo: armazena o ID do processo específico do produto para o processo principal.
  • Codificação:string.

Process.file

  • Objetivo: armazena o nome do arquivo em uso pelo processo.
  • Codificação: string.
  • Exemplo: report.xls

Process.parent_process

  • Objetivo:armazena os detalhes do processo pai.
  • Codificação: Substantivo (processo)

Process.pid

  • Objetivo:armazena o ID do processo.
  • Codificação: string.
  • Exemplos:
    • 308
    • 2002

Preenchimento de metadados do registro

Registro.chave_de_registro

  • Objetivo:armazena a chave de registro associada a um aplicativo ou componente do sistema.
  • Codificação: string.
  • Exemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registro.registry_value_name

  • Objetivo:armazena o nome do valor de registro associado a um aplicativo ou componente do sistema.
  • Codificação: string.
  • Exemplo:TEMP

Registro.registry_value_data

  • Objetivo:armazena os dados associados a um valor de registro.
  • Codificação:string.
  • Exemplo: %USERPROFILE%\Local Settings\Temp

Preenchimento de metadados de resultados de segurança

Os metadados do resultado de segurança incluem detalhes sobre riscos e ameaças de segurança que foram encontrados por um sistema de segurança, bem como as ações realizadas para mitigar esses riscos e ameaças.

SecurityResult.about

  • Objetivo:descrever o resultado de segurança.
  • Codificação:Substantivo.

SecurityResult.action

  • Objetivo:especificar uma ação de segurança.
  • Codificação:tipo enumerado.
  • Possíveis valores: o Chronicle UDM define as seguintes ações de segurança:
    • PERMITIR
    • ALLOW_WITH_MODIFICATION: o arquivo ou e-mail foi desinfetado ou reescrito e ainda está sendo encaminhado.
    • BLOQUEAR
    • QUARENTENA: armazenar para análise posterior (não significa bloquear).
    • AÇÃO_DESCONHECIDA

SecurityResult.action_details

  • Objetivo:detalhes do fornecedor fornecidos pela ação realizada como resultado do incidente de segurança. As ações de segurança geralmente são mais bem convertidas no campo UDM Security_Result.action mais geral. No entanto, talvez seja necessário escrever regras para a descrição da ação exata fornecida pelo fornecedor.
  • Codificação:string.
  • Exemplos: soltar, bloquear, descriptografar, criptografar.

SecurityResult.category.

  • Objetivo: especificar uma categoria de segurança.
  • Codificação:Enum.
  • Valores possíveis:o Chronicle UDM define as seguintes categorias de segurança:
    • ACL_VIOLATION: tentativa de acesso não autorizado, incluindo acesso a arquivos, serviços da Web, processos, objetos da Web etc.
    • AUTH_VIOLATION: a autenticação falhou, como uma senha inválida ou uma autenticação de dois fatores incorreta.
    • DATA_AT_REST: DLP: dados do sensor encontrados em repouso em uma verificação.
    • DATA_DESTRUCTION: tenta destruir/excluir dados.
    • DATA_EXFILTRATION: DLP: transmissão de dados do sensor, copiar para pen drive.
    • EXPLOIT: tentativas de estouro, codificações inválidas de protocolo, ROP, injeção de SQL etc. com base na rede e no host.
    • MAIL_PHISHING: e-mail de phishing, mensagens de bate-papo etc.
    • MAIL_SPAM: e-mail, mensagem etc. de spam
    • MAIL_SPOOFING: endereço de e-mail de origem falsificado etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_Command_AND_CONTROL: se o comando e o canal de controle forem conhecidos.
    • NETWORK_DENIAL_OF_SERVICE
    • NETWORK_MALICIOUS: comando e controle, exploração de rede, atividade suspeita, possível túnel reverso etc.
    • NETWORK_SUSPICIOUS: não relacionado à segurança, por exemplo, o URL está vinculado a jogos de azar etc.
    • NETWORK_RECON: verificação de porta detectada por um IDS, sondando por um aplicativo da Web.
    • POLICY_VIOLATION: violação da política de segurança, incluindo violações de regra de firewall, proxy e HIPS ou ações de bloqueio de NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkits etc.
    • SOFTWARE_PUA: app potencialmente indesejado, como adware etc.
    • SOFTWARE_SUSPICIOUS
    • CATEGORIA DESCONHECIDA

SecurityResult.confidence

  • Objetivo:especificar uma confiança em relação a uma ocorrência de segurança, conforme a estimativa do produto.
  • Codificação:Enum.
  • Valores possíveis:o Chronicle UDM define as seguintes categorias de confiança do produto:
    • UNKNOWN_CONFIDENCE
    • LOW_CONFIDENCE
    • MEDIUM_CONFIDENCE
    • HIGH_CONFIDENCE

SecurityResult.confidence_details

  • Objetivo:detalhes adicionais sobre a confiança de uma ocorrência de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: string.

