Guia de uso da UDM

Este documento fornece uma descrição detalhada dos campos no esquema do modelo de dados unificado (UDM). Ele lista os campos obrigatórios e opcionais para cada tipo de evento.

Para detalhes sobre campos específicos do UDM (por exemplo, números de enumeração), consulte a lista de campos do modelo de dados unificado.

Formatos de nome de campo da UDM:

• Para avaliação do mecanismo de regras, o prefixo começa com udm.
• Para o normalizador baseado em configuração (CBN), o prefixo começa com event.idm.read_only_udm.

Preenchimento de metadados de eventos

A seção de metadados de eventos da UDM armazena informações gerais sobre cada evento.

Metadata.event_type

• Finalidade: especifica o tipo do evento. Se um evento tiver vários tipos possíveis, esse valor precisará especificar o tipo mais específico.
• Obrigatório: sim.
• Codificação: precisa ser um dos tipos enumerados event_type predefinidos da UDM.
• Valores possíveis: a lista a seguir mostra todos os valores possíveis para "event_type" na UDM.

Eventos de analistas

• ANALYST_ADD_COMMENT
• ANALYST_UPDATE_PRIORITY
• ANALYST_UPDATE_REASON
• ANALYST_UPDATE_REPUTATION
• ANALYST_UPDATE_RISK_SCORE
• ANALYST_UPDATE_ROOT_CAUSE
• ANALYST_UPDATE_SEVERITY_SCORE
• ANALYST_UPDATE_STATUS
• ANALYST_UPDATE_VERDICT

Eventos do dispositivo

• DEVICE_CONFIG_UPDATE
• DEVICE_FIRMWARE_UPDATE
• DEVICE_PROGRAM_DOWNLOAD
• DEVICE_PROGRAM_UPLOAD

Eventos de e-mail

• EMAIL_UNCATEGORIZED
• EMAIL_TRANSACTION
• EMAIL_URL_CLICK

Eventos não especificados

• EVENTTYPE_UNSPECIFIED

Eventos de arquivo realizados em um endpoint

• FILE_UNCATEGORIZED
• FILE_COPY (por exemplo, copiar um arquivo para um pen drive)
• FILE_CREATION
• FILE_DELETION
• FILE_MODIFICATION
• FILE_MOVE
• FILE_OPEN (por exemplo, abrir um arquivo pode indicar uma violação de segurança)
• FILE_READ (por exemplo, leitura de um arquivo de senha)
• FILE_SYNC

Eventos que não se encaixam em nenhuma outra categoria

Eventos que não se enquadram em nenhuma outra categoria, incluindo eventos do Windows sem categoria:

• GENERIC_EVENT

Eventos de atividade em grupo

• GROUP_UNCATEGORIZED
• GROUP_CREATION
• GROUP_DELETION
• GROUP_MODIFICATION

Eventos de mutex

• MUTEX_UNCATEGORIZED
• MUTEX_CREATION

Eventos de telemetria de rede

Eventos de telemetria de rede, que incluem payloads de protocolo brutos, como DHCP e DNS, além de resumos de protocolos como HTTP, SMTP e FTP e eventos de fluxo e conexão do NetFlow e de firewalls:

• NETWORK_UNCATEGORIZED
• NETWORK_CONNECTION (por exemplo, detalhes de conexão de rede de um firewall)
• NETWORK_DHCP
• NETWORK_DNS
• NETWORK_FLOW (por exemplo, estatísticas de fluxo agregadas do Netflow)
• NETWORK_FTP
• NETWORK_HTTP
• NETWORK_SMTP

Processar eventos

Qualquer evento relacionado a um processo, como o início de um processo, a criação de algo malicioso por um processo, a injeção de um processo em outro, a mudança de uma chave de registro ou a criação de um arquivo malicioso no disco:

• PROCESS_UNCATEGORIZED
• PROCESS_INJECTION
• PROCESS_LAUNCH
• PROCESS_MODULE_LOAD
• PROCESS_OPEN
• PROCESS_PRIVILEGE_ESCALATION
• PROCESS_TERMINATION

Eventos do registro

Use os seguintes eventos de REGISTRO em vez dos eventos de CONFIGURAÇÃO ao lidar com eventos de registro específicos do Microsoft Windows:

• REGISTRY_UNCATEGORIZED
• REGISTRY_CREATION
• REGISTRY_MODIFICATION
• REGISTRY_DELETION

Eventos do recurso

• RESOURCE_CREATION
• RESOURCE_DELETION
• RESOURCE_PERMISSIONS_CHANGE
• RESOURCE_READ
• RESOURCE_WRITTEN

Eventos orientados a varredura

Os eventos orientados a verificação incluem verificações sob demanda e detecções comportamentais realizadas por produtos de segurança de endpoint (EDR, AV, DLP). Eles são usados apenas ao anexar um SecurityResult a outro tipo de evento (como PROCESS_LAUNCH).

Eventos orientados a varredura:

• SCAN_UNCATEGORIZED
• SCAN_FILE
• SCAN_HOST
• SCAN_NETWORK
• SCAN_PROCESS
• SCAN_PROCESS_BEHAVIORS
• SCAN_VULN_HOST
• SCAN_VULN_NETWORK

Eventos de tarefas agendadas (Agendador de tarefas do Windows, cron etc.)

• SCHEDULED_TASK_UNCATEGORIZED
• SCHEDULED_TASK_CREATION
• SCHEDULED_TASK_DELETION
• SCHEDULED_TASK_DISABLE
• SCHEDULED_TASK_ENABLE
• SCHEDULED_TASK_MODIFICATION

Eventos de serviço

• SERVICE_UNSPECIFIED
• SERVICE_CREATION
• SERVICE_DELETION
• SERVICE_MODIFICATION
• SERVICE_START
• SERVICE_STOP

Definir eventos

Para definir requisitos de evento, consulte Configurações - campos obrigatórios.

Eventos de configuração, incluindo quando uma configuração do sistema é alterada em um endpoint:

• SETTING_UNCATEGORIZED
• SETTING_CREATION
• SETTING_DELETION
• SETTING_MODIFICATION

Mensagens de status de produtos de segurança

Mensagens de status de produtos de segurança para indicar que os agentes estão ativos e enviar versão, impressão digital ou outros tipos de dados:

• STATUS_UNCATEGORIZED
• STATUS_HEARTBEAT (indica que o produto está ativo)
• STATUS_STARTUP
• STATUS_SHUTDOWN
• STATUS_UPDATE (atualização de software ou impressão digital)

Eventos de registro de auditoria do sistema

• SYSTEM_AUDIT_LOG_UNCATEGORIZED
• SYSTEM_AUDIT_LOG_WIPE

Eventos de atividade de autenticação do usuário

• USER_UNCATEGORIZED
• USER_BADGE_IN (por exemplo, quando um usuário faz check-in físico em um site)
• USER_CHANGE_PASSWORD
• USER_CHANGE_PERMISSIONS
• USER_COMMUNICATION
• USER_CREATION
• USER_DELETION
• USER_LOGIN
• USER_LOGOUT
• USER_RESOURCE_ACCESS
• USER_RESOURCE_CREATION
• USER_RESOURCE_DELETION
• USER_RESOURCE_UPDATE_CONTENT
• USER_RESOURCE_UPDATE_PERMISSIONS
• USER_STATS

Metadata.collected_timestamp

• Finalidade: codifica o carimbo de data/hora GMT quando o evento foi coletado pela infraestrutura de coleta local do fornecedor.
• Codificação: RFC 3339, conforme apropriado para o formato de carimbo de data/hora JSON ou Proto3.
• Exemplo:
  • RFC 3339: "2019-09-10T20:32:31-08:00"
  • Formato Proto3: "2012-04-23T18:25:43.511Z"

Metadata.event_timestamp

• Finalidade: codifica o carimbo de data/hora GMT em que o evento foi gerado.
• Obrigatório: sim
• Codificação: RFC 3339, conforme apropriado para o formato de carimbo de data/hora JSON ou Proto3.
• Exemplo:
  • RFC 3339: 2019-09-10T20:32:31-08:00
  • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadata.description

• Finalidade: descrição legível do evento.
• Codificação: string alfanumérica, pontuação permitida, máximo de 1.024 bytes
• Exemplo: o arquivo c:\bar\foo.exe foi impedido de acessar o documento sensível c:\documents\earnings.docx.

