Raccogli i log di osquery
Questo documento descrive come raccogliere i log di osquery configurando osquery e un addetto alle operazioni di sicurezza di Google. Questo documento elenca anche i tipi di log supportati e versioni di osquery supportate.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Panoramica
Il seguente diagramma dell'architettura di deployment mostra in che modo gli agenti osquery e il server Fleet sono configurate in modo da inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa da questa rappresentazione e potrebbe essere più complessa.
Il diagramma dell'architettura mostra i seguenti componenti:
Sistema Linux: il sistema Linux da monitorare in cui è installato l'agente osquery
Sistema Microsoft Windows: il sistema Microsoft Windows da monitorare in cui è installato l'agente osquery
Sistema Mac. Il sistema Mac da monitorare, con il quale l'agente osquery è installato
agente osquery: raccoglie informazioni da Microsoft Windows, Linux o Mac. di sistema e inoltra le informazioni al server del parco risorse
Server del parco risorse: monitora e riceve le informazioni dal osquery, analizza i log e li inoltra al server di inoltro di Google Security Operations
Forwarder delle operazioni di sicurezza di Google: una soluzione leggera componente software di cui è stato eseguito il deployment nella rete del cliente per inoltrare i log a Google Security Operations
Google Security Operations: conserva e analizza i log del server di Fleet
Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati
in formato UDM strutturato. Le informazioni in questo documento si applicano al parser
con etichetta di importazione OSQUERY_EDR.
Prima di iniziare
Installa Fleet Server. Per installare il parco risorse:
Utilizza una versione di osquery supportata dall'analizzatore sintattico di Google Security Operations, ovvero 5.2.3 e 5.3.0.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Assicurati che i nomi delle tabelle nel parco risorse siano quelli indicati nella documentazione ufficiale del parco risorse.
Configurare l'agente, il server e il forwarder di Google Security Operations di osquery
Per configurare il server del parco risorse e l'inoltro di Google Security Operations, segui questi passaggi:
Per configurare il server Fleet:
Aggiungi host al server del parco risorse e installa l'agente osquery. Puoi aggiungere il tuo host a Fleet Server con un programma di installazione di osquery. Il server parco risorse aiuta a generare un programma di installazione di osquery con il comando del pacchetto Fleetctl.
- Esegui il comando del pacchetto fleetctl installando lo strumento a riga di comando fleetctl.
- Installa l'agente osquery utilizzando il comando del pacchetto Fleetctl.
Quando installi il programma di installazione di osquery generato su un host, l'host si registra automaticamente nell'istanza del parco risorse specificata.
Recupera i log dall'agente osquery. Per creare una query nel parco risorse per il recupero dei log, consulta Creare una query e, per pianificare una query, consulta Pianificare una query.
Configura il forwarding di Google Security Operations su un dispositivo Linux centrale per eseguire il push dei log al sistema Google Security Operations. Per ulteriori informazioni, consulta Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione di forwarding di Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Riferimento per la mappatura dei campi
Questa sezione spiega in che modo l'analizzatore sintattico di Google Security Operations mappa i campi del log di osquery ai campi del modello Unified Data Model (UDM) di Google Security Operations per lo schema e il sistema operativo. Per ulteriori informazioni, consulta lo schema osquery per la versione 5.2.3 e la versione 5.3.0.
account_policy_data
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema account_policy_data e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema ad_config e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| dominio | target.administrative_domain |
| opzione | about.labels.key (deprecato) additional.fields.key |
| valore | about.labels.value (deprecato) additional.fields.value.string_value |
alf
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema alf e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (deprecato) additional.fields |
| firewall_unload | about.labels.key/value (deprecato) additional.fields |
| global_state | about.labels.key/value (deprecato) additional.fields |
| logging_enabled | about.labels.key/value (deprecato) additional.fields |
| logging_option | about.labels.key/value (deprecato) additional.fields |
| stealth_enabled | about.labels.key/value (deprecato) additional.fields |
| versione | target.platform_version |
alf_exceptions
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema alf_exceptions e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| state | about.labels.key/value (deprecato) additional.fields |
alf_explicit_auths
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per lo schema alf_explicit_auths e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| di diffusione | target.process.pid |
app_schemes
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema app_schemes e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| schema | about.labels.key/value (deprecato) additional.fields |
| handler | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| esterno | about.labels.key/value (deprecato) additional.fields |
| protetto | about.labels.key/value (deprecato) additional.fields |
apparmor_events
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema apparmor_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| messaggio | metadata.description |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| eid | security_result.rule_id |
| Apparmor | security_result.action |
| operazione | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| profilo | about.labels.key/value (deprecato) additional.fields |
| nome | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (deprecato) additional.fields |
| capname | about.labels.key/value (deprecato) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capability | about.labels.key/value (deprecato) additional.fields |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value (deprecato) additional.fields |
| errore | security_result.summary |
| spazio dei nomi | about.labels.key/value (deprecato) additional.fields |
| etichetta | about.labels.key/value (deprecato) additional.fields |
apparmor_profiles
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema apparmor_profile e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| nome | target.resource.name |
| collegare | about.labels.key/value (deprecato) additional.fields |
| modalità | about.labels.key/value (deprecato) additional.fields |
| sha1 | target.file.sha1 |
app
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per le app schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.application |
| percorso | target.file.full_path |
| bundle_executable | about.labels.key/value (deprecato) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (deprecato) additional.fields |
| produzione | about.labels.key/value (deprecato) additional.fields |
| elemento | about.labels.key/value (deprecato) additional.fields |
| compilatore | about.labels.key/value (deprecato) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (deprecato) additional.fields |
| info_string | about.labels.key/value (deprecato) additional.fields |
| minimum_system_version | about.labels.key/value (deprecato) additional.fields |
| categoria | about.labels.key/value (deprecato) additional.fields |
| applescript_enabled | about.labels.key/value (deprecato) additional.fields |
| copyright | about.labels.key/value (deprecato) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema asl e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | about.labels.key/value (deprecato) additional.fields |
| time_nano_sec | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
| mittente | about.labels.key/value (deprecato) additional.fields |
| struttura | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| livello | about.labels.key/value (deprecato) additional.fields |
| messaggio | metadata.description |
| ref_pid | about.labels.key/value (deprecato) additional.fields |
| ref_proc | about.labels.key/value (deprecato) additional.fields |
| extra | about.labels.key/value (deprecato) additional.fields |
authenticode
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema authenticode e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| original_program_name | about.labels.key/value (deprecato) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| risultato | security_result.summary |
authorization_mechanisms
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Authorization_mechanisms e macOS del sistema operativo:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| etichetta | about.labels.key/value (deprecato) additional.fields |