SecurityResult.prioridade

  • Objetivo: especificar uma prioridade em relação a uma ocorrência de segurança, conforme a estimativa do fornecedor do produto.
  • Codificação:Enum.
  • Valores possíveis: o Chronicle UDM define as seguintes categorias de prioridade de produto:
    • DESCONHECIDO_PRIORIDADE
    • LOW_PRIORITY
    • MEDIUM_PRIORIDADE
    • ALTA_PRIORIDADE

SecurityResult.prioridade_detalhes

  • Objetivo: informações específicas do fornecedor sobre a prioridade dos resultados de segurança.
  • Codificação: string.

SecurityResult.rule_id.

  • Objetivo: identificador da regra de segurança.
  • Codificação:string.
  • Exemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name.

  • Objetivo: nome da regra de segurança.
  • Codificação:string.
  • Exemplo:BlockInboundToOracle.

SecurityResult.severity

  • Objetivo: gravidade de uma ocorrência de segurança conforme estimado pelo fornecedor do produto usando valores definidos pela Chronicle UDM.
  • Codificação:Enum.
  • Valores possíveis:o Chronicle UDM define as seguintes gravidades de produto:
    • UNKNOWN_SEVERITY: não malicioso
    • INFORMATIONAL — Não malicioso
    • ERRO: não malicioso
    • BAIXO: malicioso
    • MÉDIO: malicioso
    • HIGH: malicioso

SecurityResult.severity_details

  • Objetivo:gravidade de uma ocorrência de segurança conforme a estimativa do fornecedor do produto.
  • Codificação:string.

SecurityResult.threat_name.

  • Objetivo:nome da ameaça à segurança.
  • Codificação:string.
  • Exemplos:
    • W32/Arquivo A
    • Aparador

SecurityResult.url_back_to_produto

  • Finalidade:é o URL que direciona você ao Console de produtos de origem desta ocorrência de segurança.
  • Codificação: string.

Preenchimento de metadados do usuário

User.email_addresses

  • Objetivo: armazena os endereços de e-mail do usuário.
  • Codificação: string repetida.
  • Exemplo: joaosilva@empresa.example.com

User.employee_id

  • Objetivo:armazena o ID de funcionário de recursos humanos do usuário.
  • Codificação: string.
  • Exemplo: 11223344.

User.first_name

  • Objetivo: armazena o nome do usuário.
  • Codificação:string.
  • Exemplo:João.

Nome_do_usuário.nome_do_meio

  • Objetivo:armazena o nome do meio do usuário.
  • Codificação: string.
  • Exemplo: Anthony.

Nome de usuário

  • Objetivo: armazena o sobrenome do usuário.
  • Codificação: string.
  • Exemplo: Locke.

User.group_identifiers

  • Objetivo:armazena os IDs dos grupos (GUID, OID de LDAP ou opções semelhantes) associados a um usuário.
  • Codificação:string repetida.
  • Exemplo: admin-users.

User.phone_numbers

  • Objetivo: armazenar os números de telefone do usuário.
  • Codificação: string repetida.
  • Exemplo: 800-555-0101

Usuário.título

  • Objetivo:armazena o cargo do usuário.
  • Codificação:string.
  • Exemplo: Gerenciador de relacionamento com o cliente.

User.user_display_name

  • Objetivo: armazena o nome de exibição do usuário.
  • Codificação: string.
  • Exemplo: John Locke.

User.userid

  • Objetivo:armazena o ID do usuário.
  • Codificação: string.
  • Exemplo:jlocke.

Usuário.windows_sid

  • Objetivo:armazena o identificador de segurança (SID) do Microsoft Windows associado a um usuário.
  • Codificação:string.
  • Exemplo: S-1-5-21-1180649209-123456789-3582944384-1064

População de vulnerabilidades

Vulnerabilidade.sobre

  • Objetivo:se a vulnerabilidade for sobre um substantivo específico (por exemplo, executável), adicione-a aqui.
  • Codificação:Substantivo. Consulte Metadados do preenchimento de Noun.
  • Exemplo: executável.