Metadata.product_event_type

• Finalidade: nome ou tipo de evento curto, descritivo, legível e específico do produto.
• Codificação: string alfanumérica, pontuação permitida, máximo de 64 bytes.
• Exemplos:
  • Evento de criação de registro
  • ProcessRollUp
  • Escalonamento de privilégios detectado
  • Malware bloqueado

Metadata.product_log_id

• Finalidade: codifica um identificador de evento específico do fornecedor para identificar o evento de forma exclusiva (um GUID). Os usuários podem usar esse identificador para pesquisar o evento em questão no console proprietário do fornecedor.
• Codificação: string alfanumérica sensível a maiúsculas e minúsculas, pontuação permitida, máximo de 256 bytes.
• Exemplo: ABcd1234-98766

Metadata.product_name

• Finalidade: especifica o nome do produto.
• Codificação: string alfanumérica sensível a maiúsculas e minúsculas, pontuação permitida, máximo de 256 bytes.
• Exemplos:
  • Falcon
  • Symantec Endpoint Protection

Metadata.product_version

• Finalidade: especifica a versão do produto.
• Codificação: string alfanumérica, pontos e traços permitidos, máximo de 32 bytes
• Exemplos:
  • 1.2.3b
  • 10.3:rev1

Metadata.url_back_to_product

• Finalidade: URL que direciona a um site relevante onde você pode conferir mais informações sobre esse evento específico (ou a categoria geral de eventos).
• Codificação: URL RFC 3986 válido com parâmetros opcionais, como informações de porta etc. Precisa ter um prefixo de protocolo antes do URL (por exemplo, https:// ou http://).
• Exemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

• Finalidade: especifica o nome do fornecedor do produto.
• Codificação: string alfanumérica sensível a maiúsculas e minúsculas, com pontuação permitida, máximo de 256 bytes
• Exemplos:
  • CrowdStrike
  • Symantec

Preenchimento de metadados de substantivo

Nesta seção, a palavra Substantivo é um termo abrangente usado para representar as entidades: principal, src, target, intermediary, observer e about. Essas entidades têm atributos comuns, mas representam objetos diferentes em um evento. Para mais informações sobre entidades e o que cada uma representa em um evento, consulte Formatar dados de registro como UDM.

Noun.asset_id

• Finalidade: identificador exclusivo de dispositivo específico do fornecedor (por exemplo, um GUID gerado ao instalar um software de segurança de endpoint em um novo dispositivo usado para rastrear esse dispositivo exclusivo ao longo do tempo).
• Codificação: VendorName.ProductName:ID, em que VendorName é um nome de fornecedor sem diferenciação de maiúsculas e minúsculas, como "Carbon Black", ProductName é um nome de produto sem diferenciação de maiúsculas e minúsculas, como "Response" ou "Endpoint Protection", e ID é um identificador de cliente específico do fornecedor que é globalmente exclusivo no ambiente do cliente (por exemplo, um GUID ou um valor exclusivo que identifica um dispositivo exclusivo). VendorName e ProductName são alfanuméricos e têm no máximo 32 caracteres. O ID pode ter no máximo 128 caracteres e incluir caracteres alfanuméricos, traços e pontos.
• Exemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Noun.email

• Finalidade: endereço de e-mail
• Codificação: formato padrão de endereço de e-mail.
• Exemplo: joao@test.altostrat.com

Noun.file

• Finalidade: metadados detalhados do arquivo.
• Tipo: objeto
• Consulte Preenchimento de metadados de arquivo.

Noun.hostname

• Finalidade: campo de nome do host ou nome de domínio do cliente. Não inclua se um URL estiver presente.
• Codificação: nome de host RFC 1123 válido.
• Exemplos:
  • userwin10
  • www.altostrat.com

Noun.platform

• Finalidade: sistema operacional da plataforma.
• Codificação: enum
• Valores possíveis:
  • LINUX
  • MAC
  • WINDOWS
  • UNKNOWN_PLATFORM

Noun.platform_patch_level

• Finalidade: nível de patch do sistema operacional da plataforma.
• Codificação: string alfanumérica com pontuação, no máximo 64 caracteres.
• Exemplo: build 17134.48

Noun.platform_version

• Finalidade: versão do sistema operacional da plataforma.
• Codificação: string alfanumérica com pontuação, no máximo 64 caracteres.
• Exemplo: Microsoft Windows 10 versão 1803

Noun.process

• Finalidade: metadados detalhados do processo.
• Tipo: objeto
• Consulte Preenchimento de metadados de processo.

Noun.ip

• Finalidade:
  • Endereço IP único associado a uma conexão de rede.
  • Um ou mais endereços IP associados a um dispositivo do participante no momento do evento. Por exemplo, se um produto de EDR souber todos os endereços IP associados a um dispositivo, ele poderá codificar todos esses endereços nos campos de IP.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.
• Repetibilidade:
  • Se um evento descrever uma conexão de rede específica (por exemplo, srcip:srcport > dstip:dstport), o fornecedor precisará fornecer apenas um endereço IP.
  • Se um evento estiver descrevendo uma atividade geral que ocorre em um dispositivo do participante, mas não uma conexão de rede específica, o fornecedor poderá fornecer todos os endereços IP associados ao dispositivo no momento do evento.
• Exemplos:
  • 192.168.1.2
  • 2001:db8:1:3::1

Noun.port

• Finalidade: número da porta de rede de origem ou destino quando uma conexão de rede específica é descrita em um evento.
• Codificação: número de porta TCP/IP válido de 1 a 65.535.

• Exemplos:

  • 80
  • 443

Noun.mac

• Finalidade: um ou mais endereços MAC associados a um dispositivo.
• Codificação: endereço MAC válido (EUI-48) em ASCII.
• Repetibilidade: o fornecedor pode fornecer todos os endereços MAC associados ao dispositivo no momento do evento.
• Exemplos:
  • fedc:ba98:7654:3210:fedc:ba98:7654:3210
  • 1080:0:0:0:8:800:200c:417a
  • 00:a0:0:0:c9:14:c8:29

Noun.administrative_domain

• Finalidade: domínio a que o dispositivo pertence (por exemplo, o domínio do Windows).
• Codificação: string de nome de domínio válida (máximo de 128 caracteres).
• Exemplo: corp.altostrat.com

Noun.registry

• Finalidade: metadados detalhados do registro.
• Tipo: objeto
• Consulte Preenchimento de metadados do registro.

Noun.url

• Finalidade: URL padrão
• Codificação: URL (RFC 3986). Precisa ter um prefixo de protocolo válido (por exemplo, https:// ou ftp://). Precisa incluir o domínio e o caminho completos. Pode incluir os parâmetros do URL.
• Exemplo: https://foo.altostrat.com/bletch?a=b;c=d

Noun.user

• Finalidade: metadados detalhados do usuário.
• Tipo: objeto
• Consulte Preenchimento de metadados do usuário.

Preenchimento de metadados de autenticação

Authentication.AuthType

• Finalidade: tipo de sistema a que um evento de autenticação está associado (UDM do Google Security Operations).
• Codificação: tipo enumerado.
• Valores possíveis:
  • AUTHTYPE_UNSPECIFIED
  • MACHINE: autenticação de máquina
  • FÍSICA: autenticação física (por exemplo, um leitor de crachás)
  • SSO
  • TACACS: protocolo da família TACACS para autenticação de sistemas em rede (por exemplo, TACACS ou TACACS+)
  • VPN

Authentication.Authentication_Status

• Finalidade: descreve o status de autenticação de um usuário ou uma credencial específica.
• Codificação: tipo enumerado.
• Valores possíveis:
  • UNKNOWN_AUTHENTICATION_STATUS: status de autenticação padrão.
  • ACTIVE: o método de autenticação está em um estado ativo.
  • SUSPENSO: o método de autenticação está suspenso ou desativado.
  • DELETED: o método de autenticação foi excluído.
  • NO_ACTIVE_CREDENTIALS: o método de autenticação não tem credenciais ativas.

Authentication.auth_details

• Finalidade: detalhes de autenticação definidos pelo fornecedor.
• Codificação: string.

