Guia de uso do modelo de dados unificado

Neste documento, você encontra uma descrição mais detalhada dos campos no esquema do modelo de dados unificado (UDM, na sigla em inglês) e dos campos obrigatórios e opcionais, dependendo do tipo de evento. Para a avaliação do mecanismo de regras, o prefixo começa udm., enquanto o prefixo do normalizador baseado em configuração (CBN, na sigla em inglês) começa event.idm.read_only_udm.

Preenchimento de metadados de evento

A seção de metadados dos eventos do UDM armazena informações gerais sobre cada evento.

Metadata.event_type

  • Finalidade: especifica o tipo de evento. Se um evento tiver vários tipos possíveis, esse valor terá que especificar o tipo mais específico.
  • Obrigatório:Sim
  • Codificação: precisa ser um dos tipos enumerados de event_type UDM predefinidos.
  • Valores possíveis:os itens a seguir listam todos os valores possíveis para event_type na UDM.

Eventos de e-mail:

  • EMAIL_TRANSACTION
  • E-MAIL_UNCATEGORIZED

Eventos de arquivo realizados em um endpoint:

  • FILE_UNCATEGORIZED
  • ARQUIVO_CRIAATIONO
  • ARQUIVO_DELETIONO
  • ARQUIVO_MODIFICADO
  • FILE_READ (por exemplo, leitura de um arquivo de senha)
  • FILE_COPY (por exemplo, copiar um arquivo para um pen drive)
  • FILE_OPEN (por exemplo, abrir um arquivo pode indicar uma violação de segurança)

Eventos que não se enquadram em nenhuma outra categoria, incluindo eventos do Windows sem classificação.

  • GENERIC_EVENT

Eventos de mutex (objeto de exclusão mútua):

  • REMOVERX_UNCATEGORIZED
  • REMOVERX_CREAATIONO

Telemetria de rede, incluindo payloads de protocolo brutos, como DHCP e DNS, além de resumos de protocolo para protocolos como HTTP, SMTP e FTP, além de eventos de fluxo e conexão do Netflow e firewalls.

  • NETWORK_UNCATEGORIZED
  • NETWORK_FLOW (por exemplo, estatísticas de fluxo agregadas do Netflow)
  • NETWORK_CONNECTION (por exemplo, detalhes da conexão de rede de um firewall)
  • NETWORK_FTP.
  • NETWORK_DHCP
  • DNS_da_REDE
  • NETWORK_HTTP.
  • NETWORK_SMTP

Eventos relacionados a um processo, como a inicialização de um processo, um processo que cria algo malicioso, um processo que injeta em outro, a alteração de uma chave de registro, a criação de um arquivo malicioso no disco etc.

  • PROCESSO_INJECTO
  • PROCESSO_LANUNAMENTO
  • PROCESSO_MODULE_LOAD
  • PROCESSO_ABERTO
  • PROCESSO_PRIVILEGE_ESCALATION
  • PROCESS_TERMINATION
  • PROCESS_UNCATEGORIZED

Use os eventos REGISTRY em vez dos eventos de CONFIGURA whenO ao lidar com eventos de registro específicos do Microsoft Windows:

  • REGISTRY_UNCATEGORIZED
  • REGISTRY_CREATION
  • REGISTRY_MODIFICATION
  • REGISTRY_DELETION

Eventos orientados por verificação. Inclui verificações sob demanda e detecções comportamentais realizadas por produtos de segurança de endpoints (EDR, AV, DLP). Usado apenas ao anexar um SecurityResult a outro tipo de evento (como PROCESS_LAUNCH).

  • SCAN_UNCATEGORIZED
  • SCAN_FILE
  • SCAN_HOST
  • PROCESSO_SCAN
  • SCAN_VULN_HOST
  • SCAN_VULN_NETWORK

Eventos de tarefas programadas (Agendador de Tarefas do Windows, cron etc.):

  • SCHEDULED_TASK_UNCATEGORIZED
  • SCHEDULED_TASK_CREATION
  • SCHEDULED_TASK_DELETION
  • SCHEDULED_TASK_ENABLE
  • SCHEDULED_TASK_DISABLE
  • SCHEDULED_TASK_MODIFICATION

Eventos de serviço:

  • SERVI O_UNSPECIFIED
  • CRIAATIONO_DE_SERVICE
  • SERVICE_DELETION
  • SERVICE_START.
  • SERVICE_STOP

Definir eventos, inclusive quando uma configuração do sistema é alterada em um endpoint

  • Setting_UNCATEGORIZED
  • CONFIGURA_O_CRIAATIONO
  • CONFIGURA_O_MODIFICATIONO
  • CONFIGURA_O_DELETIONO

Mensagens de status de produtos de segurança para indicar que os agentes estão ativos e enviar versão, impressão digital ou outros tipos de dados.

  • STATUS_UNCATEGORIZADO
  • STATUS_HEARTBEAT (indica que o produto está ativo)
  • STATUS_STARTUP
  • STATUS_SHUTDOWN
  • STATUS_UPDATE (atualização por software ou impressão digital)

Eventos de registro de auditoria do sistema:

  • SYSTEM_AUDIT_LOG_UNCATEGORIZED
  • SYSTEM_AUDIT_LOG_WIPE.

Eventos de atividade de autenticação do usuário:

  • USER_UNCATEGORIZED
  • USER_BADGE_IN (por exemplo, quando um usuário faz o selo físico em um site)
  • USER_CHANGE_PASSWORD
  • USER_CHANGE_PERMISSIONS
  • USER_COMMUNICATION
  • CRIAATIONO_DE_USU RIO
  • USER_DELETION
  • USER_LOGIN
  • USER_LOGOUT
  • USER_RESOURCE_ACCESS
  • USER_RESOURCE_CREATION
  • USER_RESOURCE_DELETION
  • USER_RESOURCE_UPDATE_CONTENT
  • USER_RESOURCE_UPDATE_PERMISSIONS

Metadata.collected_timestamp

  • Finalidade: codifica o carimbo de data/hora GMT quando o evento é coletado pela infraestrutura de coleta local do fornecedor.
  • Codificação: RFC 3339, conforme apropriado, para os formatos de carimbo de data/hora JSON ou Proto3.
  • Exemplo:
    • RFC 3339: '2019-09-10T20:32:31-08:00'
    • Formato Proto3: '2012-04-23T18:25:43.511Z'

Metadata.event_timestamp

  • Finalidade: codifica o carimbo de data/hora GMT quando o evento é gerado.
  • Obrigatório:Sim
  • Codificação: RFC 3339, conforme apropriado, para os formatos de carimbo de data/hora JSON ou Proto3.
  • Exemplo:
    • RFC 3339: 2019-09-10T20:32:31-08:00
    • Formato Proto3: 2012-04-23T18:25:43.511Z

Metadados.descrição

  • Finalidade: descrição legível do evento
  • Codificação:string alfanumérica, pontuação permitida, no máximo 1.024 bytes
  • Exemplo: o arquivo c:\bar\foo.exe não pode acessar o documento confidencial c:\documents\earnings.docx.

Metadata.product_event_type

  • Finalidade: nome ou tipo de evento curto, descritivo e legível, específico do produto
  • Codificação: string alfanumérica, pontuação permitida, no máximo 64 bytes.
  • Exemplos:
    • Evento de criação de registro
    • ProcessRollUp
    • Encaminhamento de privilégios detectado
    • Bloqueio de malware

Metadata.product_log_id

  • Finalidade: codifica um identificador de evento específico do fornecedor para identificar exclusivamente o evento (um GUID). Os usuários podem usar esse identificador para pesquisar no console reservado do fornecedor o evento em questão.
  • Codificação: diferencia maiúsculas de minúsculas, string alfanumérica, pontuação permitida e máximo de 256 bytes.
  • Exemplo: ABcd1234-98766

Metadados.nome_do_produto

  • Finalidade: especifica o nome do produto.
  • Codificação: diferencia maiúsculas de minúsculas, string alfanumérica, pontuação permitida e máximo de 256 bytes.
  • Exemplos:
    • Falcão
    • Proteção de endpoint da Symantec

Metadata.product_version

  • Finalidade: especifica a versão do produto.
  • Codificação:string alfanumérica, pontos e traços permitidos, no máximo 32 bytes
  • Exemplos:
    • 1,2.3b
    • 10.3:rev1

Metadata.url_back_to_product

  • Finalidade: URL com um link para um site relevante onde você pode ver mais informações sobre esse evento específico (ou a categoria geral dele).
  • Codificação: URL RFC 3986 válido com parâmetros opcionais, como informações de porta etc. É necessário ter um prefixo de protocolo antes do URL (por exemplo, "https://" ou "http://").
  • Exemplo: https://newco.altostrat.com:8080/event_info?event_id=12345

Metadata.vendor_name

  • Finalidade: especifica o nome do fornecedor do produto.
  • Codificação: diferencia maiúsculas de minúsculas, string alfanumérica, pontuação permitida e máximo de 256 bytes
  • Exemplos:
    • CrowdStrike
    • Symantec

População do substantivo nominal

Nesta seção, a palavra Substantivo é um termo geral usado para representar as entidades. principal, src, target, intermediário, observador e sobre. Essas entidades têm atributos comuns, mas representam objetos diferentes em um evento. Para mais informações sobre entidades e o que cada uma delas representa em um evento, consulte Como formatar dados de registro como UDM.