Vulnerability.cvss_base_score

  • Objetivo: pontuação base do Common Vulnerability Scoring System (CVSS).
  • Codificação: ponto flutuante.
  • Intervalo: de 0,0 a 10,0
  • Exemplo: 8,5

Vulnerability.cvss_vector

  • Objetivo:vetor das propriedades de CVSS da vulnerabilidade. A pontuação do CVSS é composta pelas seguintes métricas:

    • Vetor de ataque (AV)
    • Complexidade de acesso (AC)
    • Autenticação (Au)
    • Impacto da confidencialidade (C)
    • Impacto da integridade (I)
    • Impacto na disponibilidade (A)

    Para mais informações, consulte https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=VALUE.

  • Codificação: string.

  • Exemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Objetivo: versão do CVSS para a pontuação ou vetor de vulnerabilidade.
  • Codificação: string.
  • Exemplo: 3,1

Vulnerabilidade.descrição

  • Objetivo: descrição da vulnerabilidade.
  • Codificação:string.

Vulnerability.first_found

  • Objetivo: os produtos que mantêm um histórico de verificações de vulnerabilidade precisam ser preenchidos primeiro com a hora em que a vulnerabilidade desse recurso foi detectada pela primeira vez.
  • Codificação: string.

Vulnerability.last_found

  • Objetivo:os produtos que mantêm um histórico de verificações de vulnerabilidade devem ser preenchidos com o horário em que a vulnerabilidade desse recurso foi detectada mais recentemente.
  • Codificação:string.

Nome da vulnerabilidade

  • Objetivo:nome da vulnerabilidade.
  • Codificação:string.
  • Exemplo: uma versão incompatível do SO foi detectada.

Vulnerability.scan_end_time

  • Objetivo: se a vulnerabilidade for descoberta durante a verificação de um recurso, preencha esse campo com o horário em que a verificação foi concluída. Deixe este campo em branco se o horário de término não estiver disponível ou não for aplicável.
  • Codificação:string.

Vulnerability.scan_start_time

  • Objetivo:se a vulnerabilidade for descoberta durante uma verificação de recursos, preencha esse campo com a hora em que a verificação foi iniciada. Deixe este campo em branco se o horário de início não estiver disponível ou não for aplicável.
  • Codificação: string.

Vulnerabilidade.gravidade

  • Objetivo: gravidade da vulnerabilidade.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_SEVERIDADE
    • LOW
    • MÉDIO
    • HIGH

Vulnerability.severity_details

  • Finalidade:os detalhes de gravidade específicos do fornecedor.
  • Codificação:string.

Preenchimento de metadados de alerta

idm.is_importante

  • Objetivo: especifica se o alerta será exibido no Enterprise Insights.
  • Codificação: booleano

idm.is_alert

  • Finalidade:identifica se o evento é um alerta.
  • Codificação:booleano

Campos obrigatórios e opcionais com base no tipo de evento

Esta seção descreve os campos obrigatórios e opcionais a serem preenchidos, dependendo do tipo de evento do UDM. Para ver uma descrição desses campos, consulte a lista de campos do modelo de dados unificado.

EMAIL_TRANSAÇÃO

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: preencha com informações sobre a máquina de onde a mensagem de e-mail foi originada. Por exemplo, o endereço IP do remetente.

Campos opcionais:

  • about: URLs, IPs, domínios e quaisquer anexos de arquivo incorporados no corpo do e-mail.
  • securityResult.about: URLs, IPs e arquivos incorporados incorporados ao e-mail.
  • network.email: informações de e-mail do remetente/destinatário.
  • Principal: se houver dados de máquina cliente sobre quem enviou o e-mail, preencha os detalhes do servidor no principal (por exemplo, o processo do cliente, números de porta, nome de usuário etc.).
  • target: se houver dados do servidor de e-mail de destino, preencha os detalhes do servidor no destino (por exemplo, o endereço IP).
  • intermediário: se houver dados do servidor de e-mail ou dados do proxy de e-mail, preencha os detalhes do servidor no intermediário.