Authentication.Mechanism

• Finalidade: mecanismos usados para autenticação.
• Codificação: tipo enumerado.
• Valores possíveis:
  • MECHANISM_UNSPECIFIED: mecanismo de autenticação padrão.
  • BADGE_READER
  • BATCH: autenticação em lote.
  • CACHED_INTERACTIVE: autenticação interativa usando credenciais armazenadas em cache.
  • HARDWARE_KEY
  • LOCAL
  • MECHANISM_OTHER: algum outro mecanismo que não está definido aqui.
  • NETWORK: autenticação de rede.
  • NETWORK_CLEAR_TEXT: autenticação de texto não criptografado da rede.
  • NEW_CREDENTIALS: autenticação com novas credenciais.
  • OTP
  • REMOTE: autenticação remota
  • REMOTE_INTERACTIVE: RDP, serviços de terminal, Virtual Network Computing (VNC) etc.
  • SERVICE: autenticação de serviço.
  • UNLOCK: autenticação de desbloqueio interativa humana direta.
  • USERNAME_PASSWORD

Preenchimento de metadados de DHCP

Os campos de metadados do protocolo de controle dinâmico de host (DHCP) capturam informações de registro do protocolo de gerenciamento de rede DHCP.

Dhcp.client_hostname

• Finalidade: nome do host para o cliente. Consulte RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP, para mais informações.
• Codificação: string.

Dhcp.client_identifier

• Finalidade: identificador do cliente. Consulte RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP, para mais informações.
• Codificação: bytes.

Dhcp.file

• Finalidade: nome de arquivo da imagem de inicialização.
• Codificação: string.

Dhcp.flags

• Objetivo: valor do campo "Flags do DHCP".
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.hlen

• Finalidade: comprimento do endereço de hardware.
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.hops

• Objetivo: contagem de saltos do DHCP.
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.htype

• Finalidade: tipo de endereço de hardware.
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.lease_time_seconds

• Finalidade: tempo de concessão solicitado pelo cliente para um endereço IP em segundos. Consulte RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP, para mais informações.
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.opcode

• Finalidade: código de operação BOOTP (consulte a seção 3 da RFC 951).
• Codificação: tipo enumerado.
• Valores possíveis:
  • UNKNOWN_OPCODE
  • BOOTREQUEST
  • BOOTREPLY

Dhcp.requested_address

• Finalidade: identificador do cliente. Consulte RFC 2132, Opções de DHCP e extensões de fornecedor BOOTP, para mais informações.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.seconds

• Finalidade: segundos decorridos desde que o cliente iniciou o processo de aquisição/renovação de endereço.
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.sname

• Finalidade: nome do servidor que o cliente solicitou para inicialização.
• Codificação: string.

Dhcp.transaction_id

• Finalidade: ID da transação do cliente.
• Codificação: número inteiro sem sinal de 32 bits.

Dhcp.type

• Objetivo: tipo de mensagem DHCP. Consulte a RFC 1533 para mais informações.
• Codificação: tipo enumerado.
• Valores possíveis:
  • UNKNOWN_MESSAGE_TYPE
  • DESCOBRIR
  • OFERTA
  • SOLICITAÇÃO
  • RECUSAR
  • CONF
  • NAK
  • RELEASE
  • INFORMAR
  • WIN_DELECTED
  • WIN_EXPIRED

Dhcp.chaddr

• Finalidade: endereço IP do hardware do cliente.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.ciaddr

• Finalidade: endereço IP do cliente.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.giaddr

• Finalidade: endereço IP do agente de retransmissão.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.siaddr

• Finalidade: endereço IP do próximo servidor de inicialização.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.yiaddr

• Finalidade: seu endereço IP.
• Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Preenchimento de metadados da opção DHCP

Os campos de metadados da opção DHCP capturam as informações de registro da opção DHCP.

Option.code

• Finalidade: armazena o código da opção DHCP. Consulte a RFC 1533, Opções de DHCP e extensões de fornecedor BOOTP (em inglês), para mais informações.
• Codificação: inteiro sem sinal de 32 bits.

Option.data

• Finalidade: armazena os dados da opção DHCP. Consulte a RFC 1533, Opções de DHCP e extensões de fornecedor BOOTP (em inglês), para mais informações.
• Codificação: bytes.

População de metadados de DNS

Os campos de metadados do DNS capturam informações relacionadas a pacotes de solicitação e resposta do DNS. Eles têm uma correspondência individual com os dados encontrados em datagramas de solicitação e resposta de DNS.

Dns.authoritative

• Finalidade: defina como "true" para servidores DNS autoritativos.
• Encoding: booleano.

Dns.id

• Finalidade: armazena o identificador de consulta DNS.
• Codificação: inteiro de 32 bits.

Dns.response

• Finalidade: defina como "true" se o evento for uma resposta DNS.
• Encoding: booleano.

Dns.opcode

• Finalidade: armazena o OpCode do DNS usado para especificar o tipo de consulta DNS (padrão, inversa, status do servidor etc.).
• Codificação: inteiro de 32 bits.

Dns.recursion_available

• Finalidade: definido como verdadeiro se uma busca DNS recursiva estiver disponível.
• Encoding: booleano.

Dns.recursion_desired

• Finalidade: definida como "true" se uma busca DNS recursiva for solicitada.
• Encoding: booleano.

Dns.response_code

• Finalidade: armazena o código de resposta do DNS, conforme definido pela RFC 1035, Nomes de domínio: implementação e especificação.
• Codificação: inteiro de 32 bits.

Dns.truncated

• Finalidade: definido como "true" se for uma resposta DNS truncada.
• Encoding: booleano.

Dns.questions

• Finalidade: armazena as perguntas da mensagem do protocolo de domínio. Consulte Preenchimento de metadados de consulta de DNS.

Dns.answers

• Finalidade: armazena a resposta à consulta de nome de domínio. Consulte Preenchimento de metadados de registros de recursos DNS.

Dns.authority

• Finalidade: armazena os servidores de nomes de domínio que verificaram a resposta à consulta de nome de domínio. Consulte Preenchimento de metadados de registros de recursos DNS.

Dns.additional

• Finalidade: armazena os servidores de nomes de domínio adicionais que podem ser usados para verificar a resposta ao domínio. Consulte Preenchimento de metadados de registros de recursos DNS.

Preenchimento de metadados de pergunta DNS

Os campos de metadados de perguntas do DNS capturam as informações contidas na seção de perguntas de uma mensagem de protocolo de domínio.

Question.name

• Finalidade: armazena o nome de domínio.
• Codificação: string.

Question.class

• Finalidade: armazena o código que especifica a classe da consulta.
• Codificação: inteiro de 32 bits.

Question.type

• Finalidade: armazena o código que especifica o tipo da consulta.
• Codificação: inteiro de 32 bits.

Preenchimento de metadados de registros de recursos DNS

Os campos de metadados do registro de recurso DNS capturam as informações contidas no registro de recurso de uma mensagem de protocolo de domínio.

ResourceRecord.binary_data

• Finalidade: armazena os bytes brutos de strings não UTF8 que podem ser incluídas como parte de uma resposta de DNS. Esse campo só pode ser usado se os dados de resposta retornados pelo servidor DNS contiverem dados não UTF8. Caso contrário, coloque a resposta de DNS no campo de dados abaixo. Esse tipo de informação precisa ser armazenado aqui, e não em ResourceRecord.data.

• Codificação: bytes.

ResourceRecord.class

• Finalidade: armazena o código que especifica a classe do registro de recurso.
• Codificação: inteiro de 32 bits.

ResourceRecord.data

• Finalidade: armazena a carga útil ou a resposta à pergunta de DNS para todas as respostas codificadas no formato UTF-8. Por exemplo, o campo de dados pode retornar o endereço IP da máquina a que o nome de domínio se refere. Se o registro de recurso for de um tipo ou classe diferente, ele poderá conter outro nome de domínio (quando um nome de domínio é redirecionado para outro). Os dados precisam ser armazenados exatamente como estão na resposta do DNS.
• Codificação: string.

ResourceRecord.name

• Finalidade: armazena o nome do proprietário do registro de recurso.
• Codificação: string.

ResourceRecord.ttl

• Finalidade: armazena o intervalo de tempo em que o registro de recurso pode ser armazenado em cache antes que a fonte de informações seja consultada novamente.
• Codificação: inteiro de 32 bits.

ResourceRecord.type

• Finalidade: armazena o código que especifica o tipo do registro de recurso.
• Codificação: inteiro de 32 bits.

Preenchimento de metadados de e-mail

A maioria dos campos de metadados de e-mail captura os endereços de e-mail incluídos no cabeçalho da mensagem e precisa estar em conformidade com o formato padrão de endereço de e-mail (local-mailbox@domain), conforme definido no RFC 5322. Por exemplo, frank@email.example.com.