Substantivo.asset_id

  • Finalidade: identificador exclusivo de dispositivo do fornecedor (por exemplo, um GUID gerado ao instalar o software de segurança de endpoint em um novo dispositivo usado para rastrear esse dispositivo único ao longo do tempo)
  • Codificação: VendorName.ProductName:ID, em que VendorName é indiferente a maiúsculas* *nome do fornecedor, como "Carbon Black", ProductName é um nome de produto indiferente a maiúsculas, como "Resposta" ou "Proteção de endpoint", e o ID é um identificador de cliente específico do fornecedor, globalmente exclusivo no ambiente do cliente (por exemplo, um GUID ou valor exclusivo que identifica um dispositivo único). de dados. VendorName e ProductName são alfanuméricos e não podem ter mais de 32 caracteres. O ID pode ter no máximo 128 caracteres e pode incluir caracteres alfanuméricos, traços e pontos.
  • Exemplo: CrowdStrike.Falcon:0bce4259-4ada-48f3-a904-9a526b01311f

Substantivo.e-mail

  • Finalidade: endereço de e-mail
  • Codificação: formato de endereço de e-mail padrão.
  • Exemplo: joao@teste.altostrat.com

Substantivo

Noun.nomedohost

  • Finalidade: nome de host do cliente ou campo de nome de domínio. Não inclua se houver um URL.
  • Codificação: nome do host RFC 1123 válido.
  • Exemplos:
    • usuáriovence10
    • www.altostrat.com

Substantivo

  • Finalidade: sistema operacional da plataforma.
  • Codificação: enumeração
  • Valores possíveis:
    • LINUX
    • MAC
    • WINDOWS
    • UNKNOWN_PLATFORM

Noun.platform_patch_level

  • Finalidade: nível de patch do sistema operacional da plataforma.
  • Codificação: string alfanumérica com pontuação, no máximo 64 caracteres.
  • Exemplo: build 17134.48.

Noun.platform_version

  • Finalidade: versão do sistema operacional da plataforma.
  • Codificação: string alfanumérica com pontuação, no máximo 64 caracteres.
  • Exemplo: Microsoft Windows 10 versão 1803

Substantivo.processo

Substantivo

  • Finalidade:
    • Endereço IP único associado a uma conexão de rede.
    • Um ou mais endereços IP associados a um dispositivo participante no momento do evento (por exemplo, se um produto de EDR souber todos os endereços IP associados a um dispositivo, ele poderá codificar todos eles em campos de IP).
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.
  • Repetibilidade:
    • Se um evento descrever uma conexão de rede específica (por exemplo, srcip:srcport > dstip:dstport), o fornecedor precisará fornecer somente um endereço IP.
    • Se um evento estiver descrevendo a atividade geral que ocorre em um dispositivo do participante, mas não em uma conexão de rede específica, o fornecedor poderá fornecer todos os endereços IP associados ao dispositivo no momento do evento.
  • Exemplos:
    • 192.168.1.2
    • 2001:db8:1:3::1

Substantivo

  • Finalidade: número da porta de rede de origem ou de destino quando uma conexão de rede específica é descrita em um evento.
  • Codificação: número de porta TCP/IP válido de 1 a 65.535.
  • Exemplos:

    • 80
    • 443

Substantivo

  • Finalidade: um ou mais endereços MAC associados a um dispositivo.
  • Codificação: endereço MAC válido (EUI-48) em ASCII.
  • Repetibilidade: o fornecedor pode fornecer todos os endereços MAC associados do dispositivo no momento do evento.
  • Exemplos:
    • fedc:ba98:7654:3210:fedc:ba98:7654:3210
    • 1080:0:0:0:8:800:200c:417a
    • 00:a0:0:0:c9:14:c8:29

Substituto

  • Finalidade: domínio ao qual o dispositivo pertence (por exemplo, o domínio do Windows)
  • Codificação: string de nome de domínio válida (no máximo 128 caracteres).
  • Exemplo: corp.altostrat.com

Substantivo

Substantivo

  • Finalidade: URL padrão
  • Codificação: URL (RFC 3986) Precisa ter um prefixo de protocolo válido (por exemplo, https:// ou ftp://). É preciso incluir o domínio e o caminho completos. Pode incluir os parâmetros de URL.
  • Exemplo: https://foo.altostrat.com/bletch?a=b;c=d

Substantivo

Preenchimento de metadados de autenticação

Authentication.AuthType

  • Finalidade: tipo de sistema ao qual um evento de autenticação está associado (UDM do Chronicle).
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • AUTHTYPE_UNSPECIFIED
    • MACHINE: autenticação por máquina
    • F PHSICA: autenticação física, por exemplo, um leitor de crachás
    • SSO
    • TACACS: protocolo familiar do TACACS para a autenticação de sistemas em rede (por exemplo, TACACS ou TACACS+)
    • VPN

Authentication.Authentication_Status

  • Finalidade: descreve o status de autenticação de um usuário ou uma credencial específica.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_AUTHENTICATION_STATUS: status de autenticação padrão
    • ACTIVE: o método de autenticação está em um estado ativo
    • SUSPENSO: o método de autenticação está suspenso ou desativado
    • DELETED: o método de autenticação foi excluído
    • NO_ACTIVE_CREDENTIALS: o método de autenticação não tem credenciais ativas.

Authentication_auth_details

  • Finalidade: detalhes de autenticação definidos pelo fornecedor.
  • Codificação: string.

Authentication.Mechanism

  • Finalidade: mecanismos usados para autenticação.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • MECHANISM_UNSPECIFIED: mecanismo de autenticação padrão.
    • BADGE_READER
    • BATCH: autenticação em lote.
    • CACHED_INTERACTIVE: autenticação interativa usando credenciais em cache.
    • HARDWARE_KEY
    • LOCAL
    • MECHANISM_OTHER: outro mecanismo que não está definido aqui.
    • NETWORK: autenticação de rede.
    • NETWORK_CLEAR_TEXT: autenticação de texto sem rede.
    • NEW_CREDENTIALS: autenticação com novas credenciais
    • Senha única
    • REMOTE: autenticação remota
    • REMOTE_INTERACTIVE: RDP, serviços de terminal, computação de rede virtual (VNC, na sigla em inglês) etc.
    • SERVICE: autenticação de serviço.
    • UNLock: autenticação direta de desbloqueio por interação humana.
    • USERNAME_PASSWORD

População dos metadados do DHCP

Os campos de metadados do Dynamic Host Control Protocol (DHCP) capturam informações de registro do protocolo de gerenciamento de rede DHCP.

Dhcp.client_hostname

  • Finalidade: nome do host para o cliente. Consulte RFC 2132, DHCP Options and BOOTP Vendor Extensions para mais informações.
  • Codificação: string.

Dhcp.client_identifier

  • Finalidade: identificador do cliente. Consulte RFC 2132, DHCP Options and BOOTP Vendor Extensions para mais informações.
  • Codificação: bytes.

Arquivo dhcp.

  • Finalidade: nome do arquivo para a imagem de inicialização.
  • Codificação: string.

Sinalizações

  • Finalidade: valor para o campo de sinalizações DHCP.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.hlen-pt

  • Finalidade: tamanho do endereço de hardware.
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.hops (em inglês)

  • Finalidade: contagem de saltos de DHCP
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.htype.

  • Finalidade: tipo de endereço de hardware
  • Codificação: número inteiro não assinado de 32 bits.