Observações:

  • Nunca preencha principal.email ou target.email.
  • Preencha apenas o campo de e-mail em security_result.about ou network.email.
  • Os resultados de segurança de nível superior geralmente têm um substantivo definido (opcional para spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal:
    • Pelo menos um identificador de máquina.
    • (Opcional) Preencha o main.process com informações sobre o processo que acessa o arquivo.
  • destino:
    • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o destino precisará incluir pelo menos um identificador de máquina para o computador de destino. Caso contrário, todos os identificadores de máquina precisarão estar em branco.
    • Preencha target.file com informações sobre o arquivo.

Opcional:

  • security_result: descreve a atividade maliciosa detectada.
  • principal.usuario: preencher se as informações do usuário estiverem disponíveis sobre o processo.

FILE_COPY

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios como descrito.
  • Principal:
    • Pelo menos um identificador de máquina.
    • (Opcional) Preencha o principal.process com informações sobre o processo que executa a operação de cópia de arquivos.
  • src:
    • Preencha src.file com informações sobre o arquivo de origem.
    • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o src precisará incluir pelo menos um identificador para a máquina de origem que armazena o arquivo de origem.
  • destino:
    • Preencha target.file com informações sobre o arquivo de destino.
    • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o campo target precisará incluir pelo menos um identificador de máquina para o computador de destino que contém o arquivo de destino.

Campos opcionais:

  • security_result: descreve a atividade maliciosa detectada.
  • principal.usuario: preencher se as informações do usuário estiverem disponíveis sobre o processo.

MUTEX_CREATION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal:
    • Pelo menos um identificador de máquina.
    • Preencha o main.process com informações sobre o processo de criação do mutex.
  • destino:
    • Preencha target.resource.
    • Preencha target.resource.type com MUTEX.
    • Preencha target.resource.name com o nome do mutex criado.

Opcional:

  • security_result: descreve a atividade maliciosa detectada.
  • principal.usuario: preencher se as informações do usuário estiverem disponíveis sobre o processo.
Exemplo de UDM para MUTEX_CREATION

O exemplo a seguir ilustra como um evento do tipo MUTEX_CREATION seria formatado para o Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes do dispositivo e do processo.
  • target: informações sobre desativação

NETWORK_CONNECTION

Campos obrigatórios:

  • metadata: event_timestamp
  • principal: inclua detalhes sobre a máquina que iniciou a conexão de rede (por exemplo, origem).
  • target: inclui detalhes sobre a máquina de destino, se diferente da máquina principal.
  • network: captura detalhes sobre a conexão de rede (portas, protocolo etc.).

Campos opcionais:

  • principal.process e target.process: inclua informações de processo associadas ao principal e ao destino da conexão de rede (se disponível).
  • Principal.user e target.user: inclui informações de usuário associadas ao principal e ao destino da conexão de rede (se disponível).

HTTP_NETWORK

O tipo de evento NETWORK_HTTP representa uma conexão de rede HTTP de um principal para um servidor da Web de destino.

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: representa o cliente que inicia a solicitação da Web e inclui pelo menos um identificador de máquina (por exemplo, nome do host, IP, MAC, identificador de recurso reservado) ou um identificador de usuário (por exemplo, nome de usuário). Se uma conexão de rede específica for descrita e um número de porta do cliente estiver disponível, apenas um endereço IP precisará ser especificado junto com o número de porta associado a essa conexão de rede. No entanto, é possível fornecer outros identificadores de máquina para descrever melhor o dispositivo participante. Se nenhuma porta de origem estiver disponível, qualquer um e todos os endereços IP e MAC, identificadores de recursos e valores de nome do host que descrevem o dispositivo principal poderão ser especificados.
  • target: representa o servidor da Web e inclui informações do dispositivo e, como opção, um número de porta. Se um número de porta de destino estiver disponível, especifique apenas um endereço IP além do número de porta associado a essa conexão de rede. No entanto, é possível fornecer vários outros identificadores de máquina para o destino. Para target.url, preencha com o URL acessado.
  • network e network.http: inclui detalhes sobre a conexão de rede HTTP. Você precisa preencher os seguintes campos:
    • network.ip_protocol
    • network.application_protocol
    • rede.http.método

Campos opcionais:

  • about: representa outras entidades encontradas na transação HTTP, como um arquivo enviado ou salvo.
  • intermediary: representa um servidor proxy (se for diferente do principal ou do destino).
  • metadata: preencha os outros campos de metadados.
  • network: preencha outros campos da rede.
  • network.email: se a conexão de rede HTTP for originada de um URL que apareceu em uma mensagem de e-mail, preencha network.email com os detalhes.
  • observador: representa um detector passivo (se presente).
  • security_result: adicione um ou mais itens ao campo "security_result" para representar a atividade maliciosa detectada.
Exemplo de UDM para NETWORK_HTTP

O exemplo a seguir ilustra como um evento antivírus do Sophos do tipo NETWORK_HTTP seria convertido no formato UDM do Chronicle.