Email.from

• Finalidade: armazena o endereço de e-mail from.
• Codificação: string.

Email.reply_to

• Finalidade: armazena o endereço de e-mail reply_to.
• Codificação: string.

Email.to

• Finalidade: armazena os endereços de e-mail para.
• Codificação: string.

Email.cc

• Finalidade: armazena os endereços de e-mail cc.
• Codificação: string.

Email.bcc

• Finalidade: armazena os endereços de e-mail Cco.
• Codificação: string.

Email.mail_id

• Finalidade: armazena o ID do e-mail (ou da mensagem).
• Codificação: string.
• Exemplo: 192544.132632@email.example.com

Email.subject

• Finalidade: armazena a linha de assunto do e-mail.
• Codificação: string.
• Exemplo: "Leia esta mensagem."

Preenchimento de metadados de extensões

Tipos de eventos com metadados de primeira classe que ainda não foram categorizados pelo UDM do Google SecOps.

Extensions.auth

• Finalidade: extensão dos metadados de autenticação.
• Codificação: string.
• Exemplos:
  • Metadados da sandbox (todos os comportamentos exibidos por um arquivo, por exemplo, FireEye).
  • Dados de controle de acesso à rede (NAC).
  • Detalhes do LDAP sobre um usuário (por exemplo, função, organização etc.).

Extensions.auth.auth_details

• Finalidade: especifique os detalhes específicos do fornecedor para o tipo ou mecanismo de autenticação. Os provedores de autenticação geralmente definem tipos como "via_mfa" ou "via_ad", que fornecem informações úteis sobre o tipo de autenticação. Esses tipos ainda podem ser generalizados em auth.type ou auth.mechanism para usabilidade e compatibilidade de regras entre conjuntos de dados.
• Codificação: string.
• Exemplos: via_mfa, via_ad.

Extensions.vulns

• Finalidade: extensão dos metadados de vulnerabilidade.
• Codificação: string.
• Exemplo: dados de verificação de vulnerabilidade do host.

Preenchimento de metadados de arquivos

File.file_metadata

• Finalidade: metadados associados ao arquivo.
• Codificação: string.
• Exemplos:
  • Autor
  • Número da revisão
  • Número da versão
  • Data da última vez que foi salva

File.full_path

• Finalidade: caminho completo que identifica o local do arquivo no sistema.
• Codificação: string.
• Exemplo: \Program Files\Custom Utilities\Test.exe

File.md5

• Objetivo: valor de hash MD5 do arquivo.
• Codificação: string hexadecimal em minúsculas.
• Exemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

File.mime_type

• Finalidade: tipo MIME (Multipurpose Internet Mail Extensions) do arquivo.
• Codificação: string.
• Exemplos:
  • PE
  • PDF
  • script do PowerShell

File.sha1

• Finalidade: valor de hash SHA-1 do arquivo.
• Codificação: string hexadecimal em minúsculas.
• Exemplo: eb3520d53b45815912f2391b713011453ed8abcf

File.sha256

• Finalidade: valor de hash SHA-256 do arquivo.
• Codificação: string hexadecimal em minúsculas.
• Exemplo: d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

File.size

• Objetivo: tamanho do arquivo.
• Codificação: número inteiro sem sinal de 64 bits.
• Exemplo: 342135

Preenchimento de metadados de FTP

Ftp.command

• Finalidade: armazena o comando FTP.
• Codificação: string.
• Exemplos:
  • binary
  • excluir
  • get
  • put

População de metadados do grupo

Informações sobre um grupo organizacional.

Group.creation_time

• Objetivo: horário de criação do grupo.
• Codificação: RFC 3339, conforme apropriado para o formato de carimbo de data/hora JSON ou Proto3.

Group.email_addresses

• Finalidade: agrupar dados de contato.
• Codificação: e-mail.

Group.group_display_name

• Finalidade: nome de exibição do grupo.
• Codificação: string.
• Exemplos:
  • Finanças
  • RH
  • Marketing

Group.product_object_id

• Finalidade: identificador de objeto de usuário globalmente exclusivo para o produto, como um identificador de objeto LDAP.
• Codificação: string.

Group.windows_sid

• Finalidade: campo de atributo do grupo de identificadores de segurança (SID) do Microsoft Windows.
• Codificação: string.

Preenchimento de metadados HTTP

Http.method

• Finalidade: armazena o método de solicitação HTTP.
• Codificação: string.
• Exemplos:
  • GET
  • HEAD
  • POST

Http.referral_url

• Finalidade: armazena o URL do referenciador HTTP.
• Codificação: URL RFC 3986 válido.
• Exemplo: https://www.altostrat.com

Http.response_code

• Finalidade: armazena o código de status da resposta HTTP, que indica se uma solicitação HTTP específica foi concluída com sucesso.
• Codificação: inteiro de 32 bits.
• Exemplos:
  • 400
  • 404

Http.user_agent

• Finalidade: armazena o cabeçalho de solicitação do user agent, que inclui o tipo de aplicativo, o sistema operacional, o fornecedor ou a versão do software do user agent solicitante.
• Codificação: string.
• Exemplos:
  • Mozilla/5.0 (X11; Linux x86_64)
  • AppleWebKit/534.26 (KHTML, like Gecko)
  • Chrome/41.0.2217.0
  • Safari/527.33

Preenchimento de metadados de local

Location.city

• Finalidade: armazena o nome da cidade.
• Codificação: string.
• Exemplos:
  • Sunnyvale
  • Chicago
  • Málaga

Location.country_or_region

• Finalidade: armazena o nome do país ou da região do mundo.
• Codificação: string.
• Exemplos:
  • Estados Unidos
  • Reino Unido
  • Espanha

Location.name

• Finalidade: armazena o nome específico da empresa, como um prédio ou campus.
• Codificação: string.
• Exemplos:
  • Campus 7B
  • Edifício A2

Location.state

• Finalidade: armazena o nome do estado, da província ou do território.
• Codificação: string.
• Exemplos:
  • Califórnia
  • Illinois
  • Ontário

Preenchimento de metadados de rede

Network.application_protocol

• Finalidade: indica o protocolo de aplicativo de rede.
• Codificação: tipo enumerado.

• Valores possíveis:

  • UNKNOWN_APPLICATION_PROTOCOL
  • AFP
  • APPC
  • AMQP
  • ATOM
  • BEEP
  • BITCOIN
  • BIT_TORRENT
  • CFDP
  • CIP
  • COAP
  • COTP
  • DCERPC
  • DDS
  • DEVICE_NET
  • DHCP
  • DICOM
  • DNP3
  • DNS
  • E_DONKEY
  • ENRP
  • FAST_TRACK
  • FINGER
  • FREENET
  • FTAM
  • GOOSE
  • GOPHER
  • GRPC
  • HL7
  • H323
  • HTTP
  • HTTPS
  • IEC104
  • IRCP
  • KADEMLIA
  • KRB5
  • LDAP
  • LPD
  • MIME
  • MMS
  • MODBUS
  • MQTT
  • NETCONF
  • NFS
  • NIS
  • NNTP
  • NTCIP
  • NTP
  • OSCAR
  • PNRP
  • PTP
  • QUIC
  • RDP
  • RELP
  • RIP
  • RLOGIN
  • RPC
  • RTMP
  • RTP
  • RTPS
  • RTSP
  • SAP
  • SDP
  • SIP
  • SLP
  • SMB
  • SMTP
  • SNMP
  • SNTP
  • SSH
  • SSMS
  • STYX
  • SV
  • TCAP
  • TDS
  • TOR
  • TSP
  • VTP
  • WHOIS
  • WEB_DAV
  • X400
  • X500
  • XMPP

Network.direction

• Finalidade: indica a direção do tráfego de rede.
• Codificação: tipo enumerado.
• Valores possíveis:
  • UNKNOWN_DIRECTION
  • INBOUND
  • OUTBOUND
  • TRANSMISSÃO

Network.email

• Finalidade: especifica o endereço de e-mail do remetente/destinatário.
• Codificação: string.
• Exemplo: jcheng@company.example.com