Dhcp.lease_time_seconds

  • Finalidade: o tempo de alocação solicitado pelo cliente para um endereço IP em segundos. Consulte RFC 2132, DHCP Options and BOOTP Vendor Extensions para mais informações.
  • Codificação: número inteiro não assinado de 32 bits.

Código do comando

  • Finalidade: código de operação BOOTP (consulte a seção 3 da RFC 951).
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_OPCODE
    • BOOTREQUEST
    • BOOTRESPONSE

Dhcp.requested_address:

  • Finalidade: identificador do cliente. Consulte RFC 2132, DHCP Options and BOOTP Vendor Extensions para mais informações.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.seconds

  • Finalidade:segundos decorridos desde o início do processo de aquisição/renovação do endereço.
  • Codificação: número inteiro não assinado de 32 bits.

Nome dhcp.sname

  • Finalidade: nome do servidor do qual o cliente solicitou a inicialização.
  • Codificação: string.

Dhcp.transaction_id

  • Finalidade: ID da transação do cliente.
  • Codificação: número inteiro não assinado de 32 bits.

Tipo de DCM

  • Finalidade: tipo de mensagem de DHCP. Consulte RFC 1533 para mais informações.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_MESSAGE_TYPE.
    • DISCOVER
    • OFERTA
    • SOLICITAR
    • RECUSAR
    • ACK
    • NAK
    • RELEASE
    • INFORMAR
    • WIN_DELECTED
    • WIN_EXPIRED

Dhcp.chaddr.

  • Finalidade: endereço IP do hardware cliente.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.ciaddr

  • Finalidade: endereço IP do cliente.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.giaddr

  • Finalidade: endereço IP do agente de redirecionamento.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Drogp.siaddr

  • Finalidade: endereço IP para o próximo servidor de inicialização.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

Dhcp.yiaddr.

  • Finalidade: seu endereço IP.
  • Codificação: endereço IPv4 ou IPv6 válido (RFC 5942) codificado em ASCII.

População da meta de DHCP

Os campos de metadados da opção de DHCP capturam as informações de registro da opção de DHCP.

Option.code

  • Finalidade: armazena o código da opção de DHCP. Consulte RFC 1533, DHCP Options and BOOTP Vendor Extensions para mais informações.
  • Codificação: número inteiro de 32 bits não assinado.

Option.data

  • Finalidade: armazena os dados da opção de DHCP. Consulte RFC 1533, DHCP Options and BOOTP Vendor Extensions para mais informações.
  • Codificação: bytes.

Preenchimento de metadados de DNS

Os campos de metadados do DNS capturam informações relacionadas a pacotes DNS de solicitação e resposta. Eles têm uma correspondência de um para um com os dados encontrados nos datagramas de solicitação e resposta de DNS.

NP.autoritativo

  • Finalidade: definida como "true" para servidores DNS autoritativos.
  • Codificação: booleano.

DNS

  • Finalidade: armazena o identificador de consulta de DNS.
  • Codificação: número inteiro de 32 bits.

Resposta do DNS

  • Finalidade: defina como "true" se o evento for uma resposta de DNS.
  • Codificação: booleano.

Código do domínio

  • Finalidade: armazena o OpCode DNS usado para especificar o tipo de consulta DNS (padrão, inverso, status do servidor etc.).
  • Codificação: número inteiro de 32 bits.

Dns.recursion_available

  • Finalidade: defina como "true" se uma busca DNS recursiva estiver disponível.
  • Codificação: booleano.

Dns.recursion_allowed

  • Finalidade: defina como "true" se uma busca DNS recursiva for solicitada.
  • Codificação: booleano.

Código de resposta de DNS

  • Finalidade: armazena o código de resposta do DNS, conforme definido por RFC 1035, nomes de domínio, implementação e especificação.
  • Codificação: número inteiro de 32 bits.

Dns.truncated

  • Finalidade: defina como "true" se esta for uma resposta de DNS truncada.
  • Codificação: booleano.

Dns.perguntas

Respostas responde

Dens.authority

DNS adicional

População dos metadados de pergunta do DNS

Os campos de metadados de perguntas do DNS capturam as informações da seção de perguntas de uma mensagem de protocolo de domínio.

Nome da pergunta

  • Finalidade: armazena o nome do domínio.
  • Codificação: string.

Classe Question.

  • Finalidade: armazena o código que especifica a classe da consulta.
  • Codificação: número inteiro de 32 bits.

Tipo de pergunta

  • Finalidade: armazena o código especificando o tipo de consulta.
  • Codificação: número inteiro de 32 bits.

Preenchimento de metadados de Registro de Recurso DNS

Os campos de metadados do registro de recurso DNS capturam as informações contidas no registro de recurso de uma mensagem de protocolo de domínio.

ResourceRecord.binary_data

  • Finalidade: armazena os bytes brutos de qualquer string não UTF8 que possa ser incluída como parte de uma resposta DNS. Esse campo só poderá ser usado se os dados de resposta retornados pelo servidor DNS contiverem dados não UTF8. Caso contrário, insira a resposta do DNS no campo de dados abaixo. Esse tipo de informação precisa ser armazenado aqui, e não em ResourceRecord.data.
  • Codificação: bytes.

ResourceRecord.classe

  • Finalidade: armazena o código especificando a classe do registro de recurso.
  • Codificação: número inteiro de 32 bits.

ResourceRecord.data.

  • Finalidade: armazena o payload ou a resposta à pergunta de DNS para todas as respostas codificadas no formato UTF-8. Por exemplo, o campo "data" pode retornar o endereço IP da máquina a que o nome de domínio se refere. Se o registro do recurso for para um tipo ou uma classe diferente, ele poderá conter outro nome de domínio (quando um nome de domínio for redirecionado para outro nome de domínio). Os dados precisam ser armazenados da mesma forma que na resposta DNS.
  • Codificação: string.

Nome do registro de recurso

  • Finalidade: armazena o nome do proprietário do registro de recurso.
  • Codificação: string.

ResourceRecord.ttl.

  • Finalidade: armazena o intervalo de tempo em que o registro de recurso pode ser armazenado em cache antes de a origem das informações ser consultada novamente.
  • Codificação: número inteiro de 32 bits.

ResourceRecord.tipo

  • Finalidade: armazena o código especificando o tipo de registro de recurso.
  • Codificação: número inteiro de 32 bits.

Preenchimento de metadados de e-mail

A maioria dos campos de metadados de e-mail captura os endereços de e-mail incluídos no cabeçalho da mensagem e precisa seguir o formato de endereço de e-mail padrão (local-mailbox@domínio), conforme definido no RFC 5322. Por exemplo, frank@email.example.com.

E-mail.de

  • Finalidade: armazena o endereço de e-mail de.
  • Codificação: string.

E-mail.responder_para

  • Finalidade: armazena o endereço de e-mail reply_to.
  • Codificação: string.

E-mail.para

  • Finalidade: armazena os endereços de e-mail to.
  • Codificação: string.

E-mail.cc

  • Finalidade: armazena os endereços de e-mail Cc.
  • Codificação: string.

E-mail.cco

  • Finalidade: armazena os endereços de e-mail cco.
  • Codificação: string.

Email.mail_id

  • Finalidade: armazena o ID do e-mail (ou da mensagem).
  • Codificação: string.
  • Exemplo: 192544.132632@email.example.com

E-mail.assunto

  • Finalidade: armazena a linha de assunto do e-mail.
  • Codificação: string.
  • Exemplo: "Leia esta mensagem."

Preenchimento de metadados de extensões

Tipos de evento com metadados de primeira classe que ainda não foram categorizados pelo UDM do Chronicle. Extensions.auth.

  • Finalidade: extensão para os metadados de autenticação.
  • Codificação: string.
  • Exemplos:
    • Metadados do sandbox (todos os comportamentos exibidos por um arquivo, por exemplo, FireEye).
    • Dados do Network Access Control (NAC)
    • Detalhes do LDAP de um usuário (por exemplo, função, organização etc.)

Extensions.auth.auth_details

  • Finalidade: especificar os detalhes específicos do fornecedor para o tipo ou mecanismo de autenticação. Os provedores de autenticação geralmente definem tipos como via_mfa, via_ad e outros que fornecem informações úteis sobre o tipo de autenticação. Esses tipos ainda podem ser generalizados em auth.type ou auth.mechanism para usabilidade e compatibilidade com regras de conjuntos de dados.
  • Codificação: string.
  • Exemplos: via_mfa, via_ad.