| plugin | about.labels.key/value (deprecato) additional.fields |
| meccanismo | about.labels.key/value (deprecato) additional.fields |
| con privilegi | about.labels.key/value (deprecato) additional.fields |
| voce | about.labels.key/value (deprecato) additional.fields |
autorizzazioni
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per le autorizzazioni dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| etichetta | about.labels.key/value (deprecato) additional.fields |
| modificato | about.labels.key/value (deprecato) additional.fields |
| allow_root | about.labels.key/value (deprecato) additional.fields |
| timeout | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| prova | about.labels.key/value (deprecato) additional.fields |
| authenticate_user | about.labels.key/value (deprecato) additional.fields |
| condiviso | about.labels.key/value (deprecato) additional.fields |
| commento | about.labels.key/value (deprecato) additional.fields |
| creato | about.labels.key/value (deprecato) additional.fields |
| classe | about.labels.key/value (deprecato) additional.fields |
| session_owner | about.labels.key/value (deprecato) additional.fields |
autoexec
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema autoexec e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| nome | target.application |
| origine | target.resource.name |
bitlocker_info
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema bitlocker_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (deprecato) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| versione | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema bpf_process_events e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tid | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| principale | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| probe_error | about.labels.key/value (deprecato) additional.fields |
| syscall | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| cwd | about.labels.key/value (deprecato) additional.fields |
| cmdline | target.process.command_line |
| duration | about.labels.key/value (deprecato) additional.fields |
| json_cmdline | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema bpf_socket_events e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tid | about.labels.key/value (deprecato) additional.fields |
| pid | principal.process.pid |
| principale | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| probe_error | about.labels.key/value (deprecato) additional.fields |
| syscall | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| fd | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
certificati
La tabella seguente elenca i campi dei log e le relative mappature UDM per i certificati dello schema e i sistemi operativi macOS e Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| common_name | about.labels.key/value (deprecato) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value (deprecato) additional.fields |
| self_signed | about.labels.key/value (deprecato) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (deprecato) additional.fields |
| key_algorithm | about.labels.key/value (deprecato) additional.fields |
| key_strength | about.labels.key/value (deprecato) additional.fields |
| key_usage | about.labels.key/value (deprecato) additional.fields |
| subject_key_id | about.labels.key/value (deprecato) additional.fields |
| authority_key_id | about.labels.key/value (deprecato) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| percorso | about.labels.key/value (deprecato) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (deprecato) additional.fields |
| store_location | about.labels.key/value (deprecato) additional.fields |
| datastore | about.labels.key/value (deprecato) additional.fields |
| nome utente | principal.user.user_display_name |
| store_id | about.labels.key/value (deprecato) additional.fields |
chassis_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema chassis_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| cicalino | about.labels.key/value (deprecato) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (deprecato) additional.fields |
| description | metadata.description |
| lucchetto | about.labels.key/value (deprecato) additional.fields |
| produttore | principal.asset.hardware.manufacturer |
| modello | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (deprecato) additional.fields |
| sku | about.labels.key/value (deprecato) additional.fields |
| stato | about.labels.key/value (deprecato) additional.fields |
| avviso_visibile | about.labels.key/value (deprecato) additional.fields |
chrome_extensions
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema chrome_extensions e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| nome | target.resource.name |
| profilo | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identificatore | target.resource.attribute.labels.key/value |
| versione | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| autore | target.resource.attribute.labels.key/value |
| persistente | target.resource.attribute.labels.key/value |
| percorso | target.file.full_path |
| autorizzazioni | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| a cui viene fatto riferimento | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| chiave | target.resource.attribute.labels.key/value |
Connettività
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per la connettività dello schema e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| disconnessa | about.labels.key/value (deprecato) additional.fields |
| ipv4_no_traffic | about.labels.key/value (deprecato) additional.fields |
| ipv6_no_traffic | about.labels.key/value (deprecato) additional.fields |
| ipv4_subnet | about.labels.key/value (deprecato) additional.fields |
| ipv4_local_network | about.labels.key/value (deprecato) additional.fields |
| ipv4_internet | about.labels.key/value (deprecato) additional.fields |
| ipv6_subnet | about.labels.key/value (deprecato) additional.fields |
| ipv6_local_network | about.labels.key/value (deprecato) additional.fields |
| ipv6_internet | about.labels.key/value (deprecato) additional.fields |
cpu_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema cpu_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| modello | principal.asset.hardware.model |
| produttore | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (deprecato) additional.fields |
| disponibilità | about.labels.key/value (deprecato) additional.fields |
| cpu_status | about.labels.key/value (deprecato) additional.fields |
| numero_di_core | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (deprecato) additional.fields |
| address_width | about.labels.key/value (deprecato) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (deprecato) additional.fields |
arresti anomali
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per gli arresti anomali dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| percorso | target.process.file.full_path |
| crash_path | target.file.full_path |
| identificatore | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| responsabile | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| dataora | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (deprecato) additional.fields |
| stack_trace | about.labels.key/value (deprecato) additional.fields |
| exception_type | about.labels.key/value (deprecato) additional.fields |
| exception_codes | about.labels.key/value (deprecato) additional.fields |
| exception_notes | about.labels.key/value (deprecato) additional.fields |
| registri | about.labels.key/value (deprecato) additional.fields |
crontab
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema crontab e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| event | about.labels.key/value (deprecato) additional.fields |
| minuto | about.labels.key/value (deprecato) additional.fields |
| ora | about.labels.key/value (deprecato) additional.fields |
| day_of_month | about.labels.key/value (deprecato) additional.fields |
| mese | about.labels.key/value (deprecato) additional.fields |
| day_of_week | about.labels.key/value (deprecato) additional.fields |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| percorso | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
curl
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema curl e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| url | network.http.referral_url |
| metodo | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| byte | network.received_bytes |
| risultato | about.labels.key/value (deprecato) additional.fields |
curl_certificate
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema curl_certificate e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome host | principal.hostname |
| common_name | about.labels.key/value (deprecato) additional.fields |
| organizzazione | network.organization_name |