Network.ip_protocol

• Finalidade: indica o protocolo IP.
• Codificação: tipo enumerado.
• Valores possíveis:
  • UNKNOWN_IP_PROTOCOL
  • EIGRP: Enhanced Interior Gateway Routing Protocol
  • ESP: Encapsulating Security Payload
  • ETHERIP: encapsulamento Ethernet dentro de IP
  • GRE: encapsulamento de roteamento genérico
  • ICMP: Internet Control Message Protocol
  • IGMP: Protocolo de gerenciamento de grupos da Internet
  • IP6IN4: encapsulamento IPv6
  • PIM: multicast independente de protocolo
  • TCP: protocolo TCP
  • UDP: protocolo de datagramas do usuário
  • VRRP: protocolo de redundância de roteador virtual

Network.received_bytes

• Finalidade: especifica o número de bytes recebidos.
• Codificação: número inteiro sem sinal de 64 bits.
• Exemplo: 12.453.654.768

Network.sent_bytes

• Finalidade: especifica o número de bytes enviados.
• Codificação: número inteiro sem sinal de 64 bits.
• Exemplo: 7.654.876

Network.session_duration

• Finalidade: armazena a duração da sessão de rede, geralmente retornada em um evento de desistência da sessão. Para definir a duração, defina network.session_duration.seconds = 1 (tipo int64) ou network.session_duration.nanos = 1 (tipo int32).
• Codificação:
  • Número inteiro de 32 bits para segundos (network.session_duration.seconds).
  • Inteiro de 64 bits para nanossegundos (network.session_duration.nanos).

Network.session_id

• Finalidade: armazena o identificador da sessão de rede.
• Codificação: string.
• Exemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Preenchimento de metadados do processo

Process.command_line

• Finalidade: armazena a string de linha de comando do processo.
• Codificação: string.
• Exemplo: grupo c:\windows\system32\net.exe.

Process.product_specific_process_id

• Finalidade: armazena o ID do processo específico do produto.
• Codificação: string.
• Exemplos: MySQL:78778 ou CS:90512.

Process.parent_process.product_specific_process_id

• Finalidade: armazena o ID do processo específico do produto para o processo principal.
• Codificação: string.
• Exemplos: MySQL:78778 ou CS:90512.

Process.file

• Finalidade: armazena o nome do arquivo em uso pelo processo.
• Codificação: string.
• Exemplo: report.xls

Process.parent_process

• Finalidade: armazena os detalhes do processo principal.
• Codificação: substantivo (processo)

Process.pid

• Finalidade: armazena o ID do processo.
• Codificação: string.
• Exemplos:
  • 308
  • 2002

Preenchimento de metadados do registro

Registry.registry_key

• Finalidade: armazena a chave do registro associada a um aplicativo ou componente do sistema.
• Codificação: string.
• Exemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name

• Finalidade: armazena o nome do valor de registro associado a um aplicativo ou componente do sistema.
• Codificação: string.
• Exemplo: TEMP

Registry.registry_value_data

• Finalidade: armazena os dados associados a um valor de registro.
• Codificação: string.
• Exemplo: %USERPROFILE%\Local Settings\Temp

Preenchimento de metadados de resultados de segurança

Os metadados do resultado de segurança incluem detalhes sobre riscos e ameaças de segurança encontrados por um sistema de segurança, bem como as ações tomadas para mitigar esses riscos e ameaças.

SecurityResult.about

• Finalidade: forneça uma descrição do resultado de segurança.
• Codificação: substantivo.

SecurityResult.action

• Finalidade: especifique uma ação de segurança.
• Codificação: tipo enumerado.
• Valores possíveis: o UDM do Google SecOps define as seguintes ações de segurança:
  • PERMITIR
  • ALLOW_WITH_MODIFICATION: o arquivo ou e-mail foi desinfectado ou reescrito e ainda encaminhado.
  • BLOQUEAR
  • QUARENTENA: armazena para análise posterior (não significa bloqueio).
  • UNKNOWN_ACTION

SecurityResult.action_details

• Finalidade: detalhes fornecidos pelo fornecedor sobre a ação realizada como resultado do incidente de segurança. As ações de segurança geralmente são melhor traduzidas no campo de UDM mais geral Security_Result.action. No entanto, talvez seja necessário escrever regras para a descrição exata da ação fornecida pelo fornecedor.
• Codificação: string.
• Exemplos: drop, block, decrypt, encrypt.

SecurityResult.category

• Finalidade: especifique uma categoria de segurança.
• Codificação: enum.
• Valores possíveis: o UDM do Google SecOps define as seguintes categorias de segurança:
  • ACL_VIOLATION: tentativa de acesso não autorizado, incluindo tentativa de acesso a arquivos, serviços da Web, processos, objetos da Web etc.
  • AUTH_VIOLATION: falha na autenticação, como uma senha ou autenticação de dois fatores incorreta.
  • DATA_AT_REST — DLP: dados do sensor encontrados em repouso em uma verificação.
  • DATA_DESTRUCTION: tentativa de destruir/excluir dados.
  • DATA_EXFILTRATION: DLP: transmissão de dados do sensor, cópia para pen drive.
  • EXPLOIT: tentativas de estouros, codificações de protocolo incorretas, ROP, injeção de SQL etc., com base na rede e no host.
  • MAIL_PHISHING: e-mail de phishing, mensagens de chat etc.
  • MAIL_SPAM: e-mail, mensagem etc. de spam.
  • MAIL_SPOOFING: endereço de e-mail de origem falsificado etc.
  • NETWORK_CATEGORIZED_CONTENT
  • NETWORK_COMMAND_AND_CONTROL: se o canal de comando e controle for conhecido.
  • NETWORK_DENIAL_OF_SERVICE
  • NETWORK_MALICIOUS: comando e controle, exploração de rede, atividade suspeita, possível túnel reverso etc.
  • NETWORK_SUSPICIOUS: não relacionado à segurança. Por exemplo, o URL está vinculado a jogos de azar etc.
  • NETWORK_RECON: verificação de porta detectada por um SDI, sondagem por um aplicativo da Web.
  • POLICY_VIOLATION: violação da política de segurança, incluindo violações de regras de firewall, proxy e HIPS ou ações de bloqueio de NAC.
  • SOFTWARE_MALICIOUS: malware, spyware, rootkits etc.
  • SOFTWARE_PUA: app potencialmente indesejado, como adware etc.
  • SOFTWARE_SUSPICIOUS
  • UNKNOWN_CATEGORY

SecurityResult.confidence

• Finalidade: especifica uma confiança em relação a um ocorrência de segurança estimado pelo produto.
• Codificação: enum.
• Valores possíveis: o UDM do Google SecOps define as seguintes categorias de confiança do produto:
  • UNKNOWN_CONFIDENCE
  • LOW_CONFIDENCE
  • MEDIUM_CONFIDENCE
  • HIGH_CONFIDENCE

SecurityResult.confidence_details

• Finalidade: mais detalhes sobre a confiança de um ocorrência de segurança, conforme estimado pelo fornecedor do produto.
• Codificação: string.

SecurityResult.priority

• Finalidade: especifica uma prioridade em relação a um ocorrência de segurança, conforme estimado pelo fornecedor do produto.
• Codificação: enum.
• Valores possíveis: o UDM do Google SecOps define as seguintes categorias de prioridade de produto:
  • UNKNOWN_PRIORITY
  • LOW_PRIORITY
  • MEDIUM_PRIORITY
  • HIGH_PRIORITY

SecurityResult.priority_details

• Finalidade: informações específicas do fornecedor sobre a prioridade do resultado de segurança.
• Codificação: string.

SecurityResult.rule_id

• Finalidade: identificador da regra de segurança.
• Codificação: string.
• Exemplos:
  • 08123
  • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

• Finalidade: nome da regra de segurança.
• Codificação: string.
• Exemplo: BlockInboundToOracle.

SecurityResult.severity

• Finalidade: gravidade de um ocorrência de segurança estimada pelo fornecedor do produto usando valores definidos pela UDM do Google SecOps.
• Codificação: enum.
• Valores possíveis: o UDM do Google SecOps define as seguintes gravidades de produto:
  • UNKNOWN_SEVERITY: não malicioso
  • INFORMATIVO: não malicioso
  • ERRO: não malicioso
  • BAIXA: maliciosa
  • MÉDIA: maliciosa
  • ALTO: malicioso

SecurityResult.severity_details

• Objetivo: gravidade de um ocorrência de segurança estimada pelo fornecedor do produto.
• Codificação: string.