Extensions.vulns

  • Finalidade: extensão para os metadados da vulnerabilidade.
  • Codificação: string.
  • Exemplo:
    • Dados de verificação de vulnerabilidade do host.

Preenchimento de metadados de arquivo

File.file_metadata

  • Finalidade: metadados associados ao arquivo
  • Codificação: string.
  • Exemplos:
    • Autor
    • Número da revisão
    • Número da versão
    • Data da última gravação

Arquivo.full_path

  • Finalidade: caminho completo que identifica o local do arquivo no sistema.
  • Codificação: string.
  • Exemplo: \Program Files\Custom Utilities\Test.exe

Arquivo.md5

  • Finalidade: valor de hash MD5 do arquivo.
  • Codificação: string, hexadecimal em letras minúsculas.
  • Exemplo: 35bf623e7db9bf0d68d0dda764fd9e8c

Arquivo.mime_type

  • Finalidade: tipo Multipurpose Internet Mail Extensions (MIME) para o arquivo.
  • Codificação: string.
  • Exemplos:
    • PE
    • PDF
    • script do Powershell

Arquivo.sha1

  • Finalidade: valor de hash SHA-1 para o arquivo.
  • Codificação: string, hexadecimal em letras minúsculas.
  • Exemplo: eb3520d53b45815912f2391b713011453ed8abcf

Arquivo.sha256

  • Finalidade: valor de hash SHA-256 do arquivo.
  • Codificação: string, hexadecimal em letras minúsculas.
  • Exemplo:
    • d7173c568b8985e61b4050f81b3fd8e75bc922d2a0843d7079c81ca4b6e36417

Tamanho do arquivo

  • Finalidade: tamanho do arquivo.
  • Codificação: número inteiro sem assinatura de 64 bits.
  • Exemplo: 342.135.

Preenchimento de metadados de FTP

Ftp.command

  • Finalidade: armazena o comando FTP.
  • Codificação: string.
  • Exemplos:
    • binary
    • excluir
    • get
    • put

População do grupo de metadados

Informações sobre um grupo organizacional.

Hora da criação

  • Finalidade: horário de criação do grupo.
  • Codificação: RFC 3339, conforme apropriado, para os formatos de carimbo de data/hora JSON ou Proto3.

Endereços de e-mail de grupo.

  • Finalidade: agrupar dados de contato.
  • Codificação: e-mail.

Nome_do_grupo_de_display

  • Finalidade: nome de exibição do grupo.
  • Codificação: string.
  • Exemplos:
    • Finanças
    • HR
    • Marketing

ID do grupo.objeto_do_produto

  • Finalidade: identificador exclusivo de objeto de usuário para o produto, como um identificador de objeto LDAP.
  • Codificação: string.

Grupo.windows_sid

  • Finalidade: campo de atributo do grupo do Identificador de Segurança do Microsoft Windows (SID, na sigla em inglês).
  • Codificação: string.

Preenchimento de metadados HTTP

Http.método

  • Finalidade: armazena o método da solicitação HTTP.
  • Codificação: string.
  • Exemplos:
    • GET
    • HEAD
    • POST

Http.referência_url

  • Finalidade: armazena o URL do referenciador de HTTP.
  • Codificação: URL RFC 3986 válido.
  • Exemplo: https://www.altostrat.com

Http.resposta_código

  • Finalidade: armazena o código de status da resposta HTTP, que indica se uma solicitação HTTP específica foi concluída.
  • Codificação: número inteiro de 32 bits.
  • Exemplos:
    • 400
    • 404

Http.useragent

  • Finalidade: armazena o cabeçalho de solicitação do user agent que inclui o tipo de app, o sistema operacional, o fornecedor ou a versão do software do user agent que solicita o software.
  • Codificação: string.
  • Exemplos:
    • Mozilla/5.0 (X11; Linux x86_64)
    • AppleWebKit/534.26 (KHTML, como Gecko)
    • Chrome/41.0.2217.0
    • Safari/527.33

População do local de metadados

Location.city

  • Finalidade: armazena o nome da cidade.
  • Codificação: string.
  • Exemplos:
    • Sol
    • Chicago
    • Málaga

Location.country_or_region

  • Finalidade: armazena o nome do país ou da região do mundo.
  • Codificação: string.
  • Exemplos:
    • Estados Unidos
    • Reino Unido
    • Espanha

Nome do local

  • Finalidade: armazena o nome específico da empresa, como um edifício ou um campus.
  • Codificação: string.
  • Exemplos:
    • Campus 7B
    • Edifício A2

Location.state.

  • Finalidade: armazena o nome do estado, província ou território.
  • Codificação: string.
  • Exemplos:
    • Califórnia
    • Illinois
    • Ontário

População da rede de metadados

Network.application_protocol

  • Finalidade: indica o protocolo de app de rede.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_APPLICATION_PROTOCOL.
    • QUIC
    • HTTP
    • HTTPS
    • DNS
    • DHCP

Direção da rede

  • Finalidade: indica a direção do tráfego de rede.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_Direção
    • ENTRADA
    • SABOUNDDA
    • FAIXA DE TRANSPORTE

Network.email

  • Finalidade: especifica o endereço de e-mail do remetente/destinatário.
  • Codificação: string.
  • Exemplo: jcheng@empresa.exemplo.com

Network.ip_protocol

  • Finalidade: indica o protocolo IP.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_IP_PROTOCOL.
    • EIGRP: protocolo de roteamento de gateway avançado aprimorado
    • ESP: como lidar com o payload de segurança
    • ETHERIP: Encapsulamento de Ethernet dentro do IP
    • GRE: encapsulamento de roteamento genérico
    • ICMP: Internet Control Message Protocol
    • IGMP: protocolo de gerenciamento de grupos de Internet
    • IP6IN4: encapsulamento de IPv6
    • PIM: multicast independente de protocolo
    • TCP: protocolo de controle de transmissão
    • UDP: protocolo de datagramas do usuário
    • VRRP: Virtual Router Redundancy Protocol

Network.received_bytes

  • Finalidade: especifica o número de bytes recebidos.
  • Codificação: número inteiro sem assinatura de 64 bits.
  • Exemplo: 12.453.654.768

Network.sent_bytes

  • Finalidade: especifica o número de bytes enviados.
  • Codificação: número inteiro sem assinatura de 64 bits.
  • Exemplo: 7.654.876

Network.session_duration

  • Finalidade: armazena a duração da sessão de rede, que normalmente é retornada em um evento de soltar da sessão. Para definir a duração, defina network.session_duration.seconds = 1 (digite int64) ou network.session_duration.nanos = 1 (digite int32).
  • Codificação:
    • Inteiro de 32 bits: para segundos (network.session_duration.seconds).
    • Inteiro de 64 bits: para nanossegundos (network.session_duration.nanos).

Network.session_id

  • Finalidade: armazena o identificador da sessão de rede.
  • Codificação: string.
  • Exemplo: SID:ANON:www.w3.org:j6oAOxCWZh/CD723LGeXlf-01:34

Metadados de população do processo

Linha de comando.

  • Finalidade: armazena a string da linha de comando para o processo.
  • Codificação: string.
  • Exemplo: c:\windows\system32\net.exe group

ID do processo_específico_do_produto

  • Finalidade: armazena o ID do processo específico do produto.
  • Codificação: string.

Process.parent_process.product_specific_process_id [id_do_processo_específico_do_produto]

  • Finalidade: armazena o ID do processo específico do produto no processo pai.
  • Codificação: string.

Processar.

  • Finalidade: armazena o nome do arquivo em uso pelo processo.
  • Codificação: string.
  • Exemplo: report.xls

Process.parent_process

  • Finalidade: armazena os detalhes do processo pai.
  • Codificação: substantivo (processo)

Process.pid

  • Finalidade: armazena o ID do processo.
  • Codificação: string.
  • Exemplos:
    • 308
    • 2002

Preenchimento de metadados de Registro

Registry.registry_key

  • Finalidade: armazena a chave do Registro associada a um aplicativo ou componente do sistema.
  • Codificação: string.
  • Exemplo: HKEY_LOCAL_MACHINE/SYSTEM/DriverDatabase

Registry.registry_value_name.