| organization_unit | about.labels.key/value (deprecato) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (deprecato) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (deprecato) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| versione | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (deprecato) additional.fields |
| firma | about.labels.key/value (deprecato) additional.fields |
| subject_key_identifier | about.labels.key/value (deprecato) additional.fields |
| authority_key_identifier | about.labels.key/value (deprecato) additional.fields |
| key_usage | about.labels.key/value (deprecato) additional.fields |
| extended_key_usage | about.labels.key/value (deprecato) additional.fields |
| policies | about.labels.key/value (deprecato) additional.fields |
| subject_alternative_names | about.labels.key/value (deprecato) additional.fields |
| issuer_alternative_names | about.labels.key/value (deprecato) additional.fields |
| info_access | about.labels.key/value (deprecato) additional.fields |
| subject_info_access | about.labels.key/value (deprecato) additional.fields |
| policy_mappings | about.labels.key/value (deprecato) additional.fields |
| has_expired | about.labels.key/value (deprecato) additional.fields |
| basic_constraint | about.labels.key/value (deprecato) additional.fields |
| name_constraints | about.labels.key/value (deprecato) additional.fields |
| policy_constraints | about.labels.key/value (deprecato) additional.fields |
| dump_certificate | about.labels.key/value (deprecato) additional.fields |
| timeout | about.labels.key/value (deprecato) additional.fields |
| Pem | about.labels.key/value (deprecato) additional.fields |
device_file
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema device_file e i sistemi operativi Linux, macOS, freebsd, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dispositivo | about.labels.key/value (deprecato) additional.fields |
| partizione | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| filename | target.file.names |
| inode | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modalità | about.labels.key/value (deprecato) additional.fields |
| dimensioni | target.file.size |
| block_size | about.labels.key/value (deprecato) additional.fields |
| atime | about.labels.key/value (deprecato) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (deprecato) additional.fields |
| hard_links | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
device_hash
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema device_hash e i sistemi operativi Linux, macOS, freebsd, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dispositivo | target.file.full_path |
| partizione | about.labels.key/value (deprecato) additional.fields |
| Inode | about.labels.key/value (deprecato) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema disk_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| partizioni | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| tipo | principal.asset.attribute.labels.key/value |
| ID | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (deprecato) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| produttore | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| nome | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema dns_cache e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | network.dns.additional.name |
| tipo | about.labels.key/value (deprecato) additional.fields |
| flags | about.labels.key/value (deprecato) additional.fields |
dns_resolvers
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema dns_resolvers e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| indirizzo | principal.ip |
| netmask | about.labels.key/value (deprecato) additional.fields |
| opzioni del modello. | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
docker_container_networks
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_networks e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| nome | network.carrier_name |
| network_id | about.labels.key/value (deprecato) additional.fields |
| endpoint_id (ID endpoint) | about.labels.key/value (deprecato) additional.fields |
| gateway | about.labels.key/value (deprecato) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (deprecato) additional.fields |
| ipv6_gateway | about.labels.key/value (deprecato) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (deprecato) additional.fields |
| mac_address | target.mac |
docker_container_ports
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_ports e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| tipo | network.ip_protocol |
| porta | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_processes e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.asset.product_object_id |
| pid | target.process.pid |
| nome | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| rigido | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (deprecato) additional.fields |
| resident_size | about.labels.key/value (deprecato) additional.fields |
| total_size | about.labels.key/value (deprecato) additional.fields |
| start_time | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| Gruppo p | about.labels.key/value (deprecato) additional.fields |
| thread | about.labels.key/value (deprecato) additional.fields |
| bello | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.user_display_name |
| tempo | about.labels.key/value (deprecato) additional.fields |
| cpu | about.labels.key/value (deprecato) additional.fields |
| mem | about.labels.key/value (deprecato) additional.fields |
docker_container_stats
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_container_stats e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| nome | target.resource.name |
| pid | about.labels.key/value (deprecato) additional.fields |
| read | about.labels.key/value (deprecato) additional.fields |
| prelettura | about.labels.key/value (deprecato) additional.fields |
| intervallo | about.labels.key/value (deprecato) additional.fields |
| disk_read | about.labels.key/value (deprecato) additional.fields |
| disk_write | about.labels.key/value (deprecato) additional.fields |
| num_procs | about.labels.key/value (deprecato) additional.fields |
| cpu_total_usage | about.labels.key/value (deprecato) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (deprecato) additional.fields |
| cpu_usermode_usage | about.labels.key/value (deprecato) additional.fields |
| system_cpu_usage | about.labels.key/value (deprecato) additional.fields |
| online_cpus | about.labels.key/value (deprecato) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (deprecato) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (deprecato) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (deprecato) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (deprecato) additional.fields |
| pre_online_cpus | about.labels.key/value (deprecato) additional.fields |
| memory_usage | about.labels.key/value (deprecato) additional.fields |
| memory_max_usage | about.labels.key/value (deprecato) additional.fields |
| memory_limit | about.labels.key/value (deprecato) additional.fields |
| network_rx_bytes | about.labels.key/value (deprecato) additional.fields |
| network_tx_bytes | about.labels.key/value (deprecato) additional.fields |
docker_info
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_info e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| Container | about.labels.key/value (deprecato) additional.fields |
| containers_running | about.labels.key/value (deprecato) additional.fields |
| containers_paused | about.labels.key/value (deprecato) additional.fields |
| containers_stopped | about.labels.key/value (deprecato) additional.fields |
| immagini | about.labels.key/value (deprecato) additional.fields |
| storage_driver | about.labels.key/value (deprecato) additional.fields |
| memory_limit | about.labels.key/value (deprecato) additional.fields |
| swap_limit | about.labels.key/value (deprecato) additional.fields |
| kernel_memory | about.labels.key/value (deprecato) additional.fields |
| cpu_cfs_period | about.labels.key/value (deprecato) additional.fields |
| cpu_cfs_quota | about.labels.key/value (deprecato) additional.fields |
| cpu_shares | about.labels.key/value (deprecato) additional.fields |
| cpu_set | about.labels.key/value (deprecato) additional.fields |
| ipv4_forwarding | about.labels.key/value (deprecato) additional.fields |
| bridge_nf_iptables | about.labels.key/value (deprecato) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (deprecato) additional.fields |
| oom_kill_disable | about.labels.key/value (deprecato) additional.fields |
| logging_driver | about.labels.key/value (deprecato) additional.fields |
| cgroup_driver | about.labels.key/value (deprecato) additional.fields |
| kernel_version | about.labels.key/value (deprecato) additional.fields |
| os | about.labels.key/value (deprecato) additional.fields |
| os_type | target.platform(enum) |
| architettura | about.labels.key/value (deprecato) additional.fields |
| CPU | about.labels.key/value (deprecato) additional.fields |