SecurityResult.threat_name

• Finalidade: nome da ameaça à segurança.
• Codificação: string.
• Exemplos:
  • W32/File-A
  • Slammer

SecurityResult.url_back_to_product

• Finalidade: URL para direcionar você ao console do produto de origem desse ocorrência de segurança.
• Codificação: string.

Preenchimento de metadados do usuário

User.email_addresses

• Finalidade: armazena os endereços de e-mail do usuário.
• Codificação: string repetida.
• Exemplo: johnlocke@company.example.com

User.employee_id

• Finalidade: armazena o ID do funcionário de recursos humanos do usuário.
• Codificação: string.
• Exemplo: 11223344.

User.first_name

• Finalidade: armazena o nome do usuário.
• Codificação: string.
• Exemplo: João.

User.middle_name

• Finalidade: armazena o nome do meio do usuário.
• Codificação: string.
• Exemplo: Anthony.

User.last_name

• Finalidade: armazena o sobrenome do usuário.
• Codificação: string.
• Exemplo: Locke.

User.group_identifiers

• Finalidade: armazena os ID de grupo (um GUID, OID LDAP ou semelhante) associados a um usuário.
• Codificação: string repetida.
• Exemplo: admin-users.

User.phone_numbers

• Finalidade: armazena os números de telefone do usuário.
• Codificação: string repetida.
• Exemplo: 800-555-0101

User.title

• Finalidade: armazena o cargo do usuário.
• Codificação: string.
• Exemplo: gerente de relacionamento com o cliente.

User.user_display_name

• Finalidade: armazena o nome de exibição do usuário.
• Codificação: string.
• Exemplo: John Locke.

User.userid

• Finalidade: armazena o ID do usuário.
• Codificação: string.
• Exemplo: jlocke.

User.windows_sid

• Finalidade: armazena o identificador de segurança (SID) do Microsoft Windows associado a um usuário.
• Codificação: string.
• Exemplo: S-1-5-21-1180649209-123456789-3582944384-1064

População de metadados de vulnerabilidade

Vulnerability.about

• Finalidade: se a vulnerabilidade for sobre um substantivo específico (por exemplo, executável), adicione-o aqui.
• Codificação: substantivo. Consulte Preenchimento de metadados de substantivo.
• Exemplo: executable.

Vulnerability.cvss_base_score

• Finalidade: pontuação base do Common Vulnerability Scoring System (CVSS).
• Codificação: ponto flutuante.
• Intervalo: de 0,0 a 10,0
• Exemplo: 8,5

Vulnerability.cvss_vector

• Finalidade: vetor para as propriedades do CVSS da vulnerabilidade. Uma pontuação do CVSS é composta pelas seguintes métricas:

  • Vetor de ataque (AV)
  • Complexidade de acesso (AC)
  • Autenticação (Au)
  • Impacto na confidencialidade (C)
  • Impacto na integridade (I)
  • Impacto na disponibilidade (A)

  Para mais informações, consulte https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator (em inglês).

• Codificação: string.

• Exemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

• Finalidade: versão do CVSS para a pontuação ou o vetor de vulnerabilidade.
• Codificação: string.
• Exemplo: 3.1

Vulnerability.description

• Finalidade: descrição da vulnerabilidade.
• Codificação: string.

Vulnerability.first_found

• Finalidade: os produtos que mantêm um histórico de verificações de vulnerabilidade precisam preencher "first_found" com o horário em que a vulnerabilidade desse recurso foi detectada pela primeira vez.
• Codificação: string.

Vulnerability.last_found

• Finalidade: os produtos que mantêm um histórico de verificações de vulnerabilidade precisam preencher "last_found" com o horário em que a vulnerabilidade desse recurso foi detectada mais recentemente.
• Codificação: string.

Vulnerability.name

• Finalidade: nome da vulnerabilidade.
• Codificação: string.
• Exemplo: foi detectada uma versão incompatível do SO.

Vulnerability.scan_end_time

• Finalidade: se a vulnerabilidade foi descoberta durante uma verificação de recursos, preencha este campo com o horário em que a verificação terminou. Deixe este campo em branco se o horário de término não estiver disponível ou não for aplicável.
• Codificação: string.

Vulnerability.scan_start_time

• Finalidade: se a vulnerabilidade foi descoberta durante uma verificação de recursos, preencha este campo com o horário em que a verificação começou. Deixe este campo em branco se o horário de início não estiver disponível ou não for aplicável.
• Codificação: string.

Vulnerability.severity

• Finalidade: gravidade da vulnerabilidade.
• Codificação: tipo enumerado.
• Valores possíveis:
  • UNKNOWN_SEVERITY
  • BAIXA
  • MEDIUM
  • ALTA

Vulnerability.severity_details

• Finalidade: detalhes de gravidade específicos do fornecedor.
• Codificação: string.

Preenchimento de metadados de alerta

idm.is_significant

• Objetivo: especifica se o alerta será mostrado no Enterprise Insights.
• Encoding: booleano.

idm.is_alert

• Finalidade: identifica se o evento é um alerta.
• Encoding: booleano.

Campos obrigatórios e opcionais para cada tipo de evento

Esta seção descreve os campos obrigatórios e opcionais que precisam ser preenchidos para cada tipo de evento da UDM.

Para detalhes sobre campos específicos do UDM (por exemplo, números de enumeração), consulte a lista de campos do modelo de dados unificado.

EMAIL_TRANSACTION

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal: preencha com informações sobre a máquina de origem da mensagem de e-mail (por exemplo, o endereço IP do remetente).

Campos opcionais:

• sobre: URLs, IPs, domínios e anexos de arquivos incorporados no corpo do e-mail.
• securityResult.about: URLs, IPs e arquivos ruins incorporados no corpo do e-mail.
• network.email: informações do remetente ou destinatário do e-mail.
• principal: se houver dados da máquina do cliente sobre quem enviou o e-mail, preencha os detalhes do servidor em principal (por exemplo, o processo do cliente, números de porta, nome de usuário etc.).
• target: se houver dados do servidor de e-mail de destino, preencha os detalhes do servidor em target (por exemplo, o endereço IP).
• intermediary: se houver dados do servidor de e-mail ou do proxy de e-mail, preencha os detalhes do servidor em intermediary.

Observações:

• Nunca preencha principal.email ou target.email.
• Preencha apenas o campo de e-mail em security_result.about ou network.email.
• Os resultados de segurança de nível superior geralmente têm um conjunto de substantivos (opcional para spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal:
  • Pelo menos um identificador de máquina.
  • (Opcional) Preencha principal.process com informações sobre o processo que está acessando o arquivo.
• target:
  • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o destino precisará incluir pelo menos um identificador de máquina para a máquina de destino. Caso contrário, todos os identificadores de máquina precisam estar em branco.
  • Preencha "target.file" com informações sobre o arquivo.

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.
• principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

FILE_COPY

Campos obrigatórios:

• metadata: inclua os campos obrigatórios conforme descrito.
• principal:
  • Pelo menos um identificador de máquina.
  • (Opcional) Preencha principal.process com informações sobre o processo que realiza a operação de cópia de arquivo.
• src:
  • Preencha src.file com informações sobre o arquivo de origem.
  • Se o arquivo for remoto (por exemplo, compartilhamento SMB), "src" precisará incluir pelo menos um identificador de máquina para a máquina de origem que armazena o arquivo de origem.
• target:
  • Preencha target.file com informações sobre o arquivo de destino.
  • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o campo target precisará incluir pelo menos um identificador da máquina de destino que contém o arquivo.

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.
• principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

MUTEX_CREATION

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal:
  • Pelo menos um identificador de máquina.
  • Preencha "principal.process" com informações sobre o processo que está criando o mutex.
• target:
  • Preencha target.resource.
  • Preencha target.resource.type com MUTEX.
  • Preencha target.resource.name com o nome do mutex criado.

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.
• principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

Exemplo de UDM para MUTEX_CREATION

O exemplo a seguir ilustra como um evento do tipo MUTEX_CREATION seria formatado para o UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes do dispositivo e do processo.
• target: informações sobre o mutex.

NETWORK_CONNECTION

Campos obrigatórios:

• metadata: event_timestamp
• principal: inclua detalhes sobre a máquina que iniciou a conexão de rede (por exemplo, origem).
• target: inclua detalhes sobre a máquina de destino se ela for diferente da máquina principal.
• network: captura detalhes sobre a conexão de rede (portas, protocolo etc.).