  • Finalidade: armazena o nome do valor de registro associado a um aplicativo ou componente do sistema.
  • Codificação: string.
  • Exemplo: TEMP

Registry.registry_value_data

  • Finalidade: armazena os dados associados a um valor de registro.
  • Codificação: string.
  • Exemplo: %USERPROFILE%\Local Settings\Temp

Preenchimento de metadados de resultados de segurança

Os metadados do Resultado de segurança incluem detalhes sobre ameaças e riscos de segurança encontrados por um sistema de segurança, além das ações tomadas para mitigar esses riscos e ameaças.

SecurityResult.about

  • Finalidade: fornecer uma descrição do resultado de segurança.
  • Codificação: substantivo.

SecurityResult.action

  • Finalidade: especificar uma ação de segurança.
  • Codificação: tipo enumerado.
  • Valores possíveis:o Chronicle UDM define as seguintes ações de segurança:
    • PERMITIR
    • ALLOW_WITH_MODIFICATION: o arquivo ou e-mail foi desinfetado ou reescrito e ainda encaminhado.
    • BLOQUEAR
    • QUARANTINE: armazene para análise posterior (não significa bloquear).
    • UNKNOWN_ACTION

SecurityResult.action_details

  • Finalidade: detalhes fornecidos pelo fornecedor da ação realizada como resultado do incidente de segurança. As ações de segurança costumam ser convertidas em campos mais abrangentes da UDM Security_Result.action. No entanto, talvez seja necessário escrever regras para a descrição exata da ação fornecida pelo fornecedor.
  • Codificação: string.
  • Exemplos:soltar, bloquear, descriptografar, criptografar.

SecurityResult.category

  • Finalidade: especificar uma categoria de segurança.
  • Codificação: enumeração.
  • Valores possíveis:o Chronicle UDM define as seguintes categorias de segurança:
    • ACL_VIOLATION: tentativa de acesso não autorizado, inclusive tentativas de acesso a arquivos, serviços e processos da Web, objetos da Web etc.
    • AUTH_VIOLATION: a autenticação falhou, como uma senha ruim ou uma autenticação de dois fatores inválida.
    • DATA_AT_REST—DLP: os dados do sensor foram encontrados em repouso em uma verificação.
    • DATA_DESTRUCTION: tenta destruir/excluir dados.
    • DATA_EXFILTRATION: DLP: transmissão de dados do sensor e cópia para o pen drive.
    • EXPLOIT: tentativas de estouro, codificações de protocolo inválidas, ROP, injeção de SQL etc., com base na rede e no host.
    • MAIL_PHISHING: e-mail de phishing, mensagens de chat etc.
    • MAIL_SPAM: spam, e-mail, mensagem etc.
    • MAIL_SPOOFING: endereço de e-mail de origem falsificado etc.
    • NETWORK_CATEGORIZED_CONTENT
    • NETWORK_COMMAND_AND_CONTROL: se o canal de comando e de controle for conhecido.
    • NETWORK_DENIAL_OF_SERVICE.
    • NETWORK_MALICIOUS: comando e controle, exploração de rede, atividade suspeita, possível túnel reverso etc.
    • NETWORK_SUSPICIOUS: não relacionado à segurança, por exemplo, o URL está vinculado a jogos de azar etc.
    • NETWORK_RECON: verificação de porta detectada por um IDS, sondagem por um aplicativo da Web.
    • POLICY_VIOLATION: violação da política de segurança, incluindo violações de regras de firewall, proxy e HIPS ou ações de bloqueio de NAC.
    • SOFTWARE_MALICIOUS: malware, spyware, rootkits etc.
    • SOFTWARE_PUA: app potencialmente indesejado, como adware etc.
    • SOFTWARE_SUSPICIOUS
    • UNKNOWN_CATEGORY

SecurityResult.confidence

  • Finalidade: especificar uma confiança em relação a um evento de segurança, conforme estimado pelo produto.
  • Codificação: enumeração.
  • Valores possíveis:Chronicle UDM define as seguintes categorias de confiança do produto:
    • UNKNOWN_CONFIDENCE;
    • BAIXO_CONFIDENCE
    • MÉDIA_CONFIDENCE
    • ALTA_CONFIDENCE

SecurityResult.confidence_details

  • Finalidade: detalhes adicionais sobre a confiança de um evento de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: string.

SecurityResult.priority

  • Finalidade: especificar uma prioridade em relação a uma ocorrência de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: enumeração.
  • Valores possíveis:o Chronicle UDM define as seguintes categorias de prioridade dos produtos:
    • UNKNOWN_PRIORITY
    • BAIXO_PRIORIDADE
    • MÉDIA_PRIORIDADE
    • ALTA_PRIORIDADE

SecurityResult.priority_details

  • Finalidade: informações específicas do fornecedor sobre a prioridade do resultado de segurança.
  • Codificação: string.

SecurityResult.rule_id

  • Finalidade: identificador para a regra de segurança.
  • Codificação: string.
  • Exemplos:
    • 08123
    • 5d2b44d0-5ef6-40f5-a704-47d61d3babbe

SecurityResult.rule_name

  • Finalidade: nome da regra de segurança.
  • Codificação: string.
  • Exemplo: BlockInboundToOracle.

SecurityResult.Gravidade

  • Finalidade: gravidade de uma ocorrência de segurança, conforme estimado pelo fornecedor do produto, usando valores definidos pelo DM de Chronicle.
  • Codificação: enumeração.
  • Valores possíveis:o Chronicle UDM define as seguintes gravidades de produtos:
    • UNKNOWN_SEVERITY: não malicioso
    • INFORMATIVO: não malicioso
    • ERRO: não malicioso
    • LOW: malicioso
    • MÉDIO: Mal-intencionado
    • HIGH: malicioso

SecurityResult.Gravidade_Detalhes

  • Finalidade: gravidade de um evento de segurança, conforme estimado pelo fornecedor do produto.
  • Codificação: string.

SecurityResult.threat_name.

  • Finalidade: nome da ameaça à segurança.
  • Codificação: string.
  • Exemplos:
    • W32/File A
    • Batente

SecurityResult.url_back_to_product

  • Finalidade: URL que direciona para o console do produto de origem para este evento de segurança.
  • Codificação: string.

População do usuário

User.email_addresses

  • Finalidade: armazena os endereços de e-mail do usuário.
  • Codificação: string repetida.
  • Exemplo: joaosilva@empresa.exemplo.com

User.funcionário_id

  • Finalidade: armazena o ID de funcionário dos recursos humanos do usuário.
  • Codificação: string.
  • Exemplo: 11223344.

User.first_name

  • Finalidade: armazena o nome do usuário.
  • Codificação: string.
  • Exemplo: João.

User.middle_name

  • Finalidade: armazena o nome do meio para o usuário.
  • Codificação: string.
  • Exemplo: Antônio.

Nome.sobrenome.user

  • Finalidade: armazena o sobrenome do usuário.
  • Codificação: string.
  • Exemplo: Locke.

User.group_identifiers

  • Finalidade: armazena os IDs do grupo (um GUID, OID LDAP ou semelhante) associados a um usuário.
  • Codificação: string repetida.
  • Exemplo: administradores e usuários.

User.phone_numbers

  • Finalidade: armazena os números de telefone para o usuário.
  • Codificação: string repetida.
  • Exemplo: 800-555-0101

Título.User

  • Finalidade: armazena o título do job para o usuário.
  • Codificação: string.
  • Exemplo: gerente de relacionamento com o cliente.

User.user_display_name

  • Finalidade: armazena o nome de exibição do usuário.
  • Codificação: string.
  • Exemplo: John Locke.

ID do usuário

  • Finalidade: armazena o ID do usuário.
  • Codificação: string.
  • Exemplo: jlocke.

User.windows_sid

  • Finalidade: armazena o identificador de segurança do Microsoft Windows (SID) associado a um usuário.
  • Codificação: string.
  • Exemplo: S-1-5-21-1180649209-123456789-3582944384-1064

População de metadados de vulnerabilidade

Vulnerabilidade.sobre

  • Finalidade: se a vulnerabilidade for sobre um substantivo específico (por exemplo, executável), adicione-a aqui.
  • Codificação: substantivo. Consulte População de metadados de substantivo.
  • Exemplo: executável

Vulnerability.cvss_base_score

  • Objetivo:pontuação básica no sistema de pontuação de vulnerabilidade comum (CVSS, na sigla em inglês).
  • Codificação: ponto flutuante.
  • Intervalo:de 0,0 a 10,0
  • Exemplo: 8.5

Vulnerabilidade.cvss_vetor

  • Finalidade: vetor das propriedades do CVSS da vulnerabilidade. Uma pontuação do CVSS é composta pelas seguintes métricas:

    • Vetor ataque (AV)
    • Complexidade de acesso (AC)
    • Autenticação (Au)
    • Impacto de confidencialidade (C)
    • Impacto na integridade (I)
    • Impacto na disponibilidade (A)

    Para mais informações, consulte https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=VALUE.