Veja a seguir o evento antivírus original do Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Veja como formatar as mesmas informações no Proto3 usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: dispositivo de segurança que detectou o evento.
  • target: dispositivo que recebeu o software malicioso.
  • network: informações de rede sobre o host malicioso.
  • security_result: detalhes de segurança sobre o software malicioso.
  • adicionais: informações do fornecedor atualmente fora do escopo do UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal:
    • Pelo menos um identificador de máquina.
    • Para injeção de processo e eventos de encerramento do processo, se disponível, o principal.process precisa incluir informações sobre o processo para iniciar a ação. Por exemplo, para um evento de inicialização, principal.process precisa incluir detalhes sobre o processo pai, se disponível.
  • destino:
    • target.process: inclui informações sobre o processo que está sendo injetado, aberto, iniciado ou encerrado.
    • Se o processo de destino for remoto, o destino precisará incluir pelo menos um identificador de máquina para a máquina de destino (por exemplo, um endereço IP, MAC, nome do host ou identificador de recursos de terceiros).

Campos opcionais:

  • security_result: descreve a atividade maliciosa detectada.
  • Principal.user e target.user: preencha o processo inicial (principal) e o processo de destino, se as informações do usuário estiverem disponíveis.
Exemplo de UDM para PROCESS_LAUNCH

O exemplo a seguir ilustra como você formataria um evento PROCESS_LAUNCH usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes do dispositivo.
  • target: detalhes do processo

PROCESS_LOAD_MODULE_LOAD

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal:
    • Pelo menos um identificador de máquina.
    • main.process: processo de carregamento do módulo.
  • destino:
    • target.process: inclui informações sobre o processo.
    • target.process.file: módulo carregado (por exemplo, a DLL ou o objeto compartilhado).

Campos opcionais:

  • security_result: descreve a atividade maliciosa detectada.
  • principal.usuario: preencher se as informações do usuário estiverem disponíveis sobre o processo.
Exemplo de UDM para PROCESS_MODULE_LOAD

O exemplo a seguir ilustra como você formataria um evento PROCESS_MODULE_LOAD usando a sintaxe de UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes sobre o dispositivo e o processo de carregamento do módulo.
  • target: detalhes de processos e módulos.

PROCESSO_PRIVILEGE_ESCALATION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal:
    • Pelo menos um identificador de máquina.
    • main.process: processo de carregamento do módulo.
    • main.user: usuário carregando o módulo.

Campos opcionais:

  • security_result: descreve a atividade maliciosa detectada.
Exemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

O exemplo a seguir ilustra como você formataria um evento PROCESS_PRIVILEGE_ESCALATION usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes sobre o dispositivo, o usuário e o processo que carrega o módulo.
  • target: detalhes de processos e módulos.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal:
    • Pelo menos um identificador de máquina.
    • Se um processo do modo de usuário fizer a modificação de registro, principal.process precisará incluir informações sobre o processo de modificação do registro.
    • Se um processo do kernel realizar a modificação de registro, o principal não poderá incluir informações de processo.
  • destino:
    • target.registry: se o registro de destino for remoto, o destino precisará incluir pelo menos um identificador para a máquina de destino (por exemplo, um endereço IP, MAC, nome do host ou identificador de recurso de terceiros).
    • target.registry.registry_key: todos os eventos de registro precisam incluir a chave de registro afetada.