Campos opcionais:

• principal.process e target.process: incluem informações do processo associadas ao principal e ao destino da conexão de rede (se disponíveis).
• principal.user e target.user: incluem informações do usuário associadas ao principal e ao destino da conexão de rede (se disponíveis).

NETWORK_HTTP

O tipo de evento NETWORK_HTTP representa uma conexão de rede HTTP de um principal a um servidor da Web de destino.

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal: representa o cliente que inicia a solicitação da Web e inclui pelo menos um identificador de máquina (por exemplo, nome do host, IP, MAC, identificador de recurso proprietário) ou um identificador de usuário (por exemplo, nome de usuário). Se uma conexão de rede específica for descrita e um número de porta do cliente estiver disponível, apenas um endereço IP precisará ser especificado junto com o número da porta associado a essa conexão de rede. No entanto, outros identificadores de máquina podem ser fornecidos para descrever melhor o dispositivo do participante. Se nenhuma porta de origem estiver disponível, qualquer endereço IP e MAC, identificador de recurso e valor de nome de host que descreva o dispositivo principal poderá ser especificado.
• target: representa o servidor da Web e inclui informações do dispositivo e, opcionalmente, um número de porta. Se um número de porta de destino estiver disponível, especifique apenas um endereço IP além do número da porta associado a essa conexão de rede (embora vários outros identificadores de máquina possam ser fornecidos para o destino). Para target.url, preencha com o URL acessado.
• network e network.http: incluem detalhes sobre a conexão de rede HTTP. Preencha os seguintes campos:
  • network.ip_protocol
  • network.application_protocol
  • network.http.method

Campos opcionais:

• about: representa outras entidades encontradas na transação HTTP (por exemplo, um arquivo enviado ou baixado).
• intermediary: representa um servidor proxy (se for diferente do principal ou do destino).
• metadata: preencha os outros campos de metadados.
• network: preencha outros campos de rede.
• network.email: se a conexão de rede HTTP tiver origem em um URL que apareceu em uma mensagem de e-mail, preencha network.email com os detalhes.
• observer: representa um sniffer passivo (se presente).
• security_result: adicione um ou mais itens ao campo "security_result" para representar a atividade maliciosa detectada.

Exemplo de UDM para NETWORK_HTTP

O exemplo a seguir ilustra como um evento de antivírus da Sophos do tipo NETWORK_HTTP seria convertido para o formato UDM do Google SecOps.

Este é o evento original do antivírus Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Veja como formatar as mesmas informações em Proto3 usando a sintaxe da UDM do Google SecOps:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Google Security Operations-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: dispositivo de segurança que detectou o evento.
• target: dispositivo que recebeu o software malicioso.
• network: informações de rede sobre o host malicioso.
• security_result: detalhes de segurança sobre o software malicioso.
• additional: informações do fornecedor fora do escopo da UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal:
  • Pelo menos um identificador de máquina.
  • Para eventos de injeção e encerramento de processos, se disponível, principal.process precisa incluir informações sobre o processo que inicia a ação. Por exemplo, para um evento de inicialização de processo, principal.process precisa incluir detalhes sobre o processo pai, se disponível.
• target:
  • target.process: inclui informações sobre o processo que está sendo injetado, aberto, iniciado ou encerrado.
  • Se o processo de destino for remoto, o destino precisará incluir pelo menos um identificador de máquina (por exemplo, um endereço IP, MAC, nome do host ou identificador de recurso de terceiros).

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.
• principal.user e target.user: preenchem o processo de início (principal) e o processo de destino se as informações do usuário estiverem disponíveis.

Exemplo de UDM para PROCESS_LAUNCH

O exemplo a seguir ilustra como formatar um evento PROCESS_LAUNCH usando a sintaxe UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: Detalhes do dispositivo.
• destino: detalhes do processo.

PROCESS_MODULE_LOAD

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal:
  • Pelo menos um identificador de máquina.
  • principal.process: processo de carregamento do módulo.
• target:
  • target.process: inclui informações sobre o processo.
  • target.process.file: módulo carregado (por exemplo, a DLL ou o objeto compartilhado).

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.
• principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

Exemplo de UDM para PROCESS_MODULE_LOAD

O exemplo a seguir ilustra como formatar um evento PROCESS_MODULE_LOAD usando a sintaxe UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes sobre o dispositivo e o processo que carrega o módulo.
• target: detalhes do processo e do módulo.

PROCESS_PRIVILEGE_ESCALATION

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal:
  • Pelo menos um identificador de máquina.
  • principal.process: processo de carregamento do módulo.
  • principal.user: usuário que está carregando o módulo.

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.

Exemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

O exemplo a seguir ilustra como formatar um evento PROCESS_PRIVILEGE_ESCALATION usando a sintaxe UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes sobre o dispositivo, o usuário e o processo que carrega o módulo.
• target: detalhes do processo e do módulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal:
  • Pelo menos um identificador de máquina.
  • Se um processo no modo usuário fizer a modificação do registro, principal.process precisará incluir informações sobre o processo que está modificando o registro.
  • Se um processo do kernel fizer a modificação do registro, o principal não poderá incluir informações do processo.
• target:
  • target.registry: se o registro de destino for remoto, o destino precisará incluir pelo menos um identificador para a máquina de destino (por exemplo, um endereço IP, MAC, nome do host ou identificador de recurso de terceiros).
  • target.registry.registry_key: todos os eventos de registro precisam incluir a chave de registro afetada.

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada. Por exemplo, uma chave de registro ruim.
• principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

Exemplo de UDM para REGISTRY_MODIFICATION

O exemplo a seguir ilustra como formatar um evento REGISTRY_MODIFICATION em Proto3 usando a sintaxe UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes do dispositivo, do usuário e do processo.
• target: entrada do registro afetada pela modificação.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obrigatórios:

• metadata: event_timestamp e informações básicas sobre o evento.
• observer: captura informações sobre o próprio scanner. Se o scanner for remoto, os detalhes da máquina precisarão ser capturados pelo campo "observer". Para um scanner local, deixe em branco.
• target: captura informações sobre a máquina que contém o objeto sendo verificado. Se um arquivo estiver sendo verificado, target.file precisará capturar informações sobre o arquivo verificado. Se um processo estiver sendo verificado, target.process precisará capturar informações sobre ele.
• extensions: para SCAN_VULN_HOST e SCAN_VULN_NETWORK, defina a vulnerabilidade usando o campo extensions.vuln.

Campos opcionais:

• principal: representa o dispositivo que inicia a conexão e inclui pelo menos um identificador de máquina (por exemplo, nome do host, endereço IP, endereço MAC, identificador de recurso proprietário) ou um identificador de usuário.
• target: os detalhes do usuário sobre o objeto de destino (por exemplo, criador do arquivo ou proprietário do processo) precisam ser capturados em target.user.
• security_result: descreva a atividade maliciosa detectada.

Exemplo de UDM para SCAN_HOST

O exemplo a seguir mostra como um evento do tipo SCAN_HOST seria formatado para a UDM do Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200.200"
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• target: dispositivo que recebeu o software malicioso.
• observer: dispositivo que observa e informa sobre o evento em questão.
• security_result: detalhes de segurança sobre o software malicioso.

Exemplo de UDM para SCAN_VULN_HOST

O exemplo a seguir mostra como um evento do tipo SCAN_VULN_HOST seria formatado para a UDM do Google SecOps:

metadata: {
  event_timestamp: "2025-05-09T12:59:52.45298Z",
  event_type: 18005,
  product_name: "TestProduct",
  vendor_name: "TestVendor"
  },
principal {
  asset_id: "TEST:Mwl8ABcd",
  ip: "127.0.0.3",
  hostname: "TEST-Localhost",
  mac: ["02:00:00:00:00:01"]
  },
extensions: {
  vulns: {
    vulnerabilities: [
      {
      cve_id: "CVE-6l9VxQmz",
      vendor_vulnerability_id: "TEST:7gmCmFWX",
      name: "CVE pA7DzwPU",
      severity: 2,
      vendor: "TestVendor",
      last_found: "2025-05-09T14:59:52.45300Z",
      first_found: "2025-05-09T13:59:52.45300Z"
       }
      ]
    }
  }

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: dispositivo que recebeu o software malicioso.
• extensions: detalhes da vulnerabilidade.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obrigatórios:

• principal: para todos os eventos SCHEDULED_TASK, o principal precisa incluir um identificador de máquina e um identificador de usuário.
• target: o destino precisa incluir um recurso válido e um tipo de recurso definido como "TASK".