  • Codificação: string.

  • Exemplo: AV:L/AC:H/Au:N/C:N/I:P/A:C

Vulnerability.cvss_version

  • Finalidade: versão do CVSS para a pontuação de vulnerabilidade ou o vetor.
  • Codificação: string.
  • Exemplo: 3,1

Vulnerabilidade.descrição

  • Finalidade: descrição da vulnerabilidade
  • Codificação: string.

Vulnerabilidade.first_found

  • Finalidade: os produtos que mantêm um histórico de verificações de vulnerabilidade precisam preencher first_found com o horário em que a vulnerabilidade do recurso foi detectada pela primeira vez.
  • Codificação: string.

Vulnerabilidade.last_found

  • Finalidade: produtos que mantêm um histórico de verificações de vulnerabilidade precisam preencher last_found com o horário em que a vulnerabilidade desse recurso foi detectada mais recentemente.
  • Codificação: string.

Nome da vulnerabilidade

  • Finalidade: nome da vulnerabilidade.
  • Codificação: string.
  • Exemplo: versão incompatível do SO detectada.

Vulnerability.scan_end_time

  • Finalidade: se a vulnerabilidade foi descoberta durante uma verificação de recurso, preencha este campo com o horário da verificação. Deixe esse campo em branco se o horário de término não estiver disponível ou não for aplicável.
  • Codificação: string.

Vulnerability.scan_start_time

  • Finalidade: se a vulnerabilidade foi descoberta durante uma verificação de recurso, preencha este campo com o horário em que a verificação foi iniciada. Deixe esse campo em branco se o horário de início não estiver disponível ou não for aplicável.
  • Codificação: string.

Vulnerabilidade.gravidade

  • Finalidade: gravidade da vulnerabilidade.
  • Codificação: tipo enumerado.
  • Valores possíveis:
    • UNKNOWN_SEVERITY
    • LOW
    • MÉDIO
    • HIGH

Vulnerability.ality_details

  • Finalidade: detalhes de gravidade específicos de fornecedores
  • Codificação: string.

Preenchimento de metadados de alerta

idm.is_significativo

  • Finalidade: especifica se o alerta será exibido no Enterprise Insights.
  • Codificação: booleana

idm.is_alert

  • Finalidade: identifica se o evento é um alerta.
  • Codificação: booleana

Campos obrigatórios e opcionais com base no tipo de evento

Esta seção descreve os campos obrigatórios e opcionais que serão preenchidos, dependendo do tipo de evento do UDM. Para uma descrição desses campos, consulte a Lista de campos do modelo de dados unificado.

EMAIL_TRANSACTION

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal: preencha com informações sobre a máquina de origem da mensagem de e-mail. Por exemplo, o endereço IP do remetente.

Campos opcionais:

  • sobre: URLs, IPs, domínios e quaisquer anexos de arquivo incorporados no corpo do e-mail.
  • securityResult.about: URLs, IPs e arquivos incorporados incorporados no corpo do e-mail.
  • network.email: informações do remetente/destinatário do e-mail
  • principal: se houver dados de máquinas clientes em quem enviou o e-mail, preencha os detalhes do servidor no principal (por exemplo, processo do cliente, números de porta, nome de usuário etc.).
  • target: se houver dados do servidor de e-mail de destino, preencha os detalhes do servidor no destino (por exemplo, o endereço IP).
  • intermediary: se houver dados do servidor de e-mail ou de proxy de e-mail, preencha os detalhes do servidor como intermediário.

Observações:

  • Nunca preencha principal.email ou target.email.
  • Preencha apenas o campo de e-mail em security_result.about ou network.email.
  • Os resultados de segurança de nível superior geralmente têm um conjunto de substantivos (opcional para spam).

FILE_CREATION, FILE_DELETION, FILE_MODIFICATION, FILE_READ e FILE_OPEN

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal:
    • Pelo menos um identificador de máquina.
    • (Opcional) Preencha o main.process com informações sobre o processo de acesso ao arquivo.
  • target:
    • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o destino precisará incluir pelo menos um identificador de máquina para a máquina de destino. Caso contrário, todos os identificadores de máquina precisarão estar em branco.
    • Preencha target.file com informações sobre o arquivo.

Opcional:

  • security_result: descreve a atividade mal-intencionada detectada.
  • principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

FILE_COPY

Campos obrigatórios:

  • metadata: inclua os campos obrigatórios conforme descrito.
  • principal:
    • Pelo menos um identificador de máquina.
    • (Opcional) Preencha o principal.process com informações sobre o processo que realiza a operação de cópia de arquivos.
  • src:
    • Preencha src.file com informações sobre o arquivo de origem.
    • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o src precisará incluir pelo menos um identificador de máquina para a máquina de origem que armazena o arquivo de origem.
  • target:
    • Preencha target.file com informações sobre o arquivo de destino.
    • Se o arquivo for remoto (por exemplo, compartilhamento SMB), o campo target precisará incluir pelo menos um identificador de máquina para a máquina de destino que contenha o arquivo de destino.

Campos opcionais:

  • security_result: descreve a atividade mal-intencionada detectada.
  • principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.

REMOVERX_CREAATIONO

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal:
    • Pelo menos um identificador de máquina.
    • Preencha principal.process com informações sobre o processo que cria o mutex.
  • target:
    • Preencha target.resource.
    • Preencha target.resource.type com muteX.
    • Preencha target.resource.name com o nome do mutex criado.

Opcional:

  • security_result: descreve a atividade mal-intencionada detectada.
  • principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.
Exemplo de UDM para REMOVEX_CREATION

O exemplo a seguir ilustra como um evento do tipo IgnoreX_CREATION seria formatado para o Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: MUTEX_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test.altostrat.com"
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  resource {
    type: "MUTEX"
    name: "test-mutex"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes do dispositivo e do processo
  • target: informações sobre o mutex.

NETWORK_CONNECTION

Campos obrigatórios:

  • metadados: event_timestamp
  • principal: inclui detalhes sobre a máquina que iniciou a conexão de rede (por exemplo, origem).
  • target: inclua detalhes sobre a máquina de destino, se ela for diferente da máquina principal.
  • network: capture detalhes sobre a conexão de rede (portas, protocolo etc.).

Campos opcionais:

  • principal.process e target.process: inclui informações de processo associadas à instância principal e ao destino da conexão de rede, se disponível.
  • principal.user e target.user: inclua informações do usuário associadas ao principal e ao destino da conexão de rede (se disponível).

NETWORK_HTTP.

O tipo de evento NETWORK_HTTP representa uma conexão de rede HTTP de um principal para um servidor da Web de destino.

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal: representa o cliente que inicia a solicitação da Web e inclui pelo menos um identificador de máquina (por exemplo, nome do host, IP, MAC, identificador de recurso reservado) ou um identificador de usuário (por exemplo). , nome de usuário). Se uma conexão de rede específica for descrita e um número de porta do cliente estiver disponível, apenas um endereço IP precisará ser especificado junto com o número da porta associada a essa conexão de rede (embora outros identificadores de máquina possam ser fornecida para descrever melhor o dispositivo do participante). Se nenhuma porta de origem estiver disponível, qualquer um dos endereços IP e MAC, identificadores de recurso e valores de nome do host que descrevem o dispositivo principal poderão ser especificados.
  • target: representa o servidor da Web e inclui informações do dispositivo e, opcionalmente, um número de porta. Se um número de porta de destino estiver disponível, especifique apenas um endereço IP além do número de porta associado a essa conexão de rede. No entanto, vários outros identificadores de máquina podem ser fornecidos para o destino. Para target.url, preencha com o URL acessado.
  • network e network.http: inclui detalhes sobre a conexão de rede HTTP. Você precisa preencher os seguintes campos:
    • network.ip_protocol
    • network.application_protocol
    • network.http.method

Campos opcionais:

  • about: representa outras entidades encontradas na transação HTTP (por exemplo, um arquivo enviado ou salvo).
  • intermediary: representa um servidor proxy, se diferente do principal ou de destino.
  • metadata: preencha os outros campos de metadados.
  • network: preencha outros campos da rede.
  • network.email: se a conexão de rede HTTP for originada de um URL que apareceu em uma mensagem de e-mail, preencha network.email com os detalhes.
  • observador: representa um wearable passivo (se presente).
  • security_result: adicione um ou mais itens ao campo security_result para representar a atividade maliciosa detectada.
Exemplo de UDM para NETWORK_HTTP

O exemplo a seguir ilustra como um evento antivírus do Sophos do tipo NETWORK_HTTP seria convertido no formato UDM do Chronicle.