Opcional:

  • security_result:descreva a atividade maliciosa detectada. Por exemplo, uma chave de registro inválida.
  • principal.usuario: preencha se as informações do usuário estiverem disponíveis sobre o processo.
Exemplo de UDM para REGISTRY_MODIFICATION

O exemplo a seguir ilustra como você formataria um evento REGISTRY_MODIFICATION no Proto3 usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes do dispositivo, usuário e processo.
  • target: entrada de registro afetada pela modificação.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obrigatórios:

  • extensions: para SCAN_VULN_HOST e SCAN_VULN_NETWORK, defina a vulnerabilidade usando o campo extensions.vuln.
  • metadata: event_timestamp
  • observador: capture informações sobre o próprio scanner. Se o scanner for remoto, os detalhes da máquina precisarão ser capturados pelo campo do observador. Para um verificador local, deixe em branco.
  • target: captura informações sobre a máquina que armazena o objeto que está sendo verificado. Se um arquivo estiver sendo verificado, target.file precisará capturar informações sobre ele. Se um processo estiver sendo verificado, o target.process precisará capturar informações sobre ele.

Campos opcionais:

  • target: os detalhes do usuário sobre o objeto de destino (por exemplo, criador do arquivo ou proprietário do processo) precisam ser capturados em target.user.
  • security_result: descreve a atividade maliciosa detectada.
Exemplo de UDM para SCAN_HOST

O exemplo a seguir ilustra como um evento do tipo SCAN_HOST seria formatado para o UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200".200
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • target: dispositivo que recebeu o software malicioso.
  • observador: dispositivo que observa e relata o evento em questão.
  • security_result: detalhes de segurança sobre o software malicioso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obrigatórios:

  • principal: para todos os eventos SCHEDULED_TASK, o principal precisa incluir um identificador de máquina e um identificador de usuário.
  • target: o destino precisa incluir um recurso válido e um tipo de recurso definido como "TASK".

Campos opcionais:

  • security_result: descreve a atividade maliciosa detectada.
Exemplo de UDM para SCHEDULED_TASK_CREATION

O exemplo a seguir ilustra como um evento do tipo SCHEDULED_TASK_CREATION pode ser formatado para o UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: dispositivo que programou a tarefa suspeita.
  • target: software segmentado pela tarefa suspeita.
  • intermediário: intermediário envolvido na tarefa suspeita.
  • security_result: detalhes de segurança sobre a tarefa suspeita.

setting_UNCATEGORIZED, setting_CREATION, Setting_MODIFICATION, Setting_DELETION

Campos obrigatórios:

  • principal: precisa estar presente, não vazio e incluir um identificador de máquina.
  • target: precisa estar presente, não vazio e incluir um recurso com o tipo especificado como Setting
Exemplo de UDM para o tipo de evento Setting_MODIFICATION

O exemplo a seguir ilustra como um evento do tipo setting_MODIFICATION será formatado para o UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • main: informações sobre o dispositivo em que a modificação de configuração ocorreu.
  • target: detalhes do recurso

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campos obrigatórios:

  • target: inclua o identificador do usuário e especifique o processo ou aplicativo.
  • principal: inclua pelo menos um identificador de máquina (endereço IP ou MAC, nome do host ou identificador de recursos).
Exemplo de UDM para SERVICE_UNSPECIFIED

O exemplo a seguir ilustra como um evento do tipo SERVICE_UNSPECIFIED seria formatado para o UDM Chronicle:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes do dispositivo e do local.
  • target: nome do host e identificador do usuário
  • aplicativo: nome do aplicativo e tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • principal: pelo menos um identificador de máquina (endereço IP ou endereço MAC, nome do host ou identificador de recursos).
Exemplo de UDM para STATUS_HEARTBEAT

O exemplo a seguir ilustra como um evento do tipo STATUS_HEARTBEAT será formatado para o UDM Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes do dispositivo e do local.
  • intermediário: endereço IP do dispositivo.
  • security_result: detalhes do resultado de segurança.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_Wipe

Campos obrigatórios:

  • principal: inclua um identificador de usuário para a pessoa que realizou a operação no registro e um identificador de máquina para o computador em que o registro está ou foi armazenado (no caso da exclusão permanente) armazenado.
Exemplo de UDM para SYSTEM_AUDIT_LOG_Wipe

O exemplo a seguir ilustra como um evento do tipo SYSTEM_AUDIT_LOG_FILTER será formatado para o UDM Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • metadata: informações contextuais sobre o evento.
  • principal: detalhes do dispositivo e do usuário.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal: se a conta de usuário for modificada de um local remoto, preencha o principal com informações sobre a máquina de origem da modificação do usuário.
  • target: preencha target.user com informações sobre o usuário que foi modificado.
  • intermediário: para logins via SSO, o intermediário precisa ter pelo menos um identificador de máquina para o servidor SSO, se disponível.