| memoria | about.labels.key/value (deprecato) additional.fields |
| http_proxy | about.labels.key/value (deprecato) additional.fields |
| https_proxy | about.labels.key/value (deprecato) additional.fields |
| no_proxy | about.labels.key/value (deprecato) additional.fields |
| nome | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema docker_network_labels e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| chiave | target.resource.attribute.labels.key/value |
| valore | about.labels.key/value (deprecato) additional.fields |
docker_networks
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema docker_networks e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ID | target.resource.product_object_id |
| nome | about.labels.key/value (deprecato) additional.fields |
| conducente | about.labels.key/value (deprecato) additional.fields |
| creato | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (deprecato) additional.fields |
| subnet | about.labels.key/value (deprecato) additional.fields |
| gateway | about.labels.key/value (deprecato) additional.fields |
ec2_instance_metadata
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema ec2_instance_metadata e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (deprecato) additional.fields |
| architettura | about.labels.key/value (deprecato) additional.fields |
| regione | target.location.country_or_region |
| availability_zone | about.labels.key/value (deprecato) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (deprecato) additional.fields |
| iam_arn | about.labels.key/value (deprecato) additional.fields |
| ami_id | about.labels.key/value (deprecato) additional.fields |
| reservation_id | about.labels.key/value (deprecato) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value (deprecato) additional.fields |
es_process_events
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema es_process_events e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| versione | target.platform_version |
| seq_num | about.labels.key/value (deprecato) additional.fields |
| global_seq_num | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| percorso | target.process.file.full_path |
| principale | target.process.parent_process.pid |
| original_parent | about.labels.key/value (deprecato) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (deprecato) additional.fields |
| env | about.labels.key/value (deprecato) additional.fields |
| env_count | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (deprecato) additional.fields |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| signing_id | about.labels.key/value (deprecato) additional.fields |
| team_id | about.labels.key/value (deprecato) additional.fields |
| cdhash | about.labels.key/value (deprecato) additional.fields |
| platform_binary | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| child_pid | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| event_type | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema etc_hosts e per il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| indirizzo | target.ip |
| nomi host | about.hostname |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
etc_protocols
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema etc_protocols e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | network.ip_protocol |
| numero | about.labels.key/value (deprecato) additional.fields |
| alias | about.labels.key/value (deprecato) additional.fields |
| commento | about.labels.key/value (deprecato) additional.fields |
etc_services
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema etc_services e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| porta | target.port |
| protocollo | network.ip_protocol |
| alias | about.labels.key/value (deprecato) additional.fields |
| commento | about.labels.key/value (deprecato) additional.fields |
file
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per il file di schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| directory | about.labels.key/value (deprecato) additional.fields |
| filename | target.file.names |
| inode | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| modalità | about.labels.key/value (deprecato) additional.fields |
| dispositivo | target.asset.asset_id |
| dimensioni | target.file.size |
| block_size | about.labels.key/value (deprecato) additional.fields |
| atime | target.file.last_seen_time |
| minuti | target.file.last_modification_time |
| ctime | about.labels.key/value (deprecato) additional.fields |
| btime | about.labels.key/value (deprecato) additional.fields |
| hard_links | about.labels.key/value (deprecato) additional.fields |
| collegamento simbolico | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| attributes | about.labels.key/value (deprecato) additional.fields |
| volume_serial | about.labels.key/value (deprecato) additional.fields |
| file_id | about.labels.key/value (deprecato) additional.fields |
| file_version | about.labels.key/value (deprecato) additional.fields |
| product_version | about.labels.key/value (deprecato) additional.fields |
| bsd_flags | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
| mount_namespace_id | about.labels.key/value (deprecato) additional.fields |
file_events
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per lo schema file_events e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| operazione | about.labels.key/value (deprecato) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| tempo | about.labels.key/value (deprecato) additional.fields |
| executable | about.labels.key/value (deprecato) additional.fields |
| parziale | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| percorso | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| Auid | about.labels.key/value (deprecato) additional.fields |
| euid | about.labels.key/value (deprecato) additional.fields |
| egid | about.labels.key/value (deprecato) additional.fields |
| fsuid | about.labels.key/value (deprecato) additional.fields |
| Fsgid | about.labels.key/value (deprecato) additional.fields |
| Suid | about.labels.key/value (deprecato) additional.fields |
| rigido | about.labels.key/value (deprecato) additional.fields |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
custode
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per il gatekeeper dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (deprecato) additional.fields |
| dev_id_enabled | about.labels.key/value (deprecato) additional.fields |
| versione | target.asset.software.version |
| opaque_version | about.labels.key/value (deprecato) additional.fields |
gatekeeper_approved_apps
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema gatekeeper_approved_apps e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| requisito | about.labels.key/value (deprecato) additional.fields |
| ctime | about.labels.key/value (deprecato) additional.fields |
| minuti | target.resource.attribute.last_update_time |
gruppi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i gruppi di schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| nomegruppo | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| commento | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per lo schema hardware_events e per il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| azione | security_result.action_details |
| percorso | target.asset.attribute.labels.key/value |
| tipo | target.asset.attribute.labels.key/value |
| conducente | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| modello | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| revisione | target.asset.attribute.labels.key/value |
| tempo | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per l'hash dello schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| directory | about.labels.key/value (deprecato) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
| mount_namespace_id | about.labels.key/value (deprecato) additional.fields |
interface_addresses
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema interface_addresses e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| indirizzo | target.ip |
| maschera | about.labels.key/value (deprecato) additional.fields |
| trasmettere | about.labels.key/value (deprecato) additional.fields |
| point_to_point | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| friendly_name | about.labels.key/value (deprecato) additional.fields |
interface_details
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema interface_details e i sistemi operativi macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| Mac | target.mac |
| tipo | about.labels.key/value (deprecato) additional.fields |
| mtu | about.labels.key/value (deprecato) additional.fields |
| metrica | about.labels.key/value (deprecato) additional.fields |
| flags | about.labels.key/value (deprecato) additional.fields |
| ipacket | about.labels.key/value (deprecato) additional.fields |