Veja a seguir o evento antivírus original do Sophos:

date=2013-08-07 time=13:27:41 timezone="GMT" device_name="CC500ia" device_id= C070123456-ABCDE log_id=030906208001 log_type="Anti-Virus" log_component="HTTP" log_subtype="Virus" status="" priority=Critical fw_rule_id=0 user_name="john.smith" iap=7 av_policy_name="" virus="TR/ElderadoB.A.78" url="altostrat.fr/img/logo.gif" domainname="altostrat.fr" src_ip=10.10.2.10 src_port=60671 src_country_code= dst_ip=203.0.113.31 dst_port=80 dst_country_code=FRA

Veja como formatar as mesmas informações no Proto3 usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2013-08-07T13:27:41+00:00"
  event_type: NETWORK_HTTP
  product_name: "Sophos Antivirus"
  product_log_id: "030906208001"
}

principal {
  hostname: "CC500ia"
  asset_id: "Sophos.AV:C070123456-ABCDE"
  ip: "10.10.2.10"
  port: 60671
  user {  userid: "john.smith" }
}

target {
  hostname: "altostrat.fr"
  ip: "203.0.113.31"
  port: 80
  url: "altostrat.fr/img/logo.gif"
}

network {
  ip_protocol: TCP
 }

security_result {
  about {
    url: "altostrat.fr/img/logo.gif"
    category: SOFTWARE_MALICIOUS
    category_details: "Virus"
    threat_name: "TR/ElderadoB.A.78"
    severity: HIGH                   # Chronicle-normalized severity
    severity_details: "Critical"    # Vendor-specific severity string
  }
}

additional { "dst_country_code" : "FRA", "iap" : "7" "fw_rule_id" : "0" }

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: dispositivo de segurança que detectou o evento.
  • target: dispositivo que recebeu o software malicioso.
  • rede: informações de rede sobre o host malicioso.
  • security_result: detalhes de segurança sobre o software malicioso.
  • adicional: informações de fornecedores fora do escopo da UDM.

PROCESS_INJECTION, PROCESS_LAUNCH, PROCESS_OPEN, PROCESS_TERMINATION, PROCESS_UNCATEGORIZED

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal:
    • Pelo menos um identificador de máquina.
    • Para injeção de encerramento e eventos de encerramento do processo, se disponível, principal.process precisa incluir informações sobre o processo que inicia a ação (por exemplo, para um evento de lançamento de processo, principal.process precisa incluir detalhes sobre o processo pai, se disponível.
  • target:
    • target.process: inclui informações sobre o processo que está sendo injetado, aberto, iniciado ou encerrado.
    • Se o processo de destino for remoto, o destino precisará incluir pelo menos um identificador de máquina (por exemplo, um endereço IP, MAC, nome do host ou identificador de recursos de terceiros).

Campos opcionais:

  • security_result: descreve a atividade mal-intencionada detectada.
  • principal.user e target.user: preencha o processo inicial (principal) e o processo de destino, se as informações do usuário estiverem disponíveis.
Exemplo de UDM para PROCESS_LAUNCH

O exemplo a seguir ilustra como você formataria um evento PROCESS_LAUNCH usando a sintaxe de DDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_LAUNCH
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes do dispositivo.
  • target: detalhes do processo.

PROCESSO_MODULE_LOAD

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal:
    • Pelo menos um identificador de máquina.
    • principal.process: processa o carregamento do módulo.
  • target:
    • target.process: inclui informações sobre o processo.
    • target.process.file: módulo carregado (por exemplo, a DLL ou o objeto compartilhado).

Campos opcionais:

  • security_result: descreve a atividade mal-intencionada detectada.
  • principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.
Exemplo de UDM para PROCESS_MODULE_LOAD

O exemplo a seguir ilustra como você formataria um evento PROCESS_MODULE_LOAD usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_MODULE_LOAD
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes sobre o dispositivo e o processo de carregamento do módulo.
  • target: detalhes do processo e do módulo.

PROCESSO_PRIVILEGE_ESCALATION

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal:
    • Pelo menos um identificador de máquina.
    • principal.process: processa o carregamento do módulo.
    • principal.user: o usuário está carregando o módulo.

Campos opcionais:

  • security_result: descreve a atividade mal-intencionada detectada.
Exemplo de UDM para PROCESS_PRIVILEGE_ESCALATION

O exemplo a seguir ilustra como você formataria um evento PROCESS_PRIVILEGE_ESCALATION usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: PROCESS_PRIVILEGE_ESCALATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "example.com"
  process {
    pid: "0x123"
  }
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}
target {
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes sobre o dispositivo, o usuário e o processo de carregamento do módulo.
  • target: detalhes do processo e do módulo.

REGISTRY_CREATION, REGISTRY_MODIFICATION, REGISTRY_DELETION

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal:
    • Pelo menos um identificador de máquina.
    • Se um processo no modo de usuário executar a modificação do Registro, o principal.process precisará incluir informações sobre o processo que modifica o registro.
    • Se um processo do kernel executar a modificação do registro, o principal não poderá incluir informações do processo.
  • target:
    • target.registry: se o registro de destino for remoto, o destino precisará incluir pelo menos um identificador para a máquina de destino. Por exemplo, um endereço IP, MAC, nome do host ou terceiros. identificador de recurso).
    • target.registry.registry_key: todos os eventos de registro precisam incluir a chave de registro afetada.

Opcional:

  • security_result: descreva a atividade mal-intencionada detectada. Por exemplo, uma chave de registro inválida.
  • principal.user: preencha se as informações do usuário estiverem disponíveis sobre o processo.
Exemplo de UDM para REGISTRY_MODIFICATION

O exemplo a seguir ilustra como formatar um evento REGISTRY_MODIFICATION no Proto3 usando a sintaxe UDM do Chronicle:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: REGISTRY_MODIFICATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "test-win"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
  process {
    pid: "0xc45"
    file {
      full_path: "C:\\Windows\\regedit.exe"
    }
  }
}
target {
  registry {
    registry_key: "\\REGISTRY\\USER\\TEST_USER\\Control Panel\\PowerCfg\\PowerPolicy"
    registry_value_name: "Description"
    registry_value_data: "For extending battery life."
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes do dispositivo, do usuário e do processo
  • target: entrada de registro afetada pela modificação.

SCAN_FILE, SCAN_HOST, SCAN_PROCESS, SCAN_VULN_HOST, SCAN_VULN_NETWORK

Campos obrigatórios:

  • extensions: para SCAN_VULN_HOST e SCAN_VULN_NETWORK, defina a vulnerabilidade usando o campo extensions.vuln.
  • metadados: event_timestamp
  • observador: captura informações sobre o próprio scanner. Se o scanner for remoto, os detalhes da máquina precisarão ser capturados pelo campo do observador. Para um scanner local, deixe em branco.
  • target: capture informações sobre a máquina que contém o objeto que está sendo verificado. Se um arquivo estiver sendo verificado, o target.file precisará capturar informações sobre o arquivo verificado. Se um processo estiver sendo verificado, o target.process deverá capturar informações sobre o processo verificado.

Campos opcionais:

  • target: os detalhes do usuário sobre o objeto de destino (por exemplo, o criador do arquivo ou o proprietário do processo) precisam ser capturados no target.user.
  • security_result: descreve a atividade mal-intencionada detectada.
Exemplo de UDM para SCAN_HOST

O exemplo a seguir ilustra como um evento do tipo SCAN_HOST seria formatado para o Chronicle UDM:

metadata: {
  event_timestamp: {
    seconds: 1571386978
  }
  event_type: SCAN_HOST
  vendor_name: "vendor"
  product_name: "product"
  product_version: "1.0"
}
target: {
  hostname: "testHost"
  asset_id: "asset"
  ip: "192.168.200".200
}
observer: {
  hostname: "testObserver"
  ip: "192.168.100.100"
}
security_result: {
  severity: LOW
  confidence: HIGH_CONFIDENCE
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • target: dispositivo que recebeu o software malicioso.
  • observador: dispositivo que observa e informa o evento em questão.
  • security_result: detalhes de segurança sobre o software malicioso.

SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_DISABLE, SCHEDULED_TASK_ENABLE, SCHEDULED_TASK_MODIFICATION, SCHEDULED_TASK_UNCATEGORIZED

Campos obrigatórios:

  • principal: para todos os eventos SCHEDULED_TASK, o principal precisa incluir um identificador de máquina e um identificador de usuário.
  • target: o destino precisa incluir um recurso válido e um tipo de recurso definido como "TASK".

Campos opcionais:

  • security_result: descreve a atividade mal-intencionada detectada.
Exemplo de UDM para SCHEDULED_TASK_CREATION

O exemplo a seguir ilustra como um evento do tipo SCHEDULED_TASK_CREATION pode ser formatado para a UDM do Chronicle:

metadata: {
  event_timestamp: {
    seconds: 1577577998
  }
  event_type: SCHEDULED_TASK_CREATION
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal: {
  hostname: "fake-host.altostrat.com"
  user: {
    userid: "TestUser"
    windows_sid: "AB123CDE"
  }
  process {
    pid: "1234"
  }
}
target: {
  resource: {
    type: "TASK"
    name: "\\Adobe Acrobat Update Task"
  }
}
intermediary: {
  hostname: "fake-intermediary.altostrat.com"
}
security_result: {
  rule_name: "EventID: 6789"
  summary: "A scheduled task was created."
  severity: INFORMATIONAL
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: o dispositivo que programou a tarefa suspeita.
  • target: software segmentado pela tarefa suspeita.
  • intermediário: intermediário envolvido na tarefa suspeita.
  • security_result: detalhes de segurança sobre a tarefa suspeita.

STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN e STATUS_UPDATE

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal: pelo menos um identificador de máquina (IP ou MAC ADDRESS, nome do host ou identificador de recursos).
Exemplo de UDM para STATUS_HEARTBEAT

O exemplo a seguir ilustra como um evento do tipo STATUS_HEARTBEAT seria formatado para o Chronicle UDM:

metadata: {
  event_timestamp: {
    seconds: 1588180305
  }
  event_type: STATUS_HEARTBEAT
  vendor_name: "DMP"
  product_name: "ENTRE"
}
principal: {
  hostname: "testHost"
  location: {
    name: "Building 1"
  }
}
intermediary: {
  ip: "8.8.8.8"
}
security_result: {
  summary: "Event - Locked"
  description: "description"
  severity: LOW
  severity_details: "INFO"
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes do dispositivo e do local
  • intermediário: endereço IP do dispositivo.
  • security_result: detalhes do resultado de segurança.

SYSTEM_AUDIT_LOG_UNCATEGORIZED, SYSTEM_AUDIT_LOG_WIPE

Campos obrigatórios:

  • principal: inclui um identificador de usuário para o usuário que executou a operação no registro e um identificador de máquina para a máquina em que o registro está ou estava (no caso de exclusão permanente) armazenado de dados.
Exemplo de UDM para SYSTEM_AUDIT_LOG_WIPE

O exemplo a seguir ilustra como um evento do tipo SYSTEM_AUDIT_LOG_WIPE seria formatado para o Chronicle UDM:

metadata {
  event_timestamp: "2020-01-01T13:27:41+00:00"
  event_type: SYSTEM_AUDIT_LOG_WIPE
  vendor_name: "Microsoft"
  product_name: "Windows"
}
principal {
  hostname: "altostrat.com"
  user {
    userid: "test"
    windows_sid: "ABCDEFGH-123456789-1111111-1000"
  }
}

Conforme mostrado neste exemplo, o evento foi dividido nas seguintes categorias de UDM:

  • Metadados: informações básicas sobre o evento.
  • principal: detalhes do dispositivo e do usuário

USER_LOGIN, USER_LOGOUT, USER_CHANGE_PASSWORD, USER_CHANGE_PERMISSIONS

Campos obrigatórios:

  • metadata: incluir os campos obrigatórios.
  • principal: preencha com informações sobre a máquina que originou o login. Para um login remoto, o principal também precisa incluir pelo menos um identificador de máquina que identifique a máquina que originou o login.
  • target: para login direto da máquina, VPN, Cloud Service e SSO, o destino precisa incluir informações sobre o aplicativo de destino, a máquina de destino ou o servidor de VPN de destino.
  • intermediation: para logins de SSO, o intermediário precisa incluir pelo menos um identificador de máquina para o servidor de SSO, se disponível.
  • network e network.http: se o login for feito por HTTP, coloque todos os detalhes disponíveis em network.ip_protocol, network.application_protocol e network .http
  • Extensão authentication: precisa identificar o tipo de sistema de autenticação ao qual o evento está relacionado (por exemplo, máquina, SSO ou VPN) e o mecanismo empregado (nome de usuário e senha, OTP). etc.).
  • security_result: adicione um campo security_result para representar o status de login se falhar. Especifique Security_result.category com o valor AUTH_VIOLATION se a autenticação falhar.

USER_COMMUNICATION

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados à comunicação iniciada pelo usuário (remetente), como uma mensagem de chat no Google Chat ou Slack , uma videoconferência ou voz no Zoom ou no Google Meet ou por uma conexão VoIP.

Campos opcionais:

  • target: (recomendado) preencha o campo target.user com informações sobre o usuário alvo (receptor) do recurso de comunicação na nuvem. Preencha o campo target.application com informações sobre o aplicativo de comunicação na nuvem de destino.

USER_CREATION, USER_DELETION

Campos obrigatórios:

  • metadados: event_timestamp
  • principal: inclua informações sobre a máquina de onde a solicitação foi criada ou excluída do usuário. Para criar ou excluir um usuário local, o principal precisa incluir pelo menos um identificador de máquina para a máquina de origem.
  • target: local onde o usuário está sendo criado. Também precisa incluir informações do usuário (por exemplo, target.user).

Campos opcionais:

  • Principal: detalhes do usuário e do processo em que a solicitação de criação ou exclusão do usuário foi iniciada.
  • target: informações sobre a máquina de destino (se for diferente da máquina principal).

USER_RESOURCE_ACCESS

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes sobre as tentativas de acessar um recurso de nuvem (por exemplo, um caso do Salesforce, agenda do Office365, Documentos Google). ou o ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo na nuvem de destino.

USER_RESOURCE_CREATION, USER_RESOURCE_DELETION

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados ao usuário criado em um recurso de nuvem (por exemplo, um caso do Salesforce, calendário do Office365), tíquete do Documentos Google ou do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo na nuvem de destino.

USER_RESOURCE_UPDATE_CONTENT

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados ao usuário cujo conteúdo foi atualizado em um recurso de nuvem (por exemplo, um caso do Salesforce). tíquete do Office365, do Documentos Google ou do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo na nuvem de destino.

USER_RESOURCE_UPDATE_PERMISSIONS

Campos obrigatórios:

  • principal: preencha o campo principal.user com detalhes associados ao usuário cujas permissões foram atualizadas em um recurso de nuvem (por exemplo, um caso do Salesforce). tíquete do Office365, do Documentos Google ou do ServiceNow).
  • target: preencha o campo target.resource com informações sobre o recurso de nuvem de destino.

Campos opcionais:

  • target.application: (recomendado) preencha o campo target.application com informações sobre o aplicativo na nuvem de destino.

USER_UNCATEGORIZED

Campos obrigatórios:

  • metadados: event_timestamp
  • principal: inclua informações sobre a máquina de onde a solicitação foi criada ou excluída do usuário. Para criar ou excluir um usuário local, o principal precisa incluir pelo menos um identificador de máquina para a máquina de origem.
  • target: local onde o usuário está sendo criado. Também precisa incluir informações do usuário (por exemplo, target.user).

Campos opcionais:

  • Principal: detalhes do usuário e do processo em que a solicitação de criação ou exclusão do usuário foi iniciada.
  • target: informações sobre a máquina de destino (se for diferente da máquina principal).