USER_COMMUNICATION

Campos obrigatórios:

  • Principal: preencha o campo principal.user com detalhes associados à comunicação iniciada pelo usuário (remetente), como uma mensagem de chat no Google Chat ou Slack, uma videoconferência ou chamada de voz no Zoom ou no Google Meet ou uma conexão VoIP.

Campos opcionais:

  • target: (recomendado) preencha o campo target.user com informações sobre o usuário de destino (receptor) do recurso de comunicação na nuvem. Preencha o campo target.application com informações sobre o aplicativo de comunicação na nuvem de destino.

USER_CREATION, USER_DELETION

Campos obrigatórios:

  • metadata: evento_timestamp
  • principal:inclua informações sobre a máquina de origem da solicitação de criação ou exclusão do usuário. Para criar ou excluir um usuário local, principal precisa incluir pelo menos um identificador para a máquina de origem.
  • target: local onde o usuário está sendo criado. Também precisa incluir informações do usuário (por exemplo, target.user).

Campos opcionais:

  • principal:os detalhes do processo e do usuário da máquina em que a solicitação de criação ou exclusão foi iniciada.
  • target: informações sobre a máquina de destino (se for diferente da máquina principal).

USER_LOGIN, USER_LOGOUT

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios.
  • Principal: para atividade remota do usuário (por exemplo, login remoto), preencha o principal com informações sobre a máquina que originou a atividade do usuário. Para atividades locais do usuário (por exemplo, login local), não defina o principal.
  • target: preencher target.user com informações sobre o usuário que fez login ou saiu. Se o principal não estiver definido (por exemplo, login local), o destino também precisará incluir pelo menos um identificador de máquina que identifique o computador de destino. Para atividade de usuários de máquinas para máquina (por exemplo, login remoto, SSO, serviço de nuvem, VPN), o destino precisa incluir informações sobre o aplicativo de destino, a máquina de destino ou o servidor VPN de destino.
  • intermediário: para logins via SSO, o intermediário precisa ter pelo menos um identificador de máquina para o servidor SSO, se disponível.
  • network e network.http: se o login ocorrer por HTTP, será necessário colocar todos os detalhes disponíveis em network.ip_protocol, network.application_protocol e network.http.
  • Extensão authentication: precisa identificar o tipo de sistema de autenticação relacionado ao evento (por exemplo, máquina, SSO ou VPN) e o mecanismo empregado (nome de usuário e senha, OTP etc.).
  • security_result: adicione um campo "security_result" para representar o status de login se ele falhar. Especifique security_result.category com o valor AUTH_VIOLATION se a autenticação falhar.

USER_RESOURCE_ACCESS

Campos obrigatórios:

  • Principal: preencha o campo principal.user com detalhes sobre tentativas de acessar um recurso da nuvem, como um caso do Salesforce, agenda do Office 365, arquivo do Documentos Google ou ServiceNow.
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obrigatórios:

  • Principal: preencha o campo principal.user com os detalhes associados ao usuário criado em um recurso da nuvem, como um caso do Salesforce, um calendário do Office 365, um arquivo do Documentos Google ou um serviço do Now.
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obrigatórios:

  • Principal: preencha o campo principal.user com os detalhes associados ao usuário com conteúdo atualizado em um recurso da nuvem. Por exemplo, um caso do Salesforce, uma agenda do Office365, um arquivo do Documentos Google ou uma passagem do ServiceNow.
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obrigatórios:

  • Principal: preencha o campo principal.user com os detalhes associados ao usuário com as permissões atualizadas em um recurso da nuvem. Por exemplo, um caso do Salesforce, uma agenda do Office 365, um arquivo do Documentos Google ou uma passagem do ServiceNow.
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_UNCATEGORIZED

Campos obrigatórios:

  • metadata: evento_timestamp
  • principal:inclua informações sobre a máquina de origem da solicitação de criação ou exclusão do usuário. Para criar ou excluir um usuário local, principal precisa incluir pelo menos um identificador para a máquina de origem.
  • target: local onde o usuário está sendo criado. Também precisa incluir informações do usuário (por exemplo, target.user).

Campos opcionais:

  • principal:os detalhes do processo e do usuário da máquina em que a solicitação de criação ou exclusão foi iniciada.
  • target: informações sobre a máquina de destino (se for diferente da máquina principal).