| opackets | about.labels.key/value (deprecato) additional.fields |
| ibyte | network.sent_bytes |
| obyte | network.received_bytes |
| ierrors | about.labels.key/value (deprecato) additional.fields |
| oerrors | about.labels.key/value (deprecato) additional.fields |
| idrops | about.labels.key/value (deprecato) additional.fields |
| Odrops | about.labels.key/value (deprecato) additional.fields |
| collisioni | about.labels.key/value (deprecato) additional.fields |
| last_change | about.labels.key/value (deprecato) additional.fields |
| link_speed | about.labels.key/value (deprecato) additional.fields |
| pci_slot | about.labels.key/value (deprecato) additional.fields |
| friendly_name | about.labels.key/value (deprecato) additional.fields |
| description | about.labels.key/value (deprecato) additional.fields |
| produttore | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (deprecato) additional.fields |
| connection_status | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| physical_adapter | about.labels.key/value (deprecato) additional.fields |
| velocità | about.labels.key/value (deprecato) additional.fields |
| servizio | target.application |
| dhcp_enabled | about.labels.key/value (deprecato) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (deprecato) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (deprecato) additional.fields |
| dns_host_name | about.labels.key/value (deprecato) additional.fields |
| dns_server_search_order | about.labels.key/value (deprecato) additional.fields |
interface_ipv6
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema interface_ipv6 e i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| interfaccia | about.labels.key/value (deprecato) additional.fields |
| hop_limit | about.labels.key/value (deprecato) additional.fields |
| forwarding_enabled | about.labels.key/value (deprecato) additional.fields |
| redirect_accept | about.labels.key/value (deprecato) additional.fields |
| rtadv_accept | about.labels.key/value (deprecato) additional.fields |
iptables
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema iptables e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (deprecato) additional.fields |
| catena | about.labels.key/value (deprecato) additional.fields |
| criterio | about.labels.key/value (deprecato) additional.fields |
| target | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (deprecato) additional.fields |
| iniface | about.labels.key/value (deprecato) additional.fields |
| iniface_mask | about.labels.key/value (deprecato) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (deprecato) additional.fields |
| faccia esterna | about.labels.key/value (deprecato) additional.fields |
| outiface_mask | about.labels.key/value (deprecato) additional.fields |
| corrispondenza | about.labels.key/value (deprecato) additional.fields |
| pacchetti | about.labels.key/value (deprecato) additional.fields |
| byte | network.received_bytes |
kernel_panics
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per lo schema kernel_panics e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| tempo | about.labels.key/value (deprecato) additional.fields |
| registri | about.labels.key/value (deprecato) additional.fields |
| frame_backtrace | about.labels.key/value (deprecato) additional.fields |
| module_backtrace | about.labels.key/value (deprecato) additional.fields |
| delle dipendenze | about.labels.key/value (deprecato) additional.fields |
| nome | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (deprecato) additional.fields |
| system_model | target.asset.hardware.model |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| last_loaded | about.labels.key/value (deprecato) additional.fields |
| last_unloaded | about.labels.key/value (deprecato) additional.fields |
keychain_acls
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per lo schema keychain_acls e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (deprecato) additional.fields |
| autorizzazioni | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| description | metadata.description |
| etichetta | about.labels.key/value (deprecato) additional.fields |
known_hosts
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema known_hosts e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | target.user.userid |
| chiave | about.labels.key/value (deprecato) additional.fields |
| key_file | target.file.full_path |
ultima
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema precedente e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome utente | target.user.user_display_name |
| TTY | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| tipo | about.labels.key/value (deprecato) additional.fields |
| type_name | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
listening_ports
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Listen_ports e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| porta | target.port |
| protocollo | network.ip_protocol |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| indirizzo | target.ip |
| fd | about.labels.key/value (deprecato) additional.fields |
| socket | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| net_namespace | about.labels.key/value (deprecato) additional.fields |
logged_in_users
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema logs_in_users e per il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.userid |
| tty | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
| tempo | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (deprecato) additional.fields |
| registry_hive | about.labels.key/value (deprecato) additional.fields |
logon_sessions
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema logon_sessions e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (deprecato) additional.fields |
| utente | target.user.user_display_name |
| logon_domain | about.labels.key/value (deprecato) additional.fields |
| authentication_package | about.labels.key/value (deprecato) additional.fields |
| logon_type | about.labels.key/value (deprecato) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (deprecato) additional.fields |
| logon_time | about.labels.key/value (deprecato) additional.fields |
| logon_server | about.labels.key/value (deprecato) additional.fields |
| dns_domain_name | network.dns_domain |
| Upn | about.labels.key/value (deprecato) additional.fields |
| logon_script | about.labels.key/value (deprecato) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (deprecato) additional.fields |
| home_directory_drive | about.labels.key/value (deprecato) additional.fields |
lxd_certificates
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema lxd_certificates e per il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | security_result.detection_fields.key/value |
| tipo | security_result.detection_fields.key/value |
| impronta | security_result.detection_fields.key/value |
| certificato | security_result.detection_fields.key/value |
lxd_networks
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema lxd_networks e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| tipo | about.labels.key/value (deprecato) additional.fields |
| gestita | about.labels.key/value (deprecato) additional.fields |
| ipv4_address | about.labels.key/value (deprecato) additional.fields |
| ipv6_address | about.labels.key/value (deprecato) additional.fields |
| used_by | about.labels.key/value (deprecato) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (deprecato) additional.fields |
| pacchetti_inviati | about.labels.key/value (deprecato) additional.fields |
| hwaddr | about.labels.key/value (deprecato) additional.fields |
| state | about.labels.key/value (deprecato) additional.fields |
| mtu | about.labels.key/value (deprecato) additional.fields |
managed_policies
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per lo schema managed_policies e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dominio | target.administrative_domain |
| UUID | about.labels.key/value (deprecato) additional.fields |
| nome | about.labels.key/value (deprecato) additional.fields |
| valore | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| manuale | about.labels.key/value (deprecato) additional.fields |
memory_devices
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema memory_devices e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| handle | about.labels.key/value (deprecato) additional.fields |
| array_handle | about.labels.key/value (deprecato) additional.fields |
| form_factor | about.labels.key/value (deprecato) additional.fields |
| total_width | about.labels.key/value (deprecato) additional.fields |
| data_width | about.labels.key/value (deprecato) additional.fields |
| dimensioni | about.labels.key/value (deprecato) additional.fields |
| set | about.labels.key/value (deprecato) additional.fields |
| device_locator | about.labels.key/value (deprecato) additional.fields |
| bank_locator | about.labels.key/value (deprecato) additional.fields |