Campos opcionais:

• security_result: descreva a atividade maliciosa detectada.

Exemplo de UDM para SCHEDULED_TASK_CREATION

O exemplo a seguir ilustra como um evento do tipo SCHEDULED_TASK_CREATION pode ser formatado para o UDM do Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: dispositivo que programou a tarefa suspeita.
• target: software visado pela tarefa suspeita.
• intermediary: intermediário envolvido na tarefa suspeita.
• security_result: detalhes de segurança sobre a tarefa suspeita.

SETTING_UNCATEGORIZED, SETTING_CREATION, SETTING_MODIFICATION, SETTING_DELETION

Campos obrigatórios:

• principal: precisa estar presente, não pode estar vazio e precisa incluir um identificador de máquina.
• target: precisa estar presente, não pode estar vazio e precisa incluir um recurso com o tipo especificado como SETTING

Exemplo de UDM para o tipo de evento SETTING_MODIFICATION

O exemplo a seguir ilustra como um evento do tipo SETTING_MODIFICATION seria formatado para a UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SETTING_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.win.com"
}
target {
  resource {
    type: "SETTING"
    name: "test-setting"
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: informações sobre o dispositivo em que a modificação da configuração ocorreu.
• target: Resource details.

SERVICE_UNSPECIFIED, SERVICE_CREATION, SERVICE_DELETION, SERVICE_START, SERVICE_STOP

Campos obrigatórios:

• target: inclua o identificador do usuário e especifique o processo ou o aplicativo.
• principal: inclua pelo menos um identificador de máquina (IP ou endereço MAC, nome do host ou identificador de recurso).

Exemplo de UDM para SERVICE_UNSPECIFIED

O exemplo a seguir ilustra como um evento do tipo SERVICE_UNSPECIFIED seria formatado para o UDM do Google SecOps:

metadata: {
 event_timestamp: {
   seconds: 1595656745
   nanos: 832000000
    }
 event_type: SERVICE_UNSPECIFIED
   vendor_name: "Preempt"
   product_name: "PREEMPT_AUTH"
   product_event_type: "SERVICE_ACCESS"
   description: "Remote Procedures (RPC)"
   }
 principal: {
   hostname: "XXX-YYY-ZZZ"
   ip: "10.10.10.10"
   }
 target: {
   hostname: "TestHost"
   user: {
      userid: "ORG\\User"
      user_display_name: "user name"
   }
 application: "application.name"
   resource: {
      type: "Service Type"
      name: "RPC"
   }
 }

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes do dispositivo e do local.
• target: nome do host e identificador do usuário.
• application: nome do aplicativo e tipo de recurso.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, STATUS_UPDATE

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal: pelo menos um identificador de máquina (endereço IP ou MAC, nome do host ou identificador de recurso).

Exemplo de UDM para STATUS_HEARTBEAT

O exemplo a seguir ilustra como um evento do tipo STATUS_HEARTBEAT seria formatado para a UDM do Google SecOps:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes do dispositivo e do local.
• intermediário: endereço IP do dispositivo.
• security_result: detalhes do resultado de segurança.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obrigatórios:

• principal: inclua um identificador do usuário que realizou a operação no registro e um identificador da máquina em que o registro está ou estava armazenado (no caso de limpeza).

Exemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

O exemplo a seguir ilustra como um evento do tipo SYSTEM_AUDIT_LOG_WIPE seria formatado para a UDM do Google SecOps:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Como mostrado neste exemplo, o evento foi dividido nas seguintes categorias da UDM:

• metadata: informações de contexto sobre o evento.
• principal: detalhes do dispositivo e do usuário.

USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal: se a conta de usuário for modificada de um local remoto, preencha o principal com informações sobre a máquina de onde a modificação do usuário se originou.
• target: preencha target.user com informações sobre o usuário que foi modificado.
• intermediary: para logins por SSO, o intermediário precisa incluir pelo menos um identificador de máquina para o servidor de SSO, se disponível.

USER_COMMUNICATION

Campos obrigatórios:

• principal: preencha o campo principal.user com detalhes associados à comunicação iniciada pelo usuário (remetente), como uma mensagem de chat no Google Chat ou no Slack, uma videoconferência ou conferência de voz no Zoom ou no Google Meet ou uma conexão VoIP.

Campos opcionais:

• target: (recomendado) preencha o campo target.user com informações sobre o usuário de destino (destinatário) do recurso de comunicação na nuvem. Preencha o campo target.application com informações sobre o aplicativo de comunicação na nuvem de destino.

USER_CREATION, USER_DELETION

Campos obrigatórios:

• metadata: event_timestamp.
• principal: inclua informações sobre a máquina de onde a solicitação para criar ou excluir o usuário foi originada. Para a criação ou exclusão de um usuário local, o principal precisa incluir pelo menos um identificador de máquina para a máquina de origem.
• target: local onde o usuário está sendo criado. Também precisa incluir informações do usuário (por exemplo, target.user).

Campos opcionais:

• principal: detalhes do usuário e do processo da máquina em que a solicitação de criação ou exclusão de usuário foi iniciada.
• target: informações sobre a máquina de destino (se for diferente da máquina principal).

USER_LOGIN, USER_LOGOUT

Campos obrigatórios:

• metadata: inclua os campos obrigatórios.
• principal: para atividade remota do usuário (por exemplo, login remoto), preencha o principal com informações sobre a máquina que originou a atividade do usuário. Para atividade de usuário local (por exemplo, login local), não defina principal.
• target: preencha target.user com informações sobre o usuário que fez login ou logout. Se o principal não estiver definido (por exemplo, login local), o destino também precisará incluir pelo menos um identificador de máquina que identifique a máquina de destino. Para atividade do usuário de máquina para máquina (por exemplo, login remoto, SSO, serviço de nuvem, VPN), o destino precisa incluir informações sobre o aplicativo, a máquina ou o servidor VPN de destino.
• intermediary: para logins por SSO, o intermediário precisa incluir pelo menos um identificador de máquina para o servidor de SSO, se disponível.
• network e network.http: se o login ocorrer por HTTP, coloque todos os detalhes disponíveis em network.ip_protocol, network.application_protocol e network.http.
• Extensão authentication: precisa identificar o tipo de sistema de autenticação a que o evento está relacionado (por exemplo, máquina, SSO ou VPN) e o mecanismo usado (nome de usuário e senha, OTP etc.).
• security_result: adicione um campo security_result para representar o status de login se ele falhar. Especifique security_result.category com o valor AUTH_VIOLATION se a autenticação falhar.

USER_RESOURCE_ACCESS

Campos obrigatórios:

• principal: preencha o campo principal.user com detalhes sobre tentativas de acessar um recurso da nuvem (por exemplo, um caso do Salesforce, uma agenda do Office365, um documento do Google ou um tíquete do ServiceNow).
• target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

• target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obrigatórios:

• principal: preencha o campo principal.user com detalhes associados ao usuário criado em um recurso de nuvem (por exemplo, um caso do Salesforce , um calendário do Office 365, um documento do Google ou um tíquete do ServiceNow).
• target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

• target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obrigatórios:

• principal: preencha o campo principal.user com detalhes associados ao usuário cujo conteúdo foi atualizado em um recurso da nuvem (por exemplo, um caso do Salesforce, uma agenda do Office365, um documento do Google ou um tíquete do ServiceNow).
• target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

• target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obrigatórios:

• principal: preencha o campo principal.user com detalhes associados ao usuário cujas permissões foram atualizadas em um recurso da nuvem (por exemplo, um caso do Salesforce, um calendário do Office 365, um documento do Google ou um tíquete do ServiceNow).
• target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

• target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo de nuvem de destino.

USER_UNCATEGORIZED

Campos obrigatórios:

• metadata: event_timestamp
• principal: inclua informações sobre a máquina de onde a solicitação para criar ou excluir o usuário foi originada. Para a criação ou exclusão de um usuário local, o principal precisa incluir pelo menos um identificador de máquina para a máquina de origem.
• target: local onde o usuário está sendo criado. Também precisa incluir informações do usuário (por exemplo, target.user).

Campos opcionais:

• principal: detalhes do usuário e do processo da máquina em que a solicitação de criação ou exclusão de usuário foi iniciada.
• target: informações sobre a máquina de destino (se for diferente da máquina principal).