| memory_type | about.labels.key/value (deprecato) additional.fields |
| memory_type_details | about.labels.key/value (deprecato) additional.fields |
| max_speed | about.labels.key/value (deprecato) additional.fields |
| configured_clock_speed | about.labels.key/value (deprecato) additional.fields |
| produttore | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (deprecato) additional.fields |
| min_voltage | about.labels.key/value (deprecato) additional.fields |
| max_voltage | about.labels.key/value (deprecato) additional.fields |
| configured_voltage | about.labels.key/value (deprecato) additional.fields |
ntdomains
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per ntdomains dello schema e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| client_site_name | about.labels.key/value (deprecato) additional.fields |
| dc_site_name | about.labels.key/value (deprecato) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (deprecato) additional.fields |
| domain_name | target.administrative_domain |
| stato | about.labels.key/value (deprecato) additional.fields |
ntfs_acl_permissions
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema ntfs_acl_permissions e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| tipo | about.labels.key/value (deprecato) additional.fields |
| entità | about.labels.key/value (deprecato) additional.fields |
| accesso | about.labels.key/value (deprecato) additional.fields |
| inherited_from | about.labels.key/value (deprecato) additional.fields |
os_version
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema os_version e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| versione | principal.platform_version |
| maggiore | about.labels.key/value (deprecato) additional.fields |
| minore | about.labels.key/value (deprecato) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value (deprecato) additional.fields |
| piattaforma | principal.platform |
| platform_like | about.labels.key/value (deprecato) additional.fields |
| codename | about.labels.key/value (deprecato) additional.fields |
| arch | about.labels.key/value (deprecato) additional.fields |
| install_date | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
| mount_namespace_id | about.labels.key/value (deprecato) additional.fields |
osquery_events
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema osquery_events e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| publisher | about.label.key/value |
| tipo | about.label.key/value |
| abbonamenti | about.label.key/value |
| eventi | about.label.key/value |
| aggiornamenti | about.label.key/value |
| attivo | about.label.key/value |
di sicurezza
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per le patch dello schema e per Windows OS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (deprecato) additional.fields |
| didascalia | about.labels.key/value (deprecato) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (deprecato) additional.fields |
| installed_by | about.labels.key/value (deprecato) additional.fields |
| install_date | about.labels.key/value (deprecato) additional.fields |
| installed_on | about.labels.key/value (deprecato) additional.fields |
pci_devices
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema pci_devices e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (deprecato) additional.fields |
| pci_class | principal.labels.key/value (deprecato) additional.fields |
| conducente | principal.labels.key/value (deprecato) additional.fields |
| vendor | principal.labels.key/value (deprecato) additional.fields |
| vendor_id | principal.labels.key/value (deprecato) additional.fields |
| modello | principal.asset.hardware.model |
| model_id | principal.labels.key/value (deprecato) additional.fields |
| sottosistema | principal.labels.key/value (deprecato) additional.fields |
| espresso | principal.labels.key/value (deprecato) additional.fields |
| fulmine | principal.labels.key/value (deprecato) additional.fields |
| rimovibile | principal.labels.key/value (deprecato) additional.fields |
| pci_class_id | principal.labels.key/value (deprecato) additional.fields |
| pci_subclass_id | principal.labels.key/value (deprecato) additional.fields |
| pci_subclass | principal.labels.key/value (deprecato) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (deprecato) additional.fields |
| subsystem_vendor | principal.labels.key/value (deprecato) additional.fields |
| subsystem_model_id | principal.labels.key/value (deprecato) additional.fields |
| subsystem_model | principal.labels.key/value (deprecato) additional.fields |
tubi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per le pipeline dello schema e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | target.resource.name |
| istanze | about.labels.key/value (deprecato) additional.fields |
| max_instances | about.labels.key/value (deprecato) additional.fields |
| flags | about.labels.key/value (deprecato) additional.fields |
powershell_events
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema powershell_events e per il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | metadata.collected_timestamp |
| dataora | about.labels.key/value (deprecato) additional.fields |
| script_block_id | about.labels.key/value (deprecato) additional.fields |
| script_block_count | about.labels.key/value (deprecato) additional.fields |
| script_text | about.labels.key/value (deprecato) additional.fields |
| script_name | about.labels.key/value (deprecato) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (deprecato) additional.fields |
process_envs
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema process_envs e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| chiave | about.labels.key |
| valore | about.labels.value |
process_events
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema process_events e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| versione | target.platform_version |
| seq_num | about.labels.key/value (deprecato) additional.fields |
| global_seq_num | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| percorso | target.file.full_path |
| principale | target.process.parent_process.pid |
| original_parent | about.labels.key/value (deprecato) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (deprecato) additional.fields |
| env | about.labels.key/value (deprecato) additional.fields |
| env_count | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (deprecato) additional.fields |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| signing_id | about.labels.key/value (deprecato) additional.fields |
| team_id | about.labels.key/value (deprecato) additional.fields |
| cdhash | about.labels.key/value (deprecato) additional.fields |
| platform_binary | about.labels.key/value (deprecato) additional.fields |
| exit_code | about.labels.key/value (deprecato) additional.fields |
| child_pid | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| event_type | about.labels.key/value (deprecato) additional.fields |
| eid | about.labels.key/value (deprecato) additional.fields |
process_file_events
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema process_file_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| operazione | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| tempo | about.labels.key/value (deprecato) additional.fields |
| executable | about.labels.key/value (deprecato) additional.fields |
| parziale | about.labels.key/value (deprecato) additional.fields |
| cwd | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| dest_path | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (deprecato) additional.fields |
| euid | about.labels.key/value (deprecato) additional.fields |
| egid | about.labels.key/value (deprecato) additional.fields |
| fsuid | about.labels.key/value (deprecato) additional.fields |
| Fsgid | about.labels.key/value (deprecato) additional.fields |
| Suid | about.labels.key/value (deprecato) additional.fields |
| rigido | about.labels.key/value (deprecato) additional.fields |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema process_open_sockets e per il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (deprecato) additional.fields |
| socket | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| percorso | target.file.full_path |
| state | about.labels.key/value (deprecato) additional.fields |
| net_namespace | about.labels.key/value (deprecato) additional.fields |
processi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i processi dello schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| pid | target.process.pid |
| nome | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (deprecato) additional.fields |
| root | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (deprecato) additional.fields |
| egid | about.labels.key/value (deprecato) additional.fields |
| Suid | about.labels.key/value (deprecato) additional.fields |
| rigido | about.labels.key/value (deprecato) additional.fields |
| on_disk | about.labels.key/value (deprecato) additional.fields |
| wired_size | about.labels.key/value (deprecato) additional.fields |
| resident_size | about.labels.key/value (deprecato) additional.fields |
| total_size | about.labels.key/value (deprecato) additional.fields |
| user_time | about.labels.key/value (deprecato) additional.fields |
| system_time | about.labels.key/value (deprecato) additional.fields |
| byte_letto_disco | about.labels.key/value (deprecato) additional.fields |
| disk_bytes_written | about.labels.key/value (deprecato) additional.fields |
| start_time | about.labels.key/value (deprecato) additional.fields |
| principale | target.process.parent_process.pid |
| Gruppo p | about.labels.key/value (deprecato) additional.fields |
| thread | about.labels.key/value (deprecato) additional.fields |
| bello | about.labels.key/value (deprecato) additional.fields |
| elevated_token | about.labels.key/value (deprecato) additional.fields |
| secure_process | about.labels.key/value (deprecato) additional.fields |
| protection_type | about.labels.key/value (deprecato) additional.fields |
| virtual_process | about.labels.key/value (deprecato) additional.fields |
| elapsed_time | about.labels.key/value (deprecato) additional.fields |
| handle_count | about.labels.key/value (deprecato) additional.fields |
| percent_processor_time | about.labels.key/value (deprecato) additional.fields |
| upid | about.labels.key/value (deprecato) additional.fields |
| uppid | about.labels.key/value (deprecato) additional.fields |
| cpu_type | about.labels.key/value (deprecato) additional.fields |
| cpu_subtype | about.labels.key/value (deprecato) additional.fields |
programmi
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i programmi schema e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| versione | target.platform_version |
| install_location | about.labels.key/value (deprecato) additional.fields |
| install_source | about.labels.key/value (deprecato) additional.fields |
| lingua | about.labels.key/value (deprecato) additional.fields |
| publisher | about.labels.key/value (deprecato) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (deprecato) additional.fields |
| identifying_number | about.labels.key/value (deprecato) additional.fields |
scheduled_tasks
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema schedule_tasks e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | target.resource.name |
| azione | security_result.action_details |
| percorso | target.file.full_path |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| state | about.labels.key/value (deprecato) additional.fields |
| nascosto | about.labels.key/value (deprecato) additional.fields |
| last_run_time | about.labels.key/value (deprecato) additional.fields |
| next_run_time | about.labels.key/value (deprecato) additional.fields |
| last_run_message | about.labels.key/value (deprecato) additional.fields |
| last_run_code | about.labels.key/value (deprecato) additional.fields |
seccomp_events
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema seccomp_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| Auid | about.labels.key/value (deprecato) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ss | about.labels.key/value (deprecato) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (deprecato) additional.fields |
| exe | target.file.full_path |
| SIG | about.labels.key/value (deprecato) additional.fields |
| arch | about.labels.key/value (deprecato) additional.fields |
| syscall | about.labels.key/value (deprecato) additional.fields |
| compatibile | about.labels.key/value (deprecato) additional.fields |
| ip | about.labels.key/value (deprecato) additional.fields |
| codice | about.labels.key/value (deprecato) additional.fields |
seLinux_events
La seguente tabella elenca i campi dei log e le mappature UDM corrispondenti per lo schema seLinux_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| messaggio | metadata.description |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
shadow
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per l'ombra dello schema e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| password_status | about.labels.key/value (deprecato) additional.fields |
| hash_alg | about.labels.key/value (deprecato) additional.fields |
| last_change | about.labels.key/value (deprecato) additional.fields |
| min | about.labels.key/value (deprecato) additional.fields |
| max | about.labels.key/value (deprecato) additional.fields |
| avviso | about.labels.key/value (deprecato) additional.fields |
| non attivo | about.labels.key/value (deprecato) additional.fields |
| expire | about.labels.key/value (deprecato) additional.fields |
| flag | about.labels.key/value (deprecato) additional.fields |
| nome utente | principal.user.user_display_name |
shell_history
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema shell_history e il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| tempo | about.labels.key/value (deprecato) additional.fields |
| CREATE OR REPLACE MODEL. | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per lo schema shimcache e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| voce | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (deprecato) additional.fields |
firma
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per la firma dello schema e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| hash_resources | about.labels.key/value (deprecato) additional.fields |
| arch | about.labels.key/value (deprecato) additional.fields |
| firma apposta | target.file.pe_file.signature_info.verified |
| identificatore | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (deprecato) additional.fields |
| team_identifier | about.labels.key/value (deprecato) additional.fields |
| autorità | about.labels.key/value (deprecato) additional.fields |
sip_config
La seguente tabella elenca i campi del log e le mappature UDM corrispondenti per lo schema sip_config e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| enabled_nvram | about.labels.key/value (deprecato) additional.fields |
socket_events
La tabella seguente elenca i campi dei log e le relative mappature UDM per lo schema socket_events e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| azione | security_result.action_details |
| pid | target.process.pid |
| percorso | target.process.file.full_path |
| fd | about.labels.key/value (deprecato) additional.fields |
| Auid | target.user.userid |
| stato | about.labels.key/value (deprecato) additional.fields |
| famiglia | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| tempo di attività | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
| operazione riuscita | about.labels.key/value (deprecato) additional.fields |
sudoer
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per i sudoer dello schema e per i sistemi operativi Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| origine | about.labels.key/value (deprecato) additional.fields |
| intestazione | about.labels.key/value (deprecato) additional.fields |
| rule_details | about.labels.key/value (deprecato) additional.fields |
syslog_events
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema syslog_events e il sistema operativo Linux:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tempo | about.labels.key/value (deprecato) additional.fields |
| dataora | about.labels.key/value (deprecato) additional.fields |
| host | target.hostname |
| gravità | risultato_sicurezza.severity (enum) |
| struttura | about.labels.key/value (deprecato) additional.fields |
| tag | about.labels.key/value (deprecato) additional.fields |
| messaggio | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
system_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema system_info e per il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome host | principal.administrative_domain |
| uuid | about.labels.key/value (deprecato) additional.fields |
| cpu_type | about.labels.key/value (deprecato) additional.fields |
| cpu_subtype | about.labels.key/value (deprecato) additional.fields |
| cpu_brand | about.labels.key/value (deprecato) additional.fields |
| cpu_physical_cores | about.labels.key/value (deprecato) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (deprecato) additional.fields |
| physical_memory | about.labels.key/value (deprecato) additional.fields |
| hardware_vendor | about.labels.key/value (deprecato) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (deprecato) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (deprecato) additional.fields |
| board_model | about.labels.key/value (deprecato) additional.fields |
| board_version | about.labels.key/value (deprecato) additional.fields |
| board_serial | about.labels.key/value (deprecato) additional.fields |
| computer_name | about.labels.key/value (deprecato) additional.fields |
| local_hostname | about.labels.key/value (deprecato) additional.fields |
tpm_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema tpm_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| attivato | about.labels.key/value (deprecato) additional.fields |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| di proprietà | about.labels.key/value (deprecato) additional.fields |
| manufacturer_version | about.labels.key/value (deprecato) additional.fields |
| manufacturer_id | about.labels.key/value (deprecato) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (deprecato) additional.fields |
| spec_version | about.labels.key/value (deprecato) additional.fields |
usb_devices
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema usb_devices e il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (deprecato) additional.fields |
| usb_port | about.labels.key/value (deprecato) additional.fields |
| vendor | about.labels.key/value (deprecato) additional.fields |
| vendor_id | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| modello | target.asset.hardware.model |
| model_id | about.labels.key/value (deprecato) additional.fields |
| serial | target.asset.hardware.serial_number |
| classe | about.labels.key/value (deprecato) additional.fields |
| sottoclasse | about.labels.key/value (deprecato) additional.fields |
| protocollo | about.labels.key/value (deprecato) additional.fields |
| rimovibile | about.labels.key/value (deprecato) additional.fields |
user_events
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema user_events e per il sistema operativo Linux, macOS, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| messaggio | metadata.description |
| tipo | about.labels.key/value (deprecato) additional.fields |
| percorso | target.file.full_path |
| indirizzo | about.labels.key/value (deprecato) additional.fields |
| terminale | about.labels.key/value (deprecato) additional.fields |
| tempo | metadata.collected_timestamp |
| uptime | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |
user_groups
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema user_groups e il sistema operativo Linux, macOS, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
utenti
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per gli utenti dello schema e il sistema operativo macOS, Linux, Windows, freebsd:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (deprecato) additional.fields |
| gid_signed | about.labels.key/value (deprecato) additional.fields |
| nome utente | principal.user.user_display_name |
| description | about.labels.key/value (deprecato) additional.fields |
| directory | about.labels.key/value (deprecato) additional.fields |
| shell | about.labels.key/value (deprecato) additional.fields |
| uuid | principal.user.product_object_id |
| tipo | about.labels.key/value (deprecato) additional.fields |
| is_hidden | about.labels.key/value (deprecato) additional.fields |
| pid_with_namespace | about.labels.key/value (deprecato) additional.fields |
wifi_networks
La tabella seguente elenca i campi del log e le mappature UDM corrispondenti per lo schema wifi_networks e il sistema operativo macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| ssid | target.labels.key/value (deprecato) additional.fields |
| network_name | target.labels.key/value (deprecato) additional.fields |
| security_type | target.labels.key/value (deprecato) additional.fields |
| last_connected | about.labels.key/value (deprecato) additional.fields |
| passpoint | about.labels.key/value (deprecato) additional.fields |
| possibly_hidden | about.labels.key/value (deprecato) additional.fields |
| girovagare | about.labels.key/value (deprecato) additional.fields |
| roaming_profile | about.labels.key/value (deprecato) additional.fields |
| captive_portal | about.labels.key/value (deprecato) additional.fields |
| auto_login | target.labels.key/value (deprecato) additional.fields |
| temporarily_disabled | target.labels.key/value (deprecato) additional.fields |
| disattivata | target.labels.key/value (deprecato) additional.fields |
windows_crashes
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Windows_crashes e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| dataora | about.labels.key/value (deprecato) additional.fields |
| modulo | about.labels.key/value (deprecato) additional.fields |
| percorso | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (deprecato) additional.fields |
| versione | about.labels.key/value (deprecato) additional.fields |
| process_uptime | about.labels.key/value (deprecato) additional.fields |
| stack_trace | about.labels.key/value (deprecato) additional.fields |
| exception_code | about.labels.key/value (deprecato) additional.fields |
| exception_message | about.labels.key/value (deprecato) additional.fields |
| exception_address | about.labels.key/value (deprecato) additional.fields |
| registri | about.labels.key/value (deprecato) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (deprecato) additional.fields |
| nome utente | target.user.user_display_name |
| machine_name | about.labels.key/value (deprecato) additional.fields |
| major_version | about.labels.key/value (deprecato) additional.fields |
| minor_version | about.labels.key/value (deprecato) additional.fields |
| build_number | target.platform_version |
| tipo | about.labels.key/value (deprecato) additional.fields |
| crash_path | about.labels.key/value (deprecato) additional.fields |
windows_eventlog
L'analizzatore sintattico degli eventi Windows (WinEVTLOG) mappa questi eventi. Per ulteriori informazioni, consulta Raccolta di dati sugli eventi di Microsoft Windows."
windows_events
L'analizzatore sintattico degli eventi Windows (WinEVTLOG) mappa questi eventi. Per ulteriori informazioni, consulta Raccolta di dati sugli eventi di Microsoft Windows.
windows_firewall_rules
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Windows_firewall_rules e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| app_name | target.application |
| azione | risultato_sicurezza.azione (enum) |
| abilitato | about.labels.key/value (deprecato) additional.fields |
| raggruppamento | about.labels.key/value (deprecato) additional.fields |
| direction | network.direction |
| protocollo | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (deprecato) additional.fields |
| profile_domain | about.labels.key/value (deprecato) additional.fields |
| profile_private | about.labels.key/value (deprecato) additional.fields |
| profile_public | about.labels.key/value (deprecato) additional.fields |
| service_name | about.labels.key/value (deprecato) additional.fields |
windows_security_center
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Windows_security_center e del sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| aggiornamento automatico | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema Windows_security_products e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| tipo | about.labels.key/value (deprecato) additional.fields |
| nome | target.resource.name |
| state | about.labels.key/value (deprecato) additional.fields |
| state_timestamp | about.labels.key/value (deprecato) additional.fields |
| remediation_path | about.labels.key/value (deprecato) additional.fields |
| signatures_up_to_date | about.labels.key/value (deprecato) additional.fields |
wmi_bios_info
Nella tabella seguente sono elencati i campi del log e le mappature UDM corrispondenti per lo schema wmi_bios_info e il sistema operativo Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| nome | about.labels.key/value (deprecato) additional.fields |
| valore | about.labels.key/value (deprecato) additional.fields |
Yara
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema yara e il sistema operativo Linux, macOS, freebsd, Windows:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| percorso | target.file.full_path |
| corrisponde a | about.labels.key/value (deprecato) additional.fields |
| conteggio | about.labels.key/value (deprecato) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| Sigrule | security_result.detection_fields.key/value |
| stringhe | about.labels.key/value (deprecato) additional.fields |
| tags | about.labels.key/value (deprecato) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
Nella tabella seguente sono elencati i campi dei log e le mappature UDM corrispondenti per lo schema yara_events e per il sistema operativo Linux, macOS:
| Campo log | Mappatura UDM |
|---|---|
| metadata.event_type è mappato a SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| categoria | about.labels.key/value (deprecato) additional.fields |
| azione | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| corrisponde a | about.labels.key/value (deprecato) additional.fields |
| conteggio | about.labels.key/value (deprecato) additional.fields |
| stringhe | about.labels.key/value (deprecato) additional.fields |
| tags | about.labels.key/value (deprecato) additional.fields |
| tempo | about.labels.key/value (deprecato) additional.fields |
| eid | metadata.product_log